
            ポート1900番のUDPパケットは何？

古いLinuxマシンのtcpdumpでネットワークのパケットを監視することにした。
理由はいわずと知れたこと。

Windowsマシン起動時や、ファイルを開いたり、保存やコピーの操作をしたとき等、
以下のようなパケットがインターネットに向けて多量に発信されている。

07:39:08.xxxxxx directstar-xxxxxx.1900 > 239.255.255.250.1900: udp 332 (DF)
07:39:08.xxxxxx directstar-xxxxxx.1900 > 239.255.255.250.1900: udp 340 (DF)
07:39:08.xxxxxx directstar-xxxxxx.1900 > 239.255.255.250.1900: udp 258 (DF)
07:39:09.xxxxxx directstar-xxxxxx.1900 > 239.255.255.250.1900: udp 268 (DF)

このポート1900番のUDPパケットは何だ？

239.255.255.250は何処だ？
ここに何の情報を送っている？

幸い、ルータータイプのブロードバンド使用なので、
さっそく、パケットフィルタリングで、ポート1900番のUDPを非通過に設定した。

ルーターのログで
2007/03/21 11:57:19 IP_Filter REJECT UDP 192.168.1.1:1900 > 239.255.255.250:1900 (IP-PORT=0)
2007/03/21 11:57:19 IP_Filter REJECT UDP 192.168.1.1:1900 > 239.255.255.250:1900 (IP-PORT=0)
と遮断されることを確認した。

まだ、信用ならないので、ポート1900番のUDPパケットを待ち受けているexeを調べた。

UDP pluto:1900 *:* 1272
C:\WINDOWS\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

この「svchost.exe」は、マイクロソフトの公式ホームページに掲載されている
Windows付属のマイクロソフト提供のexeだ。

他のUDPポートも全部遮断したいが、そうもいかない。
困ったものだ。。。

                      2007年 3月21日 作成

----------------------------------------------------------------------------
追記：

ポート1900番は、UPnP(ユニバーサルプラグ＆プレイ)で使われるポートで、
インターネット上に繋ぐ様々な機器を「接続するだけで」で自動的に利用できるようにするものらしい。
Windowsでは、MSN Messengerで使われていて、これでP2Pを出来るようにしているらしい。
SSDP(Simple Service Discover Protocol)で、ネットワーク上の機器の管理も出来るとある。

一見もっともらしいが、

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

このサービスは外部からのハッキングの恐れがあり、
対策としてユニバーサル プラグ アンド プレイ (UPnP) に含まれる
未チェックのバッファによりシステムが侵害される (MS01-059)のパッチがリリースされました。
でもインストールしてもサービス自体は無効にはなりません
（つまり勝手に起動することには変わりがないのです、謎）。
文書番号ユニバーサル プラグ アンド プレイ サービスを使用する
サービス拒否攻撃を防ぐ方法（JP315056）では、
このパッチはデータ転送の相手を制御できるようになるだけみたいです
（MS様、停止する方法を書いてください）。

↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑

のように、UPnPはこれを通してハッキングされる危険やバックドアが仕掛けられている危険が高い。
マイクロソフトは、これを止めようとしても止めれないようにしているのは何故？

239.255.255.250はドメイン名を逆引きしてもドメイン名が出てこない。
ドメイン名も出てこないIPアドレスを使っているということは、
何かやましいことをしていると思われても仕方ない。

SSDPでネットワーク上の機器が管理できるなら、知らない所で、
マシンを自由に遠隔操作されているようなことではないか？
もちろん中に入っているファイルも知らないところで自由に見られる。。。

UPnPで使われていたポート塞いでも、別の開きポートを探してそこでパケットを待ち受けている。

----------

UPnP以外にも、ISAKMP(Internet Security Association and Key Management Protolol)というのも怪しい。
何処かで認証を受けたわけでもないのに、知らない間にTCPでListenしていて、
どこかと通信している。

  TCP    pluto:30000            0.0.0.0:0              LISTENING       1476

  TCP    pluto:30000            localhost:2500         TIME_WAIT       0
  UDP    pluto:isakmp           *:*                                    776
  C:\WINDOWS\system32\WS2_32.dll
  C:\WINDOWS\system32\oakley.DLL
  C:\WINDOWS\system32\LSASRV.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [lsass.exe]

不思議なことに、WindowsマシンとLinuxマシンをLANでつないでいると、このlsass.exeが起動するが、
Windowsマシン単体で起動すると、このlsass.exeが起動しなかったりする。
このlsass.exeは何のために立ち上がり何をしているのか？

ISAKMPは元々認証するためのものだから、誰かどのマシンかの特定するために使われているとしか思えない。
何故、こんなことが必要なのか？

----------
----------

今使用のルーター、ログが詳細に取れない、また、見たいログだけ見れない、また、過去ログが消えてしまう、ので、
以前やっていたようにLinuxマシンにNICを2枚差しにし、LinuxをFirewallにして使おうと思う。。。

                      2007年 3月22日 追記