[FIREWALL] 239.255.255.250 port1900 SSDPRésolu/Fermé

Question

alerte  firewall IP 239.255.255.250 port1900 SSDPsi vous avez avertissement firewall ci nommé veuillez lire la suite.Après avoir installé un firewall, celui-ci m'a indiqué les tentatives de connexions, premièrement d'un service (ssdpsrv.exe), que j'ai promptement enlevé du démarrage, puis deuxièmement d’explorer, qui essayait de se connecter à l’adresse IP 239.255.255.250 sur le port 1900, adresse qui correspondrait à une université du Sud de la Californie.D’autres personnes (peu nombreuses, je n’ai trouvé qu’une personne parlant du sujet sur le net), avaient le même problème, c’est certainement pour cela que sur le site de MS on y explique que cela sert entre autre au plug and play ...Après investigation, je me suis aperçu que cette adresse IP est codée « en dur » dans ssdpapi.dll, je ne sais pas ce que cela fait ou est sensé faire, mais ce que je sais c’est qu’on me demande mon avis avant (tout du moins j’aimerai bien).Et comme on ne me demande pas mon avis, j’ai essayé une ruse, qui apparemment marche bien, c’est de remplacer avec un éditeur hexa l’IP 239.255.255.250 par 127.0.0.1 dans la dite dll.Attention j’ai testé, apparemment cela fonctionne, mais les précautions d’usage sont à prendre (copie de l’originale...), d’autre part pour écraser l’originale fautive, il faut redémarrer en mode minimum, sinon, si Windows est démarré, il vous dit que cette dll est utilisée par lui-même.Pour ceux qui n’ont pas envie de faire de l’éditeur hexa, mais qui désire quand même appliquer cette méthode un email et hop !Nouvelle info, un patch de sécurité sortie en début d'année 2002, pour une faille sur le plug and play (comme c'est bizare), touche et donc remplace ssdapi.dll, si vous l'appliquez, il faut recommencer l'opération (j'ai bien sûr à votre disposition la nouvelle version modifiée).N'ayant pas XP et ayant souvent la même question posée pour ce système, un internaute, Thierry (il se reconnaitra), m'a gentiment fait un retour d'informations, pour régler ce problème sous XP, je reproduis ses propos ci-dessous :Il s'agit de SSDP Client API DLL, composant réagissant avec la fonction UPnP réseau dans Win XP.Microsoft propose un correctif pour XP, Q315000 qui ne résout pas ce problème....Il faut désactiver le service " Service de découverte SSDP", ou le mettre en manuel.On peut aussi aller dans le registre, H_K_L_M / SYSTEM / CurrentControlSet / Services et modifier la valeur "Start" du service, (2, Auto, 3 Manu, 4 Désactivé).Un pare-feu semble efficace en bloquant bien les ports 1900 et 5000.Un autre internaute sympa "out of order" m'envoit ceci :hello à propos de ton sujet sur l'adresse ip 239.255.255.250 j'ai constaté le meme probleme sur mon OS win XP pro, sans pack sp1, mon firewall kério 4 détecte en effet le phénomène.j'ai trouvé cette solution, elle semble fonctionner.Les services sont nécessaires au bon fonctionnement du système d'exploitation et de plusieurs applications qui restent en alerte en permanence pour être lancées dès que vous les solliciterez.Je m'explique...En fait, votre ordinateur contacte à l'adresse 239.255.255.250 (groupe de serveurs IANA, importants serveurs de résolution de noms sur Internet) via le port 1900 en utilisant le protocole SSDP (Simple Service Discovery Protocol) pour repérer toutes les machines Plug and play.Comme les attaques par ce port sont reconnues depuis longtemps, nous allons désactiver sans attendre cette procédure.Mais plutôt que de vous emmener désactiver les services SSDP et UPnP (respectivement ports 1900 et 5000), utilisez ce tout petit éxécutable (22Ko) de Steve Gibson ici http://grc.com/files/UnPnP.exepour faire ce travail à votre place. Il vous signalera si votre ordinateur a besoin de l'interventionMerci donc à ces internautes contributeurs pour ces infos, de plus le site que donne "out of order" est celui de "Steve Gibson" le premier à avoir trouvé un mouchard MS, ainsi il me permet de rajouter une référence incontournable que j'avais omise.quelqu'un m'avait poser la question (sur un autre site), je la reposte ici, si cela peut aider quelqu'un.<source http://www.svdovenko.freesurf.fr/informatique.htm >kasainternet : interconnection between computers networkordinateur : ordre donné par dieu...

mx · Accepted Answer

Je cite : "En fait, votre ordinateur contacte à l'adresse 239.255.255.250 (groupe de serveurs IANA, importants serveurs de résolution de noms sur Internet) via le port 1900 en utilisant le protocole SSDP (Simple Service Discovery Protocol) pour repérer toutes les machines"  --> Définition de l'IANA : The IANA allocates IP addresses and AS number blocks to RIRs

En gros l'IANA possède la plage d'IP 0.0.0.0 à 255.255.255.255 (toutes)

Et l'adresse 239.255.255.250 est une @IP multicast non routée sur Internet et réservée au protocole SSDP. En clair, si tu lance un ping sur cette IP, la machine qui te répondra est sera une machine de ton réseau local est rien d'autre.

En aucun cas la résolution de nom se fait via des @IP multicast sinon boujour le bazzar et le net serait déjà par terre.

@++

darkcrystal33 · Answer

si tu est sous Windows 2000 / XP / 2003 servervaccine ton pc avec Windows Worms Doors Cleaner ci-dessous:http://www.firewallleaktester.com/tools/wwdc.exe

Didus · Answer

Merci pour cette info, peu de réponses sur le sujet avec l'ip recherchée, mon ZA me l'a bloquée mais sans plus d'info...Voilà maintenant je sais, au moins celade plus je suis allé sur le site cité http://www.grc.comtrés bien plein d'outils utiles, mais en anglais, dommage pour les anglophobes.Bravo pour ton post clair et précis.

JiP_95 · Answer

Bonjour,

Je sais pas vous aider... mais j'ai constaté la même chose exactement sur mon PC.

En fait, j'avais pas de FW et ayant installé ZA le week-end passé, j'ai vu qu'il y avait une demande d'accès sortant de explorer.exe à l'adresse 127.0.0.1 (on m'a dit que c'était normal) mais aussi un autre (sortant) vers cette adresse 239.255.255.250. 

J'ai trouvé bizarre et interdit l'accès. Ca n'empêche rien de tourner. Donc pour moi, c'est réglé, mais je suis curieux de savoir ce que c'est.

A+

Je lirai sûrement la suite du feuilleton.

pffff · Answer

mort de rire si tu veux bloquer les adresses ip d  iana j'ai un bon truc, enleve ton câble.
Sinon je sais pas ou tu cherches tes infos............  je te conseilles de commencer par le debut avant d'essayer de faire l'expert, quelques cours de reseaux

blade417 · Answer

Ce que c'est? ben c'est ca: 

Une requete UDP visant a reconnaitre le matos plug&plante sur le réseau en unicast et multicast, enfin d'après ce que je comprend.

https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol ;-)

bidi62 · Answer

Je n'ai pas bien tout compris mais je peux l'interdire de passer via le parefeu..Que devrais je faire ? Et si vous pouviez me résumer en "clair", lol, pour m'expliquer à quoui ça correspond, qt à l'exe donné plus haut, est-il sûr ?
Merci de votre réponse.
Amicalement,
Bidi.

aril · Answer

bonjour à tous , je suis sous debian , et je sniffe un peu le réseau avec wireshark , je constate cette même adresse qui communique avec mon routeur  , et utilisant comme vous l'avais indiqué le protocole SSDP.
Mon routeur et cette adresse s'échange des paquets  a intervalles réguliers et pendant ces échanges ma connexion se vois diminuer au point de ne pouvoir charger aucune page , enfait c'est tellement lent mais pas assez pour que mon navigateur me retourne l'erreur , donc j'a  bien internet mais ma bande passante se vois être entièrement reservé par ces échanges , pour ma part j'ai désactivé upnp a mon routeur , je vais allé dormir et je solutionnerais ca proprement demain .
Je voulais savoir si vous aviez les même symptomes .
a très bientôt +++

bidi62 · Answer

Ben , ben, ben, c'est quoi ces gens qui, avec ce ton méprisant montrent leurs faiblesses ? ...Effectivement, je leur conseille également d'aller faire une formation de technicien réseau...Ils apprendront également que parler n'est pas mépriser, mais discuter, afin que, tous ensemble, nous puissions nous mettre d'accord sur un problème afin de le résoudre...C'est vrai qu'avec Windaube, rien qu'aller sur des sites sur Linux...ou autres..Assedic, anpe..tous les sites que le gouvernement essaie de prendre en main (ce n'est que mon Humble avis ;-)..après tout La france est le premier dictatorial du net, dans le monde...Egalite fraternité..et ta soeur ? Elle bat le beurre ?
 Peerguardian clignote à tout casser rien que si tu veux te renseigner sur Mesrine ou Sarkosy, à croire qu'ils sont de la même famille..Entre nous, je préfère Mesrine......Mais il y a la solution : mettez vous à l'informatique, pas au bricolage..Xubuntu est merveilleux !
Allez, soyez joyeux..C'est le week-end !
Bisous à tous et toutes, mes bien chers frères, mes bien chères soeurs.... ;-)

Bien ce petit exe ...!

Merci pour ce petit réglage dans le registre aussi !

GP007 · Answer

Avez-vous une Xbox 360 par tous hasard ??? XD

loopx · Answer

Waw, ca fait beaucoup de blabla tout ca :)


Alors, le premier message qui explique le problème est assez amusant. Ca m'a fait penser à un expert qui parle sur un ton "connaisseur" alors qu'en fait, il n'y connait rien et a peur des paquets réseau :D.


J'ai ce problème aussi, c'est ainsi que je suis tombé sur ce post. En 2 minutes, on peut vite comprendre que c'est un protocole (un blabla d'appareil réseau) qui existe dans l'unique but de découvrir des services (un genre de "bonjour, je suis un ami" ..). Il est aussi indiqué que c'est de l'uPnP machin .. Ok .. Je n'ai pas de windows à la maison, d'ou je rigole bien quand je vois des gens qui recompile carément les dll .. hum .. faut arrêter de regarder les experts ^^.


Dans mon cas, et j'en suis pratiquement certain, la désactivation de l'UpNp truc sur mon routeur ADSL, mon pont Wifi et mon switch (qui n'est rien d'autre qu'un WRT54G v7 .. une merde quoi) devrait très certainement stopé ce genre d'émission.

Donc, arrêter de flasher, non, ce n'est pas un virus, non, votre pc ne va pas être kidnapé ^^. C'est juste un appareil réseau qui cherche un ami. Désactive cette fonction sur le routeur en question, et tout rentrera dans l'ordre ;).

diverzats · Answer

+ 10 000! content d'etre arrivé en bas de la page avant d'arreter carrément le net dans la seconde! :) lol en clair et pour les nuls svppp, _quand 2 PC a la maison avec "partage de fichiers et dimprimantes" souhaités, upnp?oui/non? _quand DL>>>>upnp?oui/non? en gros l'utilisateur landa(si tant est qu'il existe)>>bureautique/jeux/web/DL/2pcs (peutetre) ....>>upnp?oui/non? moi je lai bloqué , jai pas tellement cherché l'entrepot en moldavie qui fesait la requete, parce que tout marche sans, mais si c'est inutile pour les utilisations décrites plus haut, moi je suis un fervent défenseur <> alors svp!!!:)

stf · Answer

c chouette un topic 3 ans d'age ;-p

Fred · Answer

je n'ai jamais lu un truc aussi débile : aller modifier les dll avec un éditeur hexadécimal pour régler un probleme auquel on ne comprends rien.
Moi qui ne suis pas mécano pour 2 sous, j'ai démonté l'alternateur de ma bagnole. En effet, tout ces fils de cuivre... ça m'a fait peur. 
Après quelques kilomètres, la voiture s'est arrêtée. J'ai écrit à Renault ; ils ne m'ont toujours pas répondu. Mais je sais ce que c'est : c'est l'électronique. Toujours en panne sur ces foutues bagnoles !! Et même pas un patch pour mettre à jour. Quelle bande d'incapable !!

Look coco · Answer

UPNP sur le port 1900 ce n'est pas uniquement que du réseau local, ça peut sortir sur le Net, la preuve Look n' stop bloque TOUTES les IP distantes, et en sniffant on peut le vérifier.

lobster31 · Answer

Ouhlàlà...
Surtout ne pas faire ce qui est proposé plus haut.

Allez plutôt sur wiki qui vous dira que cette adresse est utilisée par le protocole SSDP pour découvrir par exemple des imprimantes et que c'est une adresse qui ne sortira pas de votre réseau local.
"239.0.0.0/8 	Adresse multicast de site. Celles-ci jouent le même rôle que les adresses privées, leur diffusion est limitée à un site."
Quant à l'université de Californie, j'avoue que j'ai bien ri pour une adresse privée (qui n'appartient donc à personne si ce n'est à l'IANA, organisme qui "gère" les attributions d'adresses et qui est il est vrai aux USA).

Dons, pas de risque et si on veut éviter ces trames, il faut virer l'UpNp.

explorer · Answer

La demande pour l'accès à l'adresse 239.255.255.250 port1900 upnp se réveille si dans explorer>favoris réseau (si Win XP) on clique sur "afficher les icônes des périphériques réseau upnp" (imprimantes réseau, disques durs réseau, scanners réseau, etc., connectés via le routeur). Alors votre ordi va vouloir parcourir le réseau à la recherche de ces périphériques et donc passer par la fameuse adresse de votre routeur. Si vous ne voulez pas que ces icônes de vos périphériques s'affichent, ne cliquez pas sur "afficher les icônes..." ou si vous avez déjà cliqué dessus, recliquez dessus (en ce cas c'est "masquer les icônes" qui s'affiche) et vous n'aurez plus de demandes d'accès à 239.255.255.250 port 1900. Voilà, le reste ce n'est que philosophie ou... humour (bien apprécié le démontage de l'alternateur de la twingo!)

[FIREWALL] 239.255.255.250 port1900 SSDP

17 réponses

Discussions similaires

Newsletters