Posez votre question Signaler

[FIREWALL] 239.255.255.250 port1900 SSDP [Résolu]

ka'sa 906Messages postés samedi 24 juillet 2004Date d'inscription 3 février 2007Dernière intervention - Dernière réponse le 13 août 2013 à 09:40
alerte firewall IP 239.255.255.250 port1900 SSDP

si vous avez avertissement firewall ci nommé veuillez lire la suite.

Après avoir installé un firewall, celui-ci m'a indiqué les tentatives de connexions, premièrement d'un service (ssdpsrv.exe), que j'ai promptement enlevé du démarrage, puis deuxièmement d’explorer, qui essayait de se connecter à l’adresse IP 239.255.255.250 sur le port 1900, adresse qui correspondrait à une université du Sud de
la Californie.
D’autres personnes (peu nombreuses, je n’ai trouvé qu’une personne parlant du sujet sur le net), avaient le même problème, c’est certainement pour cela que sur le site de MS on y explique que cela sert entre autre au plug and play ...
Après investigation, je me suis aperçu que cette adresse IP est codée « en dur » dans ssdpapi.dll, je ne sais pas ce que cela fait ou est sensé faire, mais ce que je sais c’est qu’on me demande mon avis avant (tout du moins j’aimerai bien).
Et comme on ne me demande pas mon avis, j’ai essayé une ruse, qui apparemment marche bien, c’est de remplacer avec un éditeur hexa l’IP 239.255.255.250 par 127.0.0.1 dans la dite dll.
Attention j’ai testé, apparemment cela fonctionne, mais les précautions d’usage sont à prendre (copie de l’originale...), d’autre part pour écraser l’originale fautive, il faut redémarrer en mode minimum, sinon, si Windows est démarré, il vous dit que cette dll
est utilisée par lui-même.
Pour ceux qui n’ont pas envie de faire de l’éditeur hexa, mais qui désire quand même appliquer cette méthode un email et hop !
Nouvelle info, un patch de sécurité sortie en début d'année 2002, pour une faille sur le plug and play (comme c'est bizare), touche et donc remplace ssdapi.dll, si vous l'appliquez, il faut recommencer l'opération (j'ai bien sûr à votre disposition la nouvelle version modifiée).

N'ayant pas XP et ayant souvent la même question posée pour ce système, un internaute, Thierry (il se reconnaitra), m'a gentiment fait un retour d'informations, pour régler ce problème sous XP, je reproduis ses propos ci-dessous :

Il s'agit de SSDP Client API DLL, composant réagissant avec la fonction UPnP réseau dans Win XP.
Microsoft propose un correctif pour XP, Q315000 qui ne résout pas ce problème....
Il faut désactiver le service " Service de découverte SSDP", ou le mettre en manuel.
On peut aussi aller dans le registre, H_K_L_M / SYSTEM / CurrentControlSet / Services et modifier la valeur "Start" du service, (2, Auto, 3 Manu, 4 Désactivé).
Un pare-feu semble efficace en bloquant bien les ports 1900 et 5000.

Un autre internaute sympa "out of order" m'envoit ceci :
hello à propos de ton sujet sur l'adresse ip 239.255.255.250 j'ai constaté le meme probleme sur mon OS win XP pro, sans pack sp1, mon firewall kério 4 détecte en effet le phénomène.
j'ai trouvé cette solution, elle semble fonctionner.
Les services sont nécessaires au bon fonctionnement du système d'exploitation et de plusieurs applications qui restent en alerte en permanence pour être lancées dès que vous les solliciterez.
Je m'explique...
En fait, votre ordinateur contacte à l'adresse 239.255.255.250 (groupe de serveurs IANA, importants serveurs de résolution de noms sur Internet) via le port 1900 en utilisant le protocole SSDP (Simple Service Discovery Protocol) pour repérer toutes les machines
Plug and play.
Comme les attaques par ce port sont reconnues depuis longtemps, nous allons désactiver sans attendre cette procédure.
Mais plutôt que de vous emmener désactiver les services SSDP et UPnP (respectivement ports 1900 et 5000), utilisez ce tout petit éxécutable (22Ko) de Steve Gibson ici
http://grc.com/files/UnPnP.exe
pour faire ce travail à votre place. Il vous signalera si votre ordinateur a besoin de l'intervention

Merci donc à ces internautes contributeurs pour ces infos, de plus le site que donne "out of order" est celui de "Steve Gibson" le premier à avoir trouvé un mouchard MS, ainsi il me permet de rajouter une référence incontournable que j'avais omise.


quelqu'un m'avait poser la question (sur un autre site), je la reposte ici, si cela peut aider quelqu'un.

<source http://www.svdovenko.freesurf.fr/informatique.htm >

kasa
internet : interconnection between computers network
ordinateur : ordre donné par dieu...
Lire la suite 
Réponse
+0
moins plus
si tu est sous Windows 2000 / XP / 2003 server
vaccine ton pc avec Windows Worms Doors Cleaner ci-dessous:
http://www.firewallleaktester.com/tools/wwdc.exe
Ajouter un commentaire
Réponse
+0
moins plus
Merci pour cette info, peu de réponses sur le sujet avec l'ip recherchée, mon ZA me l'a bloquée mais sans plus d'info...
Voilà maintenant je sais, au moins cela

de plus je suis allé sur le site cité http://www.grc.com
trés bien plein d'outils utiles, mais en anglais, dommage pour les anglophobes.

Bravo pour ton post clair et précis.
Ajouter un commentaire
Réponse
+10
moins plus
Je cite : "En fait, votre ordinateur contacte à l'adresse 239.255.255.250 (groupe de serveurs IANA, importants serveurs de résolution de noms sur Internet) via le port 1900 en utilisant le protocole SSDP (Simple Service Discovery Protocol) pour repérer toutes les machines" --> Définition de l'IANA : The IANA allocates IP addresses and AS number blocks to RIRs

En gros l'IANA possède la plage d'IP 0.0.0.0 à 255.255.255.255 (toutes)

Et l'adresse 239.255.255.250 est une @IP multicast non routée sur Internet et réservée au protocole SSDP. En clair, si tu lance un ping sur cette IP, la machine qui te répondra est sera une machine de ton réseau local est rien d'autre.

En aucun cas la résolution de nom se fait via des @IP multicast sinon boujour le bazzar et le net serait déjà par terre.

@++
Rolmops- 3 août 2009 à 19:20
déja, merci pour ce sujet, j'ai désactivé UPNP et ssdp

Mais je m'interroge sur une chose, mon firewall l'a bloqué alors que le paquet voulait passer de la zone trust a la zone untrust.

Donc il l'aurait en quelque sorte routé ? A moins que mon firewall n'envoie tout de "trust" vers "untrust" avant de le bloquer, et que ce soit l'interface qui est présentée comme ça...
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour,

Je sais pas vous aider... mais j'ai constaté la même chose exactement sur mon PC.

En fait, j'avais pas de FW et ayant installé ZA le week-end passé, j'ai vu qu'il y avait une demande d'accès sortant de explorer.exe à l'adresse 127.0.0.1 (on m'a dit que c'était normal) mais aussi un autre (sortant) vers cette adresse 239.255.255.250.

J'ai trouvé bizarre et interdit l'accès. Ca n'empêche rien de tourner. Donc pour moi, c'est réglé, mais je suis curieux de savoir ce que c'est.

A+

Je lirai sûrement la suite du feuilleton.
Pascal Pe- 7 mars 2008 à 15:01
Cette addresse serait (d'après le blog de zbowling, je ne sais pas si je peux poster une adresse externe ici, un coup de google vous le donnera, page xxx.com/projects/upnp/) l'adresse multicast d'accès UPNP des routeurs.

Elle permet de rechercher un routeur UPnp pour détecter les connexions internet permanente et de piloter des ports foward, etc UPnp

La patcher sauvagement n'est sûrement pas une bonne idée....
:-)
Répondre
Ajouter un commentaire
Réponse
+1
moins plus
mort de rire si tu veux bloquer les adresses ip d iana j'ai un bon truc, enleve ton câble.
Sinon je sais pas ou tu cherches tes infos............ je te conseilles de commencer par le debut avant d'essayer de faire l'expert, quelques cours de reseaux
sebkhola- 24 oct. 2008 à 23:43
pfffff

je me demande bien ce qui justifie ce ton méprisant!
ce n'est pas très glorieux ni très convivial tout ça
tu ne dois pas connaître le net
Répondre
Ajouter un commentaire
Réponse
-1
moins plus
Ce que c'est? ben c'est ca:

Une requete UDP visant a reconnaitre le matos plug&plante sur le réseau en unicast et multicast, enfin d'après ce que je comprend.

http://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol ;-)
sebkhola- 24 oct. 2008 à 23:39
Bonjour

je me demande bien ce qui justifie ce ton méprisant!
ce n'est pas très glorieux ni très convivial tout ça
tu ne dois pas connaître le net
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Je n'ai pas bien tout compris mais je peux l'interdire de passer via le parefeu..Que devrais je faire ? Et si vous pouviez me résumer en "clair", lol, pour m'expliquer à quoui ça correspond, qt à l'exe donné plus haut, est-il sûr ?
Merci de votre réponse.
Amicalement,
Bidi.
Ajouter un commentaire
Réponse
+0
moins plus
bonjour à tous , je suis sous debian , et je sniffe un peu le réseau avec wireshark , je constate cette même adresse qui communique avec mon routeur , et utilisant comme vous l'avais indiqué le protocole SSDP.
Mon routeur et cette adresse s'échange des paquets a intervalles réguliers et pendant ces échanges ma connexion se vois diminuer au point de ne pouvoir charger aucune page , enfait c'est tellement lent mais pas assez pour que mon navigateur me retourne l'erreur , donc j'a bien internet mais ma bande passante se vois être entièrement reservé par ces échanges , pour ma part j'ai désactivé upnp a mon routeur , je vais allé dormir et je solutionnerais ca proprement demain .
Je voulais savoir si vous aviez les même symptomes .
a très bientôt +++
bolides- 21 nov. 2008 à 15:08
moi j ai le m probleme que vs mais apparament sa a commencer depuis que je fais du poker en ligne avec des sous

je trouve sa suspect sachant que explorer ne m as jamais demander de se connecter nul part je pense que cette chose surveille le bureau ou peut etre suis je parano mais voila vant que je joue au poker cela n arrivait pas et j ai reinstaler window sy a mm pas un mois donc mon pc pour moi est clean.
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Ben , ben, ben, c'est quoi ces gens qui, avec ce ton méprisant montrent leurs faiblesses ? ...Effectivement, je leur conseille également d'aller faire une formation de technicien réseau...Ils apprendront également que parler n'est pas mépriser, mais discuter, afin que, tous ensemble, nous puissions nous mettre d'accord sur un problème afin de le résoudre...C'est vrai qu'avec Windaube, rien qu'aller sur des sites sur Linux...ou autres..Assedic, anpe..tous les sites que le gouvernement essaie de prendre en main (ce n'est que mon Humble avis ;-)..après tout La france est le premier dictatorial du net, dans le monde...Egalite fraternité..et ta soeur ? Elle bat le beurre ?
Peerguardian clignote à tout casser rien que si tu veux te renseigner sur Mesrine ou Sarkosy, à croire qu'ils sont de la même famille..Entre nous, je préfère Mesrine......Mais il y a la solution : mettez vous à l'informatique, pas au bricolage..Xubuntu est merveilleux !
Allez, soyez joyeux..C'est le week-end !
Bisous à tous et toutes, mes bien chers frères, mes bien chères soeurs.... ;-)

Bien ce petit exe ...!

Merci pour ce petit réglage dans le registre aussi !
aril 62Messages postés dimanche 16 novembre 2008Date d'inscription 2 janvier 2010Dernière intervention - 11 mai 2009 à 13:58
salut bidi62,

Ta solution c'est utiliser linux? ou faite une formation en réseau?
si tel est le cas tu dois savoir d'où vient ces trames SSDP et également
pourquoi elle se permet de se réserver la bande passante.
Clair windows une fois connecté à un réseau, il bombarde de trames le réseau, et côté discrétion on a vu mieux.
Linux il n'y a rien de tel mais certain logiciel propriétaire m'oblige de garder une partoche XP.

Bien à toi
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Avez-vous une Xbox 360 par tous hasard ??? XD
Ajouter un commentaire
Réponse
+0
moins plus
Waw, ca fait beaucoup de blabla tout ca :)


Alors, le premier message qui explique le problème est assez amusant. Ca m'a fait penser à un expert qui parle sur un ton "connaisseur" alors qu'en fait, il n'y connait rien et a peur des paquets réseau :D.


J'ai ce problème aussi, c'est ainsi que je suis tombé sur ce post. En 2 minutes, on peut vite comprendre que c'est un protocole (un blabla d'appareil réseau) qui existe dans l'unique but de découvrir des services (un genre de "bonjour, je suis un ami" ..). Il est aussi indiqué que c'est de l'uPnP machin .. Ok .. Je n'ai pas de windows à la maison, d'ou je rigole bien quand je vois des gens qui recompile carément les dll .. hum .. faut arrêter de regarder les experts ^^.


Dans mon cas, et j'en suis pratiquement certain, la désactivation de l'UpNp truc sur mon routeur ADSL, mon pont Wifi et mon switch (qui n'est rien d'autre qu'un WRT54G v7 .. une merde quoi) devrait très certainement stopé ce genre d'émission.

Donc, arrêter de flasher, non, ce n'est pas un virus, non, votre pc ne va pas être kidnapé ^^. C'est juste un appareil réseau qui cherche un ami. Désactive cette fonction sur le routeur en question, et tout rentrera dans l'ordre ;).
bidi62 85Messages postés jeudi 12 juillet 2007Date d'inscription 21 mai 2010Dernière intervention - 20 mai 2009 à 09:59
Hihihihihi...j'aime ce genre de réflexion...
Amicalement,
Bidi
Répondre
Visiteur- 16 sept. 2009 à 11:06
Excellente réponse!!
Il faut "savoir lire" ce que vous donne votre FW!
L'adresse IP du modem routeur donnée par le FW n'est pas forcément une requête venant de l'extérieur de votre réseau!
Déactiver uPnP sur le modem routeur, et c'est le calme plat sur votre réseau.
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
+ 10 000!

content d'etre arrivé en bas de la page avant d'arreter carrément le net dans la seconde! :) lol en clair et pour les nuls svppp,


_quand 2 PC a la maison avec "partage de fichiers et dimprimantes" souhaités, upnp?oui/non?

_quand DL>>>>upnp?oui/non?

en gros l'utilisateur landa(si tant est qu'il existe)>>bureautique/jeux/web/DL/2pcs (peutetre) ....>>upnp?oui/non?

moi je lai bloqué , jai pas tellement cherché l'entrepot en moldavie qui fesait la requete, parce que tout marche sans, mais si c'est inutile pour les utilisations décrites plus haut,

moi je suis un fervent défenseur <<d'éradiquer l'inutile>> alors svp!!!:)
Ajouter un commentaire
Réponse
+0
moins plus
Ajouter un commentaire
Réponse
+3
moins plus
je n'ai jamais lu un truc aussi débile : aller modifier les dll avec un éditeur hexadécimal pour régler un probleme auquel on ne comprends rien.
Moi qui ne suis pas mécano pour 2 sous, j'ai démonté l'alternateur de ma bagnole. En effet, tout ces fils de cuivre... ça m'a fait peur.
Après quelques kilomètres, la voiture s'est arrêtée. J'ai écrit à Renault ; ils ne m'ont toujours pas répondu. Mais je sais ce que c'est : c'est l'électronique. Toujours en panne sur ces foutues bagnoles !! Et même pas un patch pour mettre à jour. Quelle bande d'incapable !!
likeabirdonawire- 25 juin 2011 à 22:39
c'est un peu sévère mais j'ai bien ri.
Répondre
cromaxfab- 12 oct. 2012 à 22:42
Vieux ce topique, mais plus drôle que vidéo gage
Répondre
Ajouter un commentaire
Réponse
+3
moins plus
UPNP sur le port 1900 ce n'est pas uniquement que du réseau local, ça peut sortir sur le Net, la preuve Look n' stop bloque TOUTES les IP distantes, et en sniffant on peut le vérifier.
Ajouter un commentaire
Réponse
+2
moins plus
Ouhlàlà...
Surtout ne pas faire ce qui est proposé plus haut.

Allez plutôt sur wiki qui vous dira que cette adresse est utilisée par le protocole SSDP pour découvrir par exemple des imprimantes et que c'est une adresse qui ne sortira pas de votre réseau local.
"239.0.0.0/8 Adresse multicast de site. Celles-ci jouent le même rôle que les adresses privées, leur diffusion est limitée à un site."
Quant à l'université de Californie, j'avoue que j'ai bien ri pour une adresse privée (qui n'appartient donc à personne si ce n'est à l'IANA, organisme qui "gère" les attributions d'adresses et qui est il est vrai aux USA).

Dons, pas de risque et si on veut éviter ces trames, il faut virer l'UpNp.
Ajouter un commentaire
Réponse
+0
moins plus
La demande pour l'accès à l'adresse 239.255.255.250 port1900 upnp se réveille si dans explorer>favoris réseau (si Win XP) on clique sur "afficher les icônes des périphériques réseau upnp" (imprimantes réseau, disques durs réseau, scanners réseau, etc., connectés via le routeur). Alors votre ordi va vouloir parcourir le réseau à la recherche de ces périphériques et donc passer par la fameuse adresse de votre routeur. Si vous ne voulez pas que ces icônes de vos périphériques s'affichent, ne cliquez pas sur "afficher les icônes..." ou si vous avez déjà cliqué dessus, recliquez dessus (en ce cas c'est "masquer les icônes" qui s'affiche) et vous n'aurez plus de demandes d'accès à 239.255.255.250 port 1900. Voilà, le reste ce n'est que philosophie ou... humour (bien apprécié le démontage de l'alternateur de la twingo!)
Ajouter un commentaire
Ce document intitulé «  [FIREWALL] 239.255.255.250 port1900 SSDP  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.