3 votes

N S avatar

Googlecast SSDP et les requêtes MDNS sur le réseau malgré l'absence d'applications Chromecast installées sur l'ordinateur principal.

Demandé el 3 de Mars, 2020
Quand la question a-t-elle été
5829 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comme le titre l'indique,

J'ai détecté quelques requêtes MDNS à partir d'une adresse googlecast, ce qui est étrange car je n'ai aucun des applications googlecast ou similaires installées.

De plus, mon PC envoie des paquets SSDP à 239.255.255.250 (sous-réseau ?) concernant des chaînes 'M-Search: HTTP/1.1' à une machine Chrome OS.

Paquet MDNS : 192.168.1.65 224.0.0.251 MDNS 119 Requête standard 0x000b PTR _674A0243._sub._googlecast._tcp.local, question "QM" PTR _8E6C866D._sub._googlecast._tcp.local, question "QM" PTR _googlecast._tcp.local, question "QM"

Paquet SSDP : 192.168.1.67 239.255.255.250 SSDP 216 M-SEARCH * HTTP/1.1

Peut-être est-il bon de mentionner que j'ai remarqué que le 'User-agent' spécifié pour ces paquets SSDP est indiqué comme étant soit 'Google Chrome' soit 'Chrome OS'. Est-ce simplement une fonction par défaut de Google Chrome pour inclure leur technologie DIAL ?

Demandé el 3 de Mars, 2020 par N S

Réponses

Trop de publicités?

5voto

user276648 avatar
user276648 Points 850

Vous observez deux choses différentes qui sont indépendantes l'une de l'autre.

  • Le trafic SSDP est simplement une "sondage" général pour les appareils qui correspondent à la recherche. 239.255.255.250 est une adresse de multidiffusion définie dans la norme UPnP. SSDP est simplement le mécanisme de découverte UPnP auquel quelqu'un a pensé qu'il devrait avoir son propre nom. Seuls les "abonnés" à 239.255.255.250 recevront effectivement ces messages (le réseau OS filtre les messages de multidiffusion), mais comme pour tous les paquets de multidiffusion, les paquets eux-mêmes sont envoyés à tous les appareils du réseau. Plusieurs logiciels s'exécutant sur votre ordinateur peuvent être à l'origine du M-SEARCH, certains systèmes d'exploitation comme Windows les enverront même eux-mêmes dans le cadre de la "découverte réseau" intégrée.
  • mDNS avec DNS-SD est un système alternatif pour faire à peu près la même chose que SSDP. Il est également appelé Bonjour entre autres, et il utilise également la multidiffusion pour permettre aux appareils du réseau de se découvrir mutuellement. DNS-SD ajoute la possibilité d'annoncer des "services" via mDNS ou DNS unicast normal. _googlecast._tcp.local est l'un de ces "services" utilisé par ChromeCasts, les téléviseurs Android, Google Home, le navigateur Chrome et tous les autres éléments de l'écosystème Google qui peuvent participer à leur système de "cast". Je ne suis pas expert en mDNS, mais il me semble que c'est également un "sondage" à la recherche de périphériques prenant en charge ce "service". Je suppose que Chrome OS participe également à cela, donc il se pourrait que par exemple un navigateur Chrome s'exécutant sur un autre système d'exploitation et Chrome OS restent "en contact" en utilisant ce système.
Répondu el 3 de Août, 2021 par user276648 (850 Points )

2voto

PulledBull avatar
PulledBull Points 248

Le navigateur Chrome est livré avec un plugin Chromecast intégré pour permettre le partage d'onglet ou d'écran si un appareil compatible Chromecast est sur votre réseau local (par exemple, des appareils Android TV ou Chromecast).

Il recherchera régulièrement des appareils afin de présenter une liste de dispositifs cibles.

Répondu el 3 de Mars, 2020 par PulledBull (248 Points )

0 votes

Avatar de N S

Merci difficile, donc je suppose qu'il continuera d'interroger les appareils compatibles sur mon réseau? Qu'explique la transmission SSDP cependant? Je suppose que c'est dû à mon ordinateur utilisant Chrome?

Commenté el 3 de Mars, 2020 par N S

-2voto

PlugzGTL avatar
PlugzGTL Points 1

)

Je viens juste de voir ce message. Il y a environ 2 ans, j'ai eu des interactions similaires avec cette adresse sortant de ma machine.

Donc est-ce juste un GoogleCast/ChromeCast ??

D'après mes propres recherches et mon ordinateur, je ne suis pas du tout sûr.

Tout sur ma machine était à jour à l'époque, donc vous ne vous attendriez pas à voir des applications inconnues s'exécuter depuis le système, mais il y en avait et assez nombreuses.

Pour moi, ipv4 est une connexion 1 à 1 et ipv6 est une connexion unicast à multidiffusion. J'ai donc pensé désactiver ipv6 du réseau local, du routeur et de toutes les applications et autorisations du pare-feu qui semblent être par défaut en utilisant la multidiffusion. J'ai également supprimé tous les services pour ipv6, la traduction, le tunneling, fondamentalement autant que je savais que je pouvais faire sans endommager le système. Je pensais que cela devrait régler le problème, mais en vérifiant à nouveau après, ça fonctionnait encore.

Maintenant, je l'ai localisé jusqu'à un svchost Windows, avec un numéro de processus PID de 4. Comment cela peut-il être intégré à mon système d'exploitation de cette manière? Donc, en creusant davantage et sans aucun ipv6 en cours d'exécution, j'ai réussi à localiser beaucoup plus facilement les adresses de connexion à distance.

Rien que d'après les informations dans le moniteur de ressources, il semble maintenant que ce soit en fait une sorte de 'Speed Test' de Windows. D'autres recherches suggéreraient que ces svchosts bidons et stupides sont en fait des tests de vitesse de Windows, des tests de vitesse à distance, des tests de vitesse Internet. Intelligemment installés et placés dans le Planificateur de tâches Windows et joliment cachés à un utilisateur normal.

Allons maintenant aux informations utiles que j'ai réussi à traduire moi-même. Vous pourriez les trouver intéressantes.

Adresses locales sur mon ordi:

239.255.255.255 svchost PID=4 + PID=2584 224.0.0.252

Elles se connectaient à plusieurs adresses distantes. J'ai fait mes recherches ici. Test de vitesse ? Ouais, c'est ça.

Les adresses des tests de vitesse ressemblent à ceci,

  1. 239.255.255.255 = 1e100.net - Google
  2. 239.255.255.255 = 104.40.210.32 - Akamai Tech (Steam)
  3. 239.255.255.255 = 93.184.221.240 - Verizon Edgecast Netblk
  4. 239.255.255.255 = 88.221.42.227 - Akamai Tech
  5. 239.255.255.255 = 34.98.75.36 - Amazon Key logging?
  6. 224.0.0.254 = 13.227.171.38 - cloudfront.net (Amazon)
  7. 224.0.0.252 = 99.84.8.129 - cloudfront.net (Amazon)

Type = Tests de vitesse à distance - Ports 443 + plage 49000

  1. 52.183.47.176 = Microsoft Azure
  2. 151.139.128.14 = Highwinds Network Group
  3. 173.222.210.65 = Akamai Technologies (steam je pense)

Adresses converties en ipv6 trouvées attaquant ma machine,

  1. 0:0:0:ffff%1 = 191.232.139.2 = Microsoft Azure
  2. 0:0:0:ffff%2 = 40.112.91.29 = Microsoft Azure
  3. 0:0:0:ffff%3 = 52.156.194.135 = Microsoft Azure
  4. ::/64 = 152.199.19.161 = Verizon Business
  5. :: = 204.79.197.200 = Microsoft?

Autrefois, vous deviez activer les choses pour les faire fonctionner. De nos jours, tout est activé par défaut. La vie privée ? Il n'y en a pratiquement pas de nos jours.

Quoi qu'il en soit, bonne chance et pour quiconque lit ceci, j'espère que ces informations vous aideront un peu.

Plugz

Répondu el 13 de Septembre, 2020 par PlugzGTL (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X