思わず、 UPnP を調べることになった (1)

昨日、家庭内ルータとの接続が切れて、再接続も出来なくなる事態に陥りました。 調べてみると、"Symantec Firewall" に「一秒ごとに無線ブロードバンド・ルータに対して発せられたコネクション」が大量に記録されていました。 ヤバイ！ と思い、無線を切り、まず現象を確認することにしました。 "Norton" でフル・スキャンをかけて、 "Spybot" もかけて、こいつらが見つけられる問題ではなさそうだ。

何のコネクション？

まず、通信内容が何であるかを調べました。 ノートPCからは、ポート番号を変えながら、ルータの49152番ポートに向けてコネクションが行われています。 "Symantec Firewall" の記録だけでは、良くわからないので、 "Wireshark" にお出ましいただきました。

"Wireshark" は、以前、 "MCF52233"基板の解析で使用したパケット・モニタです。 こんなところで、再登場になろうとは。 インストールして無線を再度有効にし、パケットを監視させました。

POST /WANCommonIFC1 HTTP/1.1

49152番ポートに "POST" ？ しかも、ルータが律儀にそれに答えています。 何じゃ、こりゃ？

UPnP というプロトコル？

google さんに教えてもらったところ、 "UPnP" というプロトコルの通信のようです。 それにしても、一秒ごとにコネクションを張らせる理由はないはずです。 通信内容を詳しく見てみました。

• PCからルータに3ウェイ・ハンドシェーク
• PCからルータに "POST" を PSH
• ルータからPCに "XML" を二回に分けてPSH
• PCからルータに RST
• 1秒後に再び繰り返す

ルータとの通信が切れたのは、これらのしつこいコネクションを（DoS?）攻撃とみなしたのだろうと推測します。 せっかく、返事をしてやったのに「RST」とは、失礼なやつだ。

"UPnP" というのは、ネットワーク上に接続された機器の情報を集めて回ったり、それらの機器を操作したりする、いかにも Micro$oft が提唱しそうなプロトコルです。 なんだ、これを使えばルータにファイアー・ウォールの任務を放棄させることもできるのね。

と、今の所はここまで。 次は、どのプロセスがこの通信を仕掛けているのかを調べようと思います。 でも、どうやって？

あるいは、こんなに悠長にかまえている場合じゃないのか？

参考サイト

UPnP:ネットワーク大事典

UPnP のオモテの顔の話は、私が見つけた中で一番詳しいのが、ここです。

UPnPを狙う新たな攻撃、「Webアクセスだけでルーター設定変更の恐れ」

一方、良く語られているのが、この手の危ないお話で、「勝手に何かをする」プロトコルの危うさを感じざるをえません。

「Downadup」ワームのUPnPを使った攻撃

これは、ごく最近の記事です。 オモテの解説記事よりも、ある意味、詳しく書いてあります。