我今天注意到McSvHost.exe
(在 Windows 10 上运行的 McAfee LiveSafe 的一部分)正在通过 UDP 端口 2054 向我网络上的每个主机发送流量。
数据包如下所示(带有X
s 的部分实际上是发送方的 MAC 地址):
0x0000: 4500 0038 16c5 0000 8011 d2c9 0a14 1e01 E..8............
0x0010: 0a14 1efe d13b 0806 0024 ba22 0001 0800 .....;...$."....
0x0020: 0604 0001 XXXX XXXX XXXX 0a14 1e01 ffff ........V[......
0x0030: ffff ffff 0a14 1efe ........
...以下是进程监视器显示McSvHost.exe
发送数据包的情况:
我的问题是-
- 这是预期的行为吗?或者我应该怀疑吗?
- 如果它是预期行为,McAfee 试图做什么?我检查过,我的电脑上没有任何内容在监听 UDP 端口 2054。
我尝试联系 McAfee 支持,但却无法让支持人员理解我的问题。
答案1
免责声明:我不在 McAfee(或英特尔)工作过,也没有在该公司工作过。我没有对 McAfee 产品进行过安全审计。
研究结果与假设
您看到的是 ARP 由于未知原因通过 UDP 发送。我想说的是可疑的。至少,它足够可疑,值得你去询问。
我的第一个假设是,这是某种 VPN。你有 VPN 吗?如果看起来像本地网络的东西实际上是通过互联网工作的,那么通过 UDP 发送 ARP 的 VPN 实现可能是有意义的。
为 ARP 选择端口 2054有点儿是有道理的,因为以太类型ARP 的地址是 2054 (0806 16 )。
我的第二个假设是 McAfee 将此用作 ARP 的某种形式的双重检查,或作为修复 ARP 欺骗的尝试。我发现没有关于 McAfee 需要 UDP 端口 2054 的文档.因此我们可以说这不是预期的行为。我想知道这是否是一种隐蔽的安全措施,我希望不是。
即使第二个假设是正确的,它也可能是另一个问题的征兆。
我的第三个假设是 McAfee 受到了攻击,但是,我不知道为什么能够攻击 McAfee 的恶意软件会发送这种流量......
... 除非,这可能是由一个不理解 EtherType 和端口之间区别的开发人员完成的(一些松散编写的文档和工具将 EtherType 称为以太网帧端口 -例子)。
还要注意的是,有些工具可以允许恶意用户选择有效载荷并自动将其包装在传播和感染所需的代码中,从而简化恶意软件的创建。
我的第四个也是最后一个假设是,这是 McAfee 的一个错误,我希望他们在新版本中修复它。
调查
- 其他机器上是否有监听 UDP 端口 2054 的软件?是哪个软件?
- 发送方机器上的 McAfee 是否也在监听 UDP 端口 2054?
- McAfee 收到过回复吗?回复是什么样的?
我建议运行Wireshark在装有 McAfee 的机器和另一台机器上,并捕获它们交换的数据包。
假设这是 McAfee 中的一个错误或者已被破解,我建议验证 Windows 和 McAfee 是否是最新的并且完整性良好(sfc /scannow
对于 Windows,McAfee 的可执行数字签名 - 我认为他们有,最好有,因为他们是一家安全公司)。
您可能还对使用 Autoruns 和 Procexp 感兴趣Sysinternals 套件验证签名并将样本发送至病毒总数软件在启动时(Autoruns)和执行时(Procexp)的运行。专家提示:您可以从迷你窗口运行自动运行Hiren 的 BootCD并告诉它分析离线系统,确保 Autoruns 没有受到恶意软件的攻击。
如果您认为您的机器已被恶意软件感染,请考虑使用救援 ISO 或启动 USB 反恶意软件解决方案,因为这些解决方案几乎不可能被恶意软件感染。
我希望你不需要召唤净化之火。
先例
我找到了另一个techsupportforum 上的 UDP 端口 2054 案例。在这种情况下,显然解决方案是重新安装 Windows。
流量捕获分析
我看了你分享的截图。这是我的工作流程:
如果你确实捕获了发送到 2054 端口的 UDP 数据报,那么目标端口肯定就是捕获的端口。2054 的十六进制表示为 0806,果然,它就在第二行的中间。
因此,我们有:
/* ... data ... */
0806 Destination Port (2054)
/* ... data ... */
现在,看看UDP 报头, 我们有:
/* ... data ... */
/* UDP start */
d13b Source Port (53563)
0806 Destination Port (2054)
0024 Length (36 bytes)
ba22 Checksum
/* ... data ... */
我没有验证校验和。我验证了长度(从 UDP 报头的开头到结尾),它是正确的。
这肯定是 IP 数据包。因此,让我们获取IP 报头:
/* IP start */
4500 Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038 Total length (56 bytes)
16c5 Identification
0000 Flags & Fragment offset (unique fragment)
8011 TTL (128 hops) Protocol (UDP)
d2c9 Header checksum
0a14 \
1e01 -> Source IP address (10.20.30.1)
0a14 \
1efe -> Destination IP address (10.20.30.254)
/* UDP start */
d13b Source Port (53563)
0806 Destination Port (2054)
0024 Length (36 bytes)
ba22 Checksum
/* ... data ... */
我们看到 10.20.30.1 正在向 10.20.30.254 发送 UDP 数据报。没什么特别的。再次,我检查了长度,但没有检查校验和。
那么其余数据呢?我猜了好一会儿。什么协议会发送 MAC?嗯,那就是 ARP,但 ARP 并不在 UPD 上运行,对吧?
出色地,地址解析协议匹配:
/* IP start */
4500 Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038 Total length (56 bytes)
16c5 Identification
0000 Flags & Fragment offset (unique fragment)
8011 TTL (128 hops) Protocol (UDP)
d2c9 Header checksum
0a14 \
1e01 -> Source IP address (10.20.30.1)
0a14 \
1efe -> Destination IP address (10.20.30.254)
/* UDP start */
d13b Source Port (53563)
0806 Destination Port (2054)
0024 Length (36 bytes)
ba22 Checksum
/* ARP start */
0001 Hardware Type (Ethernet)
0800 Protocol type (IPv4)
0604 Hardware length (6 bytes, MAC) Protocol length (4 bytes, IPv4)
0001 Operation (Request)
XXXX \
XXXX -> Sender hardware address (sender's MAC address)
XXXX /
0a14 \
1e01 -> Sender protocol address (10.20.30.1)
ffff \
ffff -> Target hardware address (ignored in Operation = Request)
ffff /
0a14 \
1efe -> Target protocol address (10.20.30.254)
ARP 应该直接在帧上运行,就像 IP 的运行方式一样。相反,它是在 UDP(在 IP 上运行)上运行的 ARP。
但是,如果我们只看 ARP 请求,它会做什么呢?它似乎在向 10.20.30.254 询问其 MAC。不过,你知道,它是通过 UDP 进行询问的。
答案2
我发现罪魁祸首是 McAfee 的家庭网络程序,它是 Anti-virus+ 套件的一部分。它会绘制出您的设备所在的网络,并识别其他网络设备。它似乎会探测设备中的漏洞,以保护整个家庭网络。我用妻子的 Windows 10 PC 购买了订阅,但不知道这是其中一个模块。我使用 Mac,昨晚在控制台中看到了 udp 尝试,每分钟出现一次。您的帖子缩小了要查看的服务范围。我从 Windows 10 服务应用程序中停止了该服务,然后!没有更多的控制台消息。它们在我重新启动几分钟后出现。哇。我现在有新的安全应用程序要学习!谢谢!
答案3
如果在防火墙下将网络设置为家庭网络,那么我认为它正在尝试识别网络上需要保护的其他设备。尝试防火墙网络连接并更改为工作网络,我认为这些可能会停止?
抱歉 - 我知道这有点旧了,但是当我看到同样的问题时,我发现了您的帖子。