McAfee が UDP ポート 2054 でトラフィックを送信しています。これは想定された動作ですか?

Question 1

免責事項: 私は McAfee (あるいは Intel) で働いていませんし、働いたこともありません。McAfee 製品のセキュリティ監査を行ったこともありません。

調査結果と仮説

表示されているのは、理由は不明だがUDP経由でARPが送信されていることだ。交通量は疑わしい。少なくとも、それについて尋ねるのは疑わしいことだ。

私の最初の仮説は、これが何らかの VPN であるというものでした。VPN をお持ちですか? ローカルネットワークのように見えるものが実際にはインターネット経由で動作している場合、UDP 経由で ARP を送信する VPN 実装が意味をなす可能性があります。

ARPにポート2054を選択する種の理にかなっているのは、イーサタイプARPの場合は2054（0806 ₁₆）です。

2つ目の仮説は、マカフィーがこれをARPの二重チェックの手段、またはARPスプーフィングの修正手段として使用しているというものです。McAfee が UDP ポート 2054 を必要とするという文書はありません. つまり、これは期待される動作ではありません。これは隠蔽によるセキュリティなのだろうか、そうではないことを願う。

たとえ 2 番目の仮説が正しいとしても、それは別の問題の兆候である可能性があります。

私の 3 番目の仮説は、McAfee が侵害されたというものです。しかし、McAfee を侵害できるマルウェアがなぜこのようなトラフィックを送信するのかはわかりません...

...ただし、おそらく、EtherTypeとPortの違いを理解していない開発者によって行われたのでしょう（一部の曖昧な文書やツールでは、EtherTypeをEthernetフレームポートと呼んでいます -例）。

また、悪意のあるユーザーがペイロードを選択し、それを拡散と感染に必要なコードに自動的にラップできるようにすることで、マルウェアの作成を容易にするツールがあることにも注意してください。

私の 4 番目で最後の仮説は、これが McAfee のバグであり、新しいバージョンで修正されていることを期待しているというものです。

調査する

他のマシンに UDP ポート 2054 をリッスンしているソフトウェアはありますか? それはどのソフトウェアですか?
送信側マシンの McAfee も UDP ポート 2054 をリッスンしていますか?
McAfee は返信を受け取ることはありますか? 返信はどのようなものですか?

実行することをお勧めしますワイヤーシャークMcAfee と別のマシンを同じマシンに接続し、交換されるパケットをキャプチャします。

これは McAfee のバグであるか、または McAfee が侵害されているという仮説のもと、Windows と McAfee が最新であり、整合性が良好であることを確認することをお勧めします ( sfc /scannowWindows の場合、McAfee の実行可能なデジタル署名 - セキュリティ会社なので、署名されていると推測しますが、署名されている方が望ましいです)。

AutorunsとProcexpの使用にも興味があるかもしれません。Sysinternals スイート署名を確認し、サンプルを送信するウイルストータル起動時 (Autoruns) および実行時 (Procexp) のソフトウェア。プロのヒント: 付属のミニウィンドウから自動実行を実行できますハイレンのブートCDオフラインシステムを分析するように指示し、Autoruns がマルウェアによって侵害されていないことを確認します。

マシンを侵害するマルウェアが存在すると思われる場合は、レスキュー ISO またはブート USB マルウェア対策ソリューションの使用を検討してください。これらを使用すると、マルウェアによる侵害が事実上不可能になります。

浄化の火を召喚する必要がないことを祈ります。

先例

別のものを見つけたtechsupportforum の UDP ポート 2054 の場合その場合、どうやら解決策はWindowsを再インストールして~~火を浄化することだったようです。~~

他のポートでも問題が発生するケースが見つかりました（ここ、そしてここ）。

トラフィックキャプチャ分析

あなたが共有したキャプチャを見ました。これが私の作業プロセスでした:

ポート 2054 に送信された UDP データグラムを実際にキャプチャした場合、宛先ポートはキャプチャである必要があります。16 進数の 2054 は 0806 であり、確かに 2 行目の中央にあります。

したがって、次のようになります。

/* ... data ... */
0806    Destination Port (2054)
/* ... data ... */

さて、UDPヘッダー、我々は持っています：

/* ... data ... */
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

チェックサムは検証しませんでした。長さ (UDP ヘッダーの先頭から末尾まで) は検証しましたが、正しいです。

これはIPパケットに含まれていなければなりません。IPヘッダー:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

10.20.30.1 が UDP データグラムを 10.20.30.254 に送信していることがわかります。特別なことは何もありません。ここでも長さはチェックしましたが、チェックサムはチェックしていません。

残りのデータはどうでしょうか? これには少し推測が必要でした。どのプロトコルが MAC を送信するのでしょうか? そうですね、それは ARP でしょうが、ARP は UPD 上では実行されませんよね?

良い、ARP一致するもの:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ARP start */
0001    Hardware Type (Ethernet)
0800    Protocol type (IPv4)
0604    Hardware length (6 bytes, MAC) Protocol length (4 bytes, IPv4)
0001    Operation (Request)
XXXX    \
XXXX    -> Sender hardware address (sender's MAC address)
XXXX    /
0a14    \
1e01    -> Sender protocol address (10.20.30.1)
ffff    \
ffff    -> Target hardware address (ignored in Operation = Request)
ffff    /
0a14    \
1efe    -> Target protocol address (10.20.30.254)

ARPはIPと同じようにフレーム上で直接実行される必要がある。代わりに、UDP (IP 上で実行) 上で実行される ARP です。

しかし、ARP 要求だけを見ると、何が起きているのでしょうか? 10.20.30.254 に MAC を要求しているように見えます。ただし、ご存知のとおり、これは UDP 経由で要求しています。

Answer

免責事項: 私は McAfee (あるいは Intel) で働いていませんし、働いたこともありません。McAfee 製品のセキュリティ監査を行ったこともありません。

調査結果と仮説

表示されているのは、理由は不明だがUDP経由でARPが送信されていることだ。交通量は疑わしい。少なくとも、それについて尋ねるのは疑わしいことだ。

私の最初の仮説は、これが何らかの VPN であるというものでした。VPN をお持ちですか? ローカルネットワークのように見えるものが実際にはインターネット経由で動作している場合、UDP 経由で ARP を送信する VPN 実装が意味をなす可能性があります。

ARPにポート2054を選択する種の理にかなっているのは、イーサタイプARPの場合は2054（0806 ₁₆）です。

2つ目の仮説は、マカフィーがこれをARPの二重チェックの手段、またはARPスプーフィングの修正手段として使用しているというものです。McAfee が UDP ポート 2054 を必要とするという文書はありません. つまり、これは期待される動作ではありません。これは隠蔽によるセキュリティなのだろうか、そうではないことを願う。

たとえ 2 番目の仮説が正しいとしても、それは別の問題の兆候である可能性があります。

私の 3 番目の仮説は、McAfee が侵害されたというものです。しかし、McAfee を侵害できるマルウェアがなぜこのようなトラフィックを送信するのかはわかりません...

...ただし、おそらく、EtherTypeとPortの違いを理解していない開発者によって行われたのでしょう（一部の曖昧な文書やツールでは、EtherTypeをEthernetフレームポートと呼んでいます -例）。

また、悪意のあるユーザーがペイロードを選択し、それを拡散と感染に必要なコードに自動的にラップできるようにすることで、マルウェアの作成を容易にするツールがあることにも注意してください。

私の 4 番目で最後の仮説は、これが McAfee のバグであり、新しいバージョンで修正されていることを期待しているというものです。

調査する

他のマシンに UDP ポート 2054 をリッスンしているソフトウェアはありますか? それはどのソフトウェアですか?
送信側マシンの McAfee も UDP ポート 2054 をリッスンしていますか?
McAfee は返信を受け取ることはありますか? 返信はどのようなものですか?

実行することをお勧めしますワイヤーシャークMcAfee と別のマシンを同じマシンに接続し、交換されるパケットをキャプチャします。

これは McAfee のバグであるか、または McAfee が侵害されているという仮説のもと、Windows と McAfee が最新であり、整合性が良好であることを確認することをお勧めします ( sfc /scannowWindows の場合、McAfee の実行可能なデジタル署名 - セキュリティ会社なので、署名されていると推測しますが、署名されている方が望ましいです)。

AutorunsとProcexpの使用にも興味があるかもしれません。Sysinternals スイート署名を確認し、サンプルを送信するウイルストータル起動時 (Autoruns) および実行時 (Procexp) のソフトウェア。プロのヒント: 付属のミニウィンドウから自動実行を実行できますハイレンのブートCDオフラインシステムを分析するように指示し、Autoruns がマルウェアによって侵害されていないことを確認します。

マシンを侵害するマルウェアが存在すると思われる場合は、レスキュー ISO またはブート USB マルウェア対策ソリューションの使用を検討してください。これらを使用すると、マルウェアによる侵害が事実上不可能になります。

浄化の火を召喚する必要がないことを祈ります。

先例

別のものを見つけたtechsupportforum の UDP ポート 2054 の場合その場合、どうやら解決策はWindowsを再インストールして~~火を浄化することだったようです。~~

他のポートでも問題が発生するケースが見つかりました（ここ、そしてここ）。

トラフィックキャプチャ分析

あなたが共有したキャプチャを見ました。これが私の作業プロセスでした:

ポート 2054 に送信された UDP データグラムを実際にキャプチャした場合、宛先ポートはキャプチャである必要があります。16 進数の 2054 は 0806 であり、確かに 2 行目の中央にあります。

したがって、次のようになります。

/* ... data ... */
0806    Destination Port (2054)
/* ... data ... */

さて、UDPヘッダー、我々は持っています：

/* ... data ... */
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

チェックサムは検証しませんでした。長さ (UDP ヘッダーの先頭から末尾まで) は検証しましたが、正しいです。

これはIPパケットに含まれていなければなりません。IPヘッダー:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

10.20.30.1 が UDP データグラムを 10.20.30.254 に送信していることがわかります。特別なことは何もありません。ここでも長さはチェックしましたが、チェックサムはチェックしていません。

残りのデータはどうでしょうか? これには少し推測が必要でした。どのプロトコルが MAC を送信するのでしょうか? そうですね、それは ARP でしょうが、ARP は UPD 上では実行されませんよね?

良い、ARP一致するもの:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ARP start */
0001    Hardware Type (Ethernet)
0800    Protocol type (IPv4)
0604    Hardware length (6 bytes, MAC) Protocol length (4 bytes, IPv4)
0001    Operation (Request)
XXXX    \
XXXX    -> Sender hardware address (sender's MAC address)
XXXX    /
0a14    \
1e01    -> Sender protocol address (10.20.30.1)
ffff    \
ffff    -> Target hardware address (ignored in Operation = Request)
ffff    /
0a14    \
1efe    -> Target protocol address (10.20.30.254)

ARPはIPと同じようにフレーム上で直接実行される必要がある。代わりに、UDP (IP 上で実行) 上で実行される ARP です。

しかし、ARP 要求だけを見ると、何が起きているのでしょうか? 10.20.30.254 に MAC を要求しているように見えます。ただし、ご存知のとおり、これは UDP 経由で要求しています。

Question 2

犯人は、アンチウイルス+スイートの一部であるマカフィーのホームネットワークプログラムであることがわかりました。このプログラムは、デバイスが接続されているネットワークをマップし、他のネットワークデバイスを識別します。ホームネットワーク全体を保護するために、デバイスの脆弱性を調査しているようです。妻のWindows 10 PCでサブスクリプションを購入しましたが、これがモジュールの1つであるとは知りませんでした。私はMacを使用していますが、昨晩、コンソールでUDPの試行が1分ごとに表示されていました。あなたの投稿により、調べるべきサービスが絞り込まれました。Windows 10サービスアプリからサービスを停止すると、コンソールメッセージが表示されなくなりました。再起動してから数分後にメッセージが表示されました。すごい。これで、新しいセキュリティアプリを学習する必要があります。ありがとうございます。

Answer

犯人は、アンチウイルス+スイートの一部であるマカフィーのホームネットワークプログラムであることがわかりました。このプログラムは、デバイスが接続されているネットワークをマップし、他のネットワークデバイスを識別します。ホームネットワーク全体を保護するために、デバイスの脆弱性を調査しているようです。妻のWindows 10 PCでサブスクリプションを購入しましたが、これがモジュールの1つであるとは知りませんでした。私はMacを使用していますが、昨晩、コンソールでUDPの試行が1分ごとに表示されていました。あなたの投稿により、調べるべきサービスが絞り込まれました。Windows 10サービスアプリからサービスを停止すると、コンソールメッセージが表示されなくなりました。再起動してから数分後にメッセージが表示されました。すごい。これで、新しいセキュリティアプリを学習する必要があります。ありがとうございます。

Question 3

ファイアウォールの下でネットワークがホームに設定されている場合、ネットワーク上で保護が必要な他のデバイスを識別しようとしていると思います。ファイアウォールネットワーク接続を試して、仕事用ネットワークに変更すると、これらの問題が止まると思いますか?

申し訳ありません。少し古いのは承知していますが、同じ問題に遭遇したときにあなたの投稿を見つけました。

Answer

ファイアウォールの下でネットワークがホームに設定されている場合、ネットワーク上で保護が必要な他のデバイスを識別しようとしていると思います。ファイアウォールネットワーク接続を試して、仕事用ネットワークに変更すると、これらの問題が止まると思いますか?

申し訳ありません。少し古いのは承知していますが、同じ問題に遭遇したときにあなたの投稿を見つけました。

McAfee が UDP ポート 2054 でトラフィックを送信しています。これは想定された動作ですか?

答え1

調査結果と仮説

調査する

先例

トラフィックキャプチャ分析

答え2

答え3

関連情報