McAfee envía tráfico en el puerto UDP 2054: ¿es este el comportamiento esperado?

Descargo de responsabilidad: No trabajo y no he trabajado en McAfee (ni en Intel). No he realizado auditorías de seguridad en los productos de McAfee.

---

Hallazgos e hipótesis

Lo que ves es que ARP se envía a través de UDP por razones desconocidas.. Yo diría que el tráfico essospechoso.Al menos, es lo suficientemente sospechoso como para que preguntes al respecto..

---

Mi primera hipótesis fue que se trataba de algún tipo de VPN. ¿Tienes una VPN? Si lo que parece una red local en realidad funciona a través de Internet, una implementación VPN que envíe ARP a través de UDP podría tener sentido.

Seleccionar el puerto 2054 para ARPun pocotiene sentido, porque elTipo de éterpara ARP es 2054 (0806 ₁₆ ).

---

Mi segunda hipótesis es que McAfee utiliza esto como una especie de doble verificación de ARP o como un intento de corregir la suplantación de ARP. he encontradono hay documentación sobre McAfee que necesita el puerto UDP 2054. Así podemos decireste no es un comportamiento esperado.Me pregunto si esto es seguridad por oscuridad, espero que no lo sea..

Incluso si la segunda hipótesis es correcta, podría ser síntoma de otro problema.

---

Mi tercera hipótesis sería un McAfee comprometido, sin embargo, no sé por qué un malware que puede comprometer a McAfee enviaría este tipo de tráfico...

... Excepto, tal vez, que lo hizo un desarrollador que no entendía la diferencia entre un EtherType y un puerto (algunas herramientas y documentación vagamente escrita se refieren a EtherType como puertos de trama Ethernet).ejemplo).

También tenga en cuenta que existen herramientas que facilitan la creación de malware al permitir que el usuario de malicius seleccione una carga útil y la incluya automáticamente en el código necesario para la propagación y la infección.

---

Mi cuarta y última hipótesis es que se trata de un error de McAfee, que espero que lo solucionen en una versión más reciente.

---

Investigar

• ¿Hay software escuchando el puerto UDP 2054 en las otras máquinas? ¿Qué software es?
• ¿McAfee en la máquina del remitente también escucha el puerto UDP 2054?
• ¿McAfee alguna vez recibe una respuesta? ¿Cómo es la respuesta?

sugiero correrWiresharken la máquina con McAfee y otra máquina, y capturar qué paquetes intercambian.

---

Bajo la hipótesis de que se trata de un error en McAfee o que se ha visto comprometido, sugiero verificar que Windows y McAfee estén actualizados y en buena integridad ( sfc /scannowpara Windows, firmas digitales ejecutables para McAfee; supongo que sí, será mejor que las tengan). ser de una empresa de seguridad).

También te puede interesar utilizar Autoruns y Procexp deSuite Sysinternalspara verificar firmas y enviar muestras aVirusTotaldel software al inicio (Autoruns) y en ejecución (Procexp).Consejo profesional: Puedes ejecutar Autoruns desde el Mini Windows que vieneCD de arranque de alquilery dígale que analice un sistema fuera de línea, asegurándose de que el malware no haya comprometido las ejecuciones automáticas.

Si cree que tiene un malware que ha comprometido la máquina, considere utilizar una ISO de rescate o una solución antimalware de arranque USB, ya que sería prácticamente imposible comprometerlos por el malware.

Espero que no necesites convocar fuego purificador..

---

Precedentes

he encontrado otrocaso del puerto UDP 2054 en techsupportforum. En ese caso, al parecer la solución fue purificar el fuego reinstalando Windows.

También encontré casos de problemas con otros puertos (aquí, yaquí).

---

Análisis de captura de tráfico

Eché un vistazo a la captura que compartes. Este fue mi proceso de trabajo:

Si realmente ha capturado un datagrama UDP enviado al puerto 2054, el puerto de destino debe ser el de captura. 2054 en hexadecimal es 0806 y, efectivamente, ahí está en el medio de la segunda línea.

Por tanto, tenemos:

/* ... data ... */
0806    Destination Port (2054)
/* ... data ... */

Ahora, mirando elencabezado UDP, tenemos:

/* ... data ... */
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

No verifiqué la suma de verificación. Verifiqué la longitud (que va desde el inicio del encabezado UDP hasta el final) y es correcta.

Esto debe estar en un paquete IP. Entonces, obtengamos elencabezado IP:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

Vemos que 10.20.30.1 está enviando un datagrama UDP a 10.20.30.254. Nada sofisticado. Nuevamente verifiqué la longitud, pero no la suma de verificación.

¿Qué pasa con el resto de los datos? Esto me costó un poco adivinar. ¿Qué protocolo envía una MAC? Bueno, eso sería ARP, pero ARP no se ejecuta sobre UPD, ¿verdad?

Bien,ARPcoincide:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ARP start */
0001    Hardware Type (Ethernet)
0800    Protocol type (IPv4)
0604    Hardware length (6 bytes, MAC) Protocol length (4 bytes, IPv4)
0001    Operation (Request)
XXXX    \
XXXX    -> Sender hardware address (sender's MAC address)
XXXX    /
0a14    \
1e01    -> Sender protocol address (10.20.30.1)
ffff    \
ffff    -> Target hardware address (ignored in Operation = Request)
ffff    /
0a14    \
1efe    -> Target protocol address (10.20.30.254)

ARP debería ejecutarse directamente encima del marco, de la misma manera que se ejecuta IP. En cambio, es ARP ejecutándose sobre UDP (que se ejecuta sobre IP).

Sin embargo, si miramos sólo la solicitud ARP, ¿qué está haciendo? Parece estar pidiendo 10.20.30.254 su MAC. Excepto que, ya sabes, se solicita a través de UDP.

Descubrí que el culpable es el programa Home Network de McAfee, que forma parte de la suite Anti-virus+. Mapea la red en la que se encuentra su dispositivo identificando otros dispositivos de red. Parece investigar los dispositivos en busca de vulnerabilidades para proteger la red doméstica en general. Compré la suscripción con la PC con Windows 10 de mi esposa y no tenía idea de que este era uno de los módulos. Utilizo una Mac y anoche vi el intento de udp en la consola, que aparece cada minuto. Su publicación limitó qué servicios mirar. ¡Detuve el servicio desde la aplicación de servicios de Windows 10 y viola! No más mensajes de consola. Aparecieron un par de minutos después de que lo reinicié. Guau. ¡Ahora tengo una nueva aplicación de seguridad para aprender! ¡Gracias!

Si bajo el firewall la red está configurada como local, creo que está intentando identificar otros dispositivos en la red que necesitan protección. Pruebe las conexiones de red del Firewall y cambie a la red de trabajo y creo que podrían detenerse.

Lo siento, un poco antiguo, lo sé, pero encontré tu publicación cuando vi el mismo problema.