UDP 포트 2054에서 트래픽을 보내는 McAfee: 이는 예상된 동작입니까?

Question 1

부인 성명: 저는 일하지 않으며 McAfee(또는 Intel)에서 일한 적도 없습니다. McAfee 제품에 대한 보안 감사를 수행하지 않았습니다.

연구 결과 및 가설

알 수 없는 이유로 UDP를 통해 ARP가 전송되는 것을 볼 수 있습니다.. 교통이 좋다고 하던데의심스러운.적어도 물어볼 만큼 의심스럽습니다..

나의 첫 번째 가설은 이것이 일종의 VPN이라는 것이었습니다. VPN이 있나요? 로컬 네트워크로 보이는 것이 실제로 인터넷을 통해 작동하는 경우 UDP를 통해 ARP를 보내는 VPN 구현이 적합할 수 있습니다.

ARP용 포트 2054 선택거의말이 되니, 왜냐면에테르 유형ARP의 경우 2054(0806 ₁₆ )입니다.

두 번째 가설은 McAfee가 이를 ARP에 대한 이중 확인의 형태로 사용하거나 ARP 스푸핑을 수정하려는 시도로 사용한다는 것입니다. 나는 발견했다UDP 포트 2054가 필요한 McAfee에 대한 문서가 없습니다.. 따라서 우리는 말할 수 있습니다이는 예상된 동작이 아닙니다..이것이 모호함에 의한 보안인지 궁금합니다. 그렇지 않기를 바랍니다..

두 번째 가설이 맞더라도 이는 또 다른 문제의 징후일 수 있습니다.

세 번째 가설은 McAfee 침해입니다. 그런데 McAfee를 침해할 수 있는 악성 코드가 왜 이런 종류의 트래픽을 보내는지 모르겠습니다...

... 아마도 EtherType과 포트의 차이점을 이해하지 못한 개발자가 수행했을 수도 있습니다. (느슨하게 작성된 일부 문서와 도구에서는 EtherType을 이더넷 프레임 포트로 참조합니다.)예).

또한 악의적인 사용자가 페이로드를 선택하고 이를 확산 및 감염에 필요한 코드에 자동으로 래핑하여 맬웨어 생성을 쉽게 해주는 도구도 있습니다.

네 번째이자 마지막 가설은 이것이 McAfee의 버그라는 것입니다. 새 버전에서 수정되었으면 좋겠습니다.

조사하다

다른 시스템에서 UDP 포트 2054를 수신하는 소프트웨어가 있습니까? 어떤 소프트웨어인가요?
발신자 컴퓨터의 McAfee도 UDP 포트 2054를 수신하고 있습니까?
McAfee에서 답변을 받은 적이 있나요? 답장은 어떻게 보나요?

나는 달리기를 제안한다와이어샤크McAfee 및 다른 시스템과 함께 시스템에서 교환하는 패킷을 캡처합니다.

이것이 McAfee의 버그이거나 손상되었다는 가설에 따라 Windows와 McAfee가 최신 상태이고 무결성이 양호한지 확인하는 것이 좋습니다( sfc /scannowWindows의 경우 McAfee에 대해 실행 가능한 디지털 서명이 있는 것으로 추정됩니다. 보안업체 출신).

Autoruns 및 Procexp를 사용하는 데 관심이 있을 수도 있습니다.시스인터널스 스위트서명을 확인하고 샘플을 보내려면바이러스 총계시작 시(Autoruns) 및 실행 시(Procexp) 소프트웨어.전문가의 팁: 기본으로 제공되는 미니윈도우에서 자동실행을 실행할 수 있습니다.히렌의 BootCD오프라인 시스템을 분석하여 Autoruns가 맬웨어에 의해 손상되지 않았는지 확인하도록 지시합니다.

시스템을 손상시킨 맬웨어가 있다고 생각되면 복구 ISO 또는 부팅 USB 맬웨어 방지 솔루션을 사용하는 것이 좋습니다. 맬웨어로 인해 손상되는 것은 사실상 불가능하기 때문입니다.

정화의 불을 소환할 필요가 없기를 바랍니다..

선례

나는 다른 것을 발견했다techsupportforum의 UDP 포트 2054 사례. 이 경우 해결 방법은 Windows를 다시 설치하는 것이었 ~~습니다~~ .

다른 포트에서도 문제가 있는 사례를 발견했습니다(여기, 그리고여기).

트래픽 캡처 분석

공유해주신 캡쳐 잘 봤습니다. 내 작업 과정은 다음과 같았다.

포트 2054로 전송된 UDP 데이터그램을 실제로 캡처한 경우 대상 포트는 캡처여야 합니다. 16진수 2054는 0806이고, 당연히 두 번째 줄 중간에 있습니다.

따라서 우리는 다음을 갖습니다:

/* ... data ... */
0806    Destination Port (2054)
/* ... data ... */

이제,UDP 헤더, 우리는 다음을 가지고 있습니다 :

/* ... data ... */
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

체크섬을 확인하지 않았습니다. UDP 헤더의 시작부터 끝까지의 길이를 확인했는데 정확했습니다.

이는 IP 패킷에 있어야 합니다. 그럼, 우리는IP 헤더:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

10.20.30.1이 UDP 데이터그램을 10.20.30.254로 보내는 것을 볼 수 있습니다. 멋진 것은 없습니다. 이번에도 길이를 확인했지만 체크섬은 확인하지 않았습니다.

나머지 데이터는 어떻습니까? 이것은 나에게 약간의 추측이 필요했습니다. MAC을 보내는 프로토콜은 무엇입니까? 글쎄, 그것은 ARP가 되겠지만 ARP는 UPD 위에서 실행되지 않습니다. 그렇죠?

잘,ARP일치:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ARP start */
0001    Hardware Type (Ethernet)
0800    Protocol type (IPv4)
0604    Hardware length (6 bytes, MAC) Protocol length (4 bytes, IPv4)
0001    Operation (Request)
XXXX    \
XXXX    -> Sender hardware address (sender's MAC address)
XXXX    /
0a14    \
1e01    -> Sender protocol address (10.20.30.1)
ffff    \
ffff    -> Target hardware address (ignored in Operation = Request)
ffff    /
0a14    \
1efe    -> Target protocol address (10.20.30.254)

ARP는 IP가 실행되는 것과 같은 방식으로 프레임 위에서 직접 실행되어야 합니다.. 대신 UDP(IP 위에서 실행) 위에서 실행되는 ARP입니다.

그런데 ARP 요청만 보면 무엇을 하고 있는 걸까요? MAC에 대해 10.20.30.254를 요구하는 것 같습니다. 단, UDP를 통해 요청하는 것입니다.

Answer

부인 성명: 저는 일하지 않으며 McAfee(또는 Intel)에서 일한 적도 없습니다. McAfee 제품에 대한 보안 감사를 수행하지 않았습니다.

연구 결과 및 가설

알 수 없는 이유로 UDP를 통해 ARP가 전송되는 것을 볼 수 있습니다.. 교통이 좋다고 하던데의심스러운.적어도 물어볼 만큼 의심스럽습니다..

나의 첫 번째 가설은 이것이 일종의 VPN이라는 것이었습니다. VPN이 있나요? 로컬 네트워크로 보이는 것이 실제로 인터넷을 통해 작동하는 경우 UDP를 통해 ARP를 보내는 VPN 구현이 적합할 수 있습니다.

ARP용 포트 2054 선택거의말이 되니, 왜냐면에테르 유형ARP의 경우 2054(0806 ₁₆ )입니다.

두 번째 가설은 McAfee가 이를 ARP에 대한 이중 확인의 형태로 사용하거나 ARP 스푸핑을 수정하려는 시도로 사용한다는 것입니다. 나는 발견했다UDP 포트 2054가 필요한 McAfee에 대한 문서가 없습니다.. 따라서 우리는 말할 수 있습니다이는 예상된 동작이 아닙니다..이것이 모호함에 의한 보안인지 궁금합니다. 그렇지 않기를 바랍니다..

두 번째 가설이 맞더라도 이는 또 다른 문제의 징후일 수 있습니다.

세 번째 가설은 McAfee 침해입니다. 그런데 McAfee를 침해할 수 있는 악성 코드가 왜 이런 종류의 트래픽을 보내는지 모르겠습니다...

... 아마도 EtherType과 포트의 차이점을 이해하지 못한 개발자가 수행했을 수도 있습니다. (느슨하게 작성된 일부 문서와 도구에서는 EtherType을 이더넷 프레임 포트로 참조합니다.)예).

또한 악의적인 사용자가 페이로드를 선택하고 이를 확산 및 감염에 필요한 코드에 자동으로 래핑하여 맬웨어 생성을 쉽게 해주는 도구도 있습니다.

네 번째이자 마지막 가설은 이것이 McAfee의 버그라는 것입니다. 새 버전에서 수정되었으면 좋겠습니다.

조사하다

다른 시스템에서 UDP 포트 2054를 수신하는 소프트웨어가 있습니까? 어떤 소프트웨어인가요?
발신자 컴퓨터의 McAfee도 UDP 포트 2054를 수신하고 있습니까?
McAfee에서 답변을 받은 적이 있나요? 답장은 어떻게 보나요?

나는 달리기를 제안한다와이어샤크McAfee 및 다른 시스템과 함께 시스템에서 교환하는 패킷을 캡처합니다.

이것이 McAfee의 버그이거나 손상되었다는 가설에 따라 Windows와 McAfee가 최신 상태이고 무결성이 양호한지 확인하는 것이 좋습니다( sfc /scannowWindows의 경우 McAfee에 대해 실행 가능한 디지털 서명이 있는 것으로 추정됩니다. 보안업체 출신).

Autoruns 및 Procexp를 사용하는 데 관심이 있을 수도 있습니다.시스인터널스 스위트서명을 확인하고 샘플을 보내려면바이러스 총계시작 시(Autoruns) 및 실행 시(Procexp) 소프트웨어.전문가의 팁: 기본으로 제공되는 미니윈도우에서 자동실행을 실행할 수 있습니다.히렌의 BootCD오프라인 시스템을 분석하여 Autoruns가 맬웨어에 의해 손상되지 않았는지 확인하도록 지시합니다.

시스템을 손상시킨 맬웨어가 있다고 생각되면 복구 ISO 또는 부팅 USB 맬웨어 방지 솔루션을 사용하는 것이 좋습니다. 맬웨어로 인해 손상되는 것은 사실상 불가능하기 때문입니다.

정화의 불을 소환할 필요가 없기를 바랍니다..

선례

나는 다른 것을 발견했다techsupportforum의 UDP 포트 2054 사례. 이 경우 해결 방법은 Windows를 다시 설치하는 것이었 ~~습니다~~ .

다른 포트에서도 문제가 있는 사례를 발견했습니다(여기, 그리고여기).

트래픽 캡처 분석

공유해주신 캡쳐 잘 봤습니다. 내 작업 과정은 다음과 같았다.

포트 2054로 전송된 UDP 데이터그램을 실제로 캡처한 경우 대상 포트는 캡처여야 합니다. 16진수 2054는 0806이고, 당연히 두 번째 줄 중간에 있습니다.

따라서 우리는 다음을 갖습니다:

/* ... data ... */
0806    Destination Port (2054)
/* ... data ... */

이제,UDP 헤더, 우리는 다음을 가지고 있습니다 :

/* ... data ... */
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

체크섬을 확인하지 않았습니다. UDP 헤더의 시작부터 끝까지의 길이를 확인했는데 정확했습니다.

이는 IP 패킷에 있어야 합니다. 그럼, 우리는IP 헤더:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ... data ... */

10.20.30.1이 UDP 데이터그램을 10.20.30.254로 보내는 것을 볼 수 있습니다. 멋진 것은 없습니다. 이번에도 길이를 확인했지만 체크섬은 확인하지 않았습니다.

나머지 데이터는 어떻습니까? 이것은 나에게 약간의 추측이 필요했습니다. MAC을 보내는 프로토콜은 무엇입니까? 글쎄, 그것은 ARP가 되겠지만 ARP는 UPD 위에서 실행되지 않습니다. 그렇죠?

잘,ARP일치:

/* IP start */
4500    Version (IPv4) IHL (20 bytes) Differentiated Services (Default Forwarding)
0038    Total length (56 bytes)
16c5    Identification
0000    Flags & Fragment offset (unique fragment)
8011    TTL (128 hops)  Protocol (UDP)
d2c9    Header checksum
0a14    \
1e01    -> Source IP address (10.20.30.1)
0a14    \
1efe    -> Destination IP address (10.20.30.254)
/* UDP start */
d13b    Source Port (53563)
0806    Destination Port (2054)
0024    Length (36 bytes)
ba22    Checksum
/* ARP start */
0001    Hardware Type (Ethernet)
0800    Protocol type (IPv4)
0604    Hardware length (6 bytes, MAC) Protocol length (4 bytes, IPv4)
0001    Operation (Request)
XXXX    \
XXXX    -> Sender hardware address (sender's MAC address)
XXXX    /
0a14    \
1e01    -> Sender protocol address (10.20.30.1)
ffff    \
ffff    -> Target hardware address (ignored in Operation = Request)
ffff    /
0a14    \
1efe    -> Target protocol address (10.20.30.254)

ARP는 IP가 실행되는 것과 같은 방식으로 프레임 위에서 직접 실행되어야 합니다.. 대신 UDP(IP 위에서 실행) 위에서 실행되는 ARP입니다.

그런데 ARP 요청만 보면 무엇을 하고 있는 걸까요? MAC에 대해 10.20.30.254를 요구하는 것 같습니다. 단, UDP를 통해 요청하는 것입니다.

Question 2

원인은 Anti-virus+ 제품군의 일부인 McAfee의 홈 네트워크 프로그램인 것으로 나타났습니다. 이는 귀하의 장치가 다른 네트워크 장치를 식별하는 네트워크를 매핑합니다. 전체 홈 네트워크를 보호하기 위해 장치의 취약점을 조사하는 것으로 보입니다. 아내의 Windows 10 PC로 구독을 구매했는데 이것이 모듈 중 하나인지 전혀 몰랐습니다. 나는 Mac을 사용하고 있으며 어젯밤 콘솔에서 매분마다 나타나는 udp 시도를 보았습니다. 귀하의 게시물은 살펴볼 서비스의 범위를 좁혔습니다. Windows 10 서비스 앱과 비올라에서 서비스를 중지했습니다! 더 이상 콘솔 메시지가 없습니다. 다시 시작한 지 몇 분 후에 나타났습니다. 우와. 이제 배워야 할 새로운 보안 앱이 생겼습니다! 감사해요!

Answer

원인은 Anti-virus+ 제품군의 일부인 McAfee의 홈 네트워크 프로그램인 것으로 나타났습니다. 이는 귀하의 장치가 다른 네트워크 장치를 식별하는 네트워크를 매핑합니다. 전체 홈 네트워크를 보호하기 위해 장치의 취약점을 조사하는 것으로 보입니다. 아내의 Windows 10 PC로 구독을 구매했는데 이것이 모듈 중 하나인지 전혀 몰랐습니다. 나는 Mac을 사용하고 있으며 어젯밤 콘솔에서 매분마다 나타나는 udp 시도를 보았습니다. 귀하의 게시물은 살펴볼 서비스의 범위를 좁혔습니다. Windows 10 서비스 앱과 비올라에서 서비스를 중지했습니다! 더 이상 콘솔 메시지가 없습니다. 다시 시작한 지 몇 분 후에 나타났습니다. 우와. 이제 배워야 할 새로운 보안 앱이 생겼습니다! 감사해요!

Question 3

방화벽 아래에서 네트워크가 홈으로 설정되어 있으면 네트워크에서 보호가 필요한 다른 장치를 식별하려고 하는 것 같습니다. 방화벽 네트워크 연결을 시도하고 회사 네트워크로 변경하면 중지될 수 있을까요?

죄송합니다. 조금 오래되었지만 동일한 문제를 보고 귀하의 게시물을 찾았습니다.

Answer

방화벽 아래에서 네트워크가 홈으로 설정되어 있으면 네트워크에서 보호가 필요한 다른 장치를 식별하려고 하는 것 같습니다. 방화벽 네트워크 연결을 시도하고 회사 네트워크로 변경하면 중지될 수 있을까요?

죄송합니다. 조금 오래되었지만 동일한 문제를 보고 귀하의 게시물을 찾았습니다.

UDP 포트 2054에서 트래픽을 보내는 McAfee: 이는 예상된 동작입니까?

답변1

연구 결과 및 가설

조사하다

선례

트래픽 캡처 분석

답변2

답변3

관련 정보