[English]Ich greife mal ein Thema für die Leserschaft auf, das Frank Carius aufgefallen ist, als er per Wireshark eine RTP-Session per UDP aufzeichnete. In der Aufzeichnung fand er UDP-Broadcast-Pakete auf Port 22222 und 3289 in großer Zahl. Es stand natürlich sofort die Frage im Raum, was die Ursache dieser UDP-Broadcasts ist.
Anzeige
Ich bin über einen Facebook-Post von Frank auf das Thema gestoßen, welches er auf MSXFAQ im Beitrag DASHOST.EXE und UDP-Sturm aufbereitet hat.
In obigem Screenshot sieht man einen Auszug aus dem Wireshark-Protokoll. Die Pakete gehen von einem Windows-Client an eine Broadcast-Adresse 192.168.178.255. (Homeoffice mit Fritz!Box). Was Frank auffiel, war die Häufigkeit dieser Anfragen (teilweise 3 UDP-Broadcasts pro Sekunde).
Interessant war, dass diese UDP-Broadcasts nur bei RTP-Verbindungen zur FRITZ!Box im Homeoffice zu finden waren, aber vom Client in der Firmenumgebung von Frank nicht auftraten. Dort hat der betreffende Client aber eine Verbindung zum Domain-Controller (DC), so dass Windows dann auf der Netzwerkkarte das "Domainprofil" aktiviert, schrieb er.
Anzeige
Bei Frank war natürlich im ersten Augenblick der Verdacht, dass eine Schadsoftware oder eine Fehlkonfigurierung für das, was er als UDP-Sturm bezeichnet, verantwortlich war. Bei der Analyse stellte Frank Carius fest, dass die UDP-Broadcast-Pakete vom Device Association Framework Provider Host (dasHost.exe) ausgesandt werden.
Der Device Association Framework Provider Host (dasHost.exe) ist laut dieser Quelle ein zentraler Windows-Dienst, der die Verbindung und das Pairing von kabelgebundenen und drahtlosen Geräten mit einem Computer ermöglicht.
Mir sind in diesem Zusammenhang mehrere Fundstellen wie die oben verlinkte Quelle oder dieser Microsoft Answers-Forenpost aufgefallen, die eine hohe Systemauslastung verursachen. Es heißt in dieser Quelle, dass schlechte oder beschädigte Treiber eine hohe CPU-Last verursachen können. Man sollte sicherstellen, dass die Treiber auf dem neuesten Stand sind und vom Hersteller stammen, also nicht über Windows Update aktualisiert wurden.
Frank ist nach der obigen Analyse zum Schluss gekommen, dass es sich um eine normale Windows Funktion handelt, um Drucker und andere Geräte zu finden, die sich vielleicht nicht per UPNP oder SSDP – Simple Service Discovery ermitteln lassen. Frank Carius glaubt, Microsoft hier das von Epson bereitgestellte ENPC-Protokoll implementiert hat. Ist jemand aus der Leserschaft das Thema schon mal untergekommen und gibt es andere oder weiterführende Erklärungen / Informationen?
Anzeige
Soweit mir bekannt geht das Problem speziell von Windows 11 24h2 aus und verursacht, passenderweise zum Hinweis am Ende des Artikels, Probleme bei Epson Druckern im Netzwerk.
Das Sperren der Ports über die die Firewall schafft erstmal Abhilfe, kann aber nicht die endgültige Lösung sein. Angeblich soll das dann auftreten wenn der PC in den Ruhemodus geht.
Das liest sich bei der Häufigkeit fast schon wie ein Angriff auf das Netzwerk.
Drei Anfragen pro Sekunden ist deutlich zuviel.
Ob bei Microsoft im internen Netz auch soviele Abfragen durchlaufen? Wäre beinahe sowas wie ein Self-DOS. ;)
Self-Dos 1.0 wird dann das neue Betriebssystem von MS, da sie ihre Windowsflotte zunehmend unbenutzbar machen. :-)
Hast du mal geschaut, was Windows alles für Broadcasts auf alle möglichen Adressen per TCP und UDP im lokalen Subnetz rausschickt, vor allem natürlich auf die Broadcastadresse .254? Könnte man natürlich als "Angriff" bewerten. Könnte aber auch dazu dienen, einem Laien zu helfen, seinen Gerätepark – der per DHCP jederzeit andere Adressen haben kann – und das womöglich ohne dass der Router wenigstens eine gescheite lokale DNS-Adressregistrierung hat – im Netzwerk zur Zusammenarbeit zu bewegen, um z.B. in der Lage zu sein, den Drucker per upnp zu finden, oder um übers Netz per Miracast den Inhalt des Monitors auf den Fernseher zu streamen, oder per DLNA-Stream Musik auf den eigenen PC-Lautsprecher auszugeben. Lauter so Sachen, wo viele noch nie davon gehört haben. Das Ergebnis dieser Broadcasts sieht man übrigens wenn man im Heimnetz das Icon Netzwerkumgebung doppelklickt, da tauchen heutzutage per Broadcast gefundene Drucker, Fernseher, Smartphones, TV-Settopboxen (Sat, Internet, …), Internet-Radio-Streaming-Geräte, Router, Accesspoints, Smartphones, Smarthome-Zentralen usw. auf, eben alles was sich im Heimnetzwerk so einbucht. Und das interessante ist, machst du auf die Dinger einen Doppelklick, oder rechte Maustatste, Kontextmenü, da kannst du mit den Dingern teils sogar was sinnvolles machen! Das wissen die Wenigsten!
Offtopic, aber IIRC können Broadcasts nicht über TCP, sondern nur über UDP laufen, weil sie eben "verbindungslos" sind.
Natürlich gibts auch TCP Discovery. Wenn du per TCP auf .254 bzw. .255 (oder gar 255.255.255.255) was schickst, lauschen alle.
z.B.
https://support.biamp.com/Audia-Nexia/Control/TCP_and_UDP_discovery_methods
Öhm, das ist kein Broadcast, auf der Seite steht es ja auch, dass man bereits die Adresse kennen muss für "TCP Discovery":
"If using a TCP connection it requires the user to supply the IP address(es) of the device(s) connected to the network."
Wieso muss man eine Adresse genau kennen? Anhand der Subnetmaske kennt man den möglichen Adressbereich im lokalen Subnet und in Class C die 254 Adressen sind schnell durchgescannt. Wenn du dann noch weißt welchen Dienst (TCP-Port) du suchst und mit was der antworten muss, ist das ruckzug erledigt. Einfach mal mit nmap ausprobieren.
Auf dem designierten Port auf allen möglichen Host-Adressen in einem Subnetz testweise eine Verbindung herzustellen, ist kein Broadcast und dauert durch das ständige Auf- und wieder Abbauen einer Verbindung mehr Zeit.
.254 ist keine Broadcastadresse
Ich habe hier ein Samsung Fernseher, welchem das Internet abgedreht wurde (per Zugangsprofil auf der Fritz!Box). Zusätzlich läuft im Netzwerk auch noch ein pi.hole als DNS Blocker. Die IP-Adresse des pi.hole wird von der Fritz!Box per DHCP ausgeliefert. Somit bekommt auch der Fernseher diesen zugewiesen. Das Gerät ist extrem verzweifelt ins Internet zu kommen. Da sind 20 bis 30 DNS Request pro Sekunde keine Seltenheit:
2025-02-19 23:56:27 A pool.ntp.org Samsung-TV.fritz.box 22.4 µs
2025-02-19 23:56:27 A http://www.worldtimeserver.com Samsung-TV.fritz.box 23.4 µs
2025-02-19 23:56:27 AAAA time.samsungcloudsolution.net Samsung-TV.fritz.box 14.3 µs
2025-02-19 23:56:27 A time.samsungcloudsolution.net Samsung-TV.fritz.box 25.3 µs
2025-02-19 23:56:27 A time.samsungcloudsolution.net Samsung-TV.fritz.box 23.6 µs
2025-02-19 23:56:27 AAAA time.samsungcloudsolution.com Samsung-TV.fritz.box 13.1 µs
2025-02-19 23:56:27 A time.samsungcloudsolution.com Samsung-TV.fritz.box 22.2 µs
2025-02-19 23:56:27 A time.samsungcloudsolution.com Samsung-TV.fritz.box 23.1 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 9.1 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 19.1 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 17.6 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 21.5 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 9.1 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 31.7 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 7.9 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 22.6 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 6.4 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 21.5 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 6.2 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 21.5 µs
2025-02-19 23:56:27 AAAA lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 13.4 µs
2025-02-19 23:56:27 A lcprd1.samsungcloudsolution.net Samsung-TV.fritz.box 23.4 µs
2025-02-19 23:56:27 AAAA time.samsungcloudsolution.com Samsung-TV.fritz.box 16.0 µs
2025-02-19 23:56:27 A time.samsungcloudsolution.com Samsung-TV.fritz.box 22.4 µs
2025-02-19 23:56:27 AAAA time.samsungcloudsolution.com Samsung-TV.fritz.box 12.4 µs
2025-02-19 23:56:27 A time.samsungcloudsolution.com Samsung-TV.fritz.box 24.1 µs
2025-02-19 23:56:27 AAAA cdn.samsungcloudsolution.com Samsung-TV.fritz.box 28.4 µs
2025-02-19 23:56:27 A cdn.samsungcloudsolution.com Samsung-TV.fritz.box 29.3 µs
Es gibt viele sinnlose Implementierungen in Software, welche unnötig viele Anfragen durch das Netzwerk senden. Die Hardware drückt das heute easy weg (Leistung satt), aber trotzdem bleibt ein schlechter Umgang mit den Ressourcen.
Das ist immer ein Argument für Proxies… denn ohne DNS-Server führt der Rechner, das Gerät oder eine App idealerweise auch keine Anfragen aus.
Das Grundrauschen im Netz lässt spürbar nach, die Netzwerkleistung steigt. Im kleinen Homenetzwerk vielleicht nicht relevant, in größeren Netzen schon.
So eine wirkliche Namenskonvention für Prozesse gibt es auch nicht? Wo jetzt ein Prozess dazugehört sieht der Normalnutzer auf den ersten Blick nicht, oft sind die Namen sogar nicht gerade vertrauensfördernd.
Wenn man als Deutscher "dasHost" liest… In dem Moment überlegt man doch, ob es irgendein Dienst eines Programmes ist oder ob man sich irgendwelche Kiddie-Malware auf den PC geladen hat.
Ich weiß nicht mal wie man von "Device Association Framework Provider Host" auf "dasHost" kommt.
ganz abgesehen davon, dass es grammatikalisch falsch ist, denn es heißt ja der Host.
Ihr lacht dann vielleicht morgen darüber. Ist ein Sickerwitz.
derGerät.exe schläft nie
Chrome und Edge benutzen auf Windows 11 den neuen Print Wizard und dieser benutzt den Dienst "Device Association Service" (deviceassociationservice). Das wird dann im DASHost gekapselt, wie früher auch nur der svchost nach außen sichtbar war, aber intern weiter verzweigt wurde.
Dieser Dienst deviceassociationservice wird gebraucht, wenn Geräte ein Pairing benötigen, also vor allem bei Bluetooth-Geräten.
Wenn man keine Geräte hat, die Pairing benötigen, dann kann man den Dienst abschalten.
Die Abschaltung dieses Dienstes wird auch empfohlen, wenn Spiele langsam laufen oder stottern, ruckeln.
net stop deviceassociationservice
Der Dienst wird aber erneut gestartet, wenn der neue Print Wizard wieder benutzt wird.
Also im Dienste-Dialog oder per Registry auf deaktiviert einstellen.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\deviceassociationservice]
"Start"=dword:00000004
Man kann in der Registry auf den klassisschen Druckdialog umschalten, der den neuen deviceassociationservice nicht benutzt:
[HKEY_CURRENT_USER\Software\Microsoft\Print\UnifiedPrintDialog]
"PreferLegacyPrintDialog"=dword:00000001
oder per Konsolenbefehl:
reg add "HKCU\Software\Microsoft\Print\UnifiedPrintDialog" /v "PreferLegacyPrintDialog" /d 1 /t REG_DWORD /f
Wie der Froschkönig oben schon richtig geschrieben hat, das sind Dienste, mit denen alle möglichehn Geräte im (Heim-)Netz möglichst einfach zum Laufen zu bringen. Für den Laien sind Sachen wie IP-Adresse, Subnetzmaske, DNS-Registrierung, DHCP, usw. Raketenwissenschaft und Hyroglyphen. Das kann und will der nicht, der ist schon froh, wenn er es geschafft hat, den neuen Drucker per WPS-Knopf am Router ins Heimnetz einzubuchen. Der geht in den Elektromarkt oder bei Amazonien und kauft da sein NAS und das soll einfach nur funktionieren, ohne dass der sich mit irgendwelchen dieser Details befassen muss. Der startet da dann ne App und dann ist das da. So wie er in sein Auto steigt um irgendwo hin zu fahren, da muss er auch nicht wissen wo am Motor der Ölfilter zu finden ist, Scheibenwischer hat er auch noch nie selbst gewechselt. Vielleicht hat er auch einfach nur ein Tablet, wo er diese umfangreichen Möglichkeiten, die einem ein Linux oder Windows bietet, um das Zeugs "traditionell" einzubinden, garnicht bietet. Hast du mal geschaut, was so ein Android oder iPhonePadTV ständig so rumfunkt? Leg dich mal mit Wireshark in deinem Netz auf die Lauer, ich hoffe du hast einen Switch mit Portmirroring, wo du ran kannst. Es geht da immer darum, diese Geräte möglichst einfach miteinander zu vernetzen.
Ja, den Dienst kann man natürlich abschalten, wenn man weiß was man tut. Und das im doppelten Sinne, dann musst du nämlich auch wissen, wie man den Kram, sofern man den nutzen will, manuell miteinander verbindet.
Willkommen im Plug and P(l/r)ay Zeitalter! (founded in 1995)
Windows 7 und Win10 waren doch ebenfalls Plug and Play fähig, wo man Drucker per Funk anschließen kann, ohne diesen neuen Win11-Dienst und Druck-Zauberer zu benötigen.
Ein WIFI-Drucker meldet sich am Router an und Windows sieht dann den Drucker im Netzwerk. Das war doch seit mehr als 15 Jahren schon so.
Das funktionierte vorher bereits alles, aber Microsoft glaubt mal wieder es besser zu wissen und baut dann neue Fehler ein.
Hunderte UDP-Pakete pro Sekunde rauszuballern ist auf jeden Fall unnötig, klaut Bandbreite, erhöht die CPU-Last, macht Spiele langsamer.
Wenn man eine UDP-Anfrage 1 mal alle 15 Sekunden machen würde, dann wäre das auch schnell genug und würde niemanden stören.
Der neue Dienst und Druck-Zauberer wird aber auch nicht das Problem umgehen können, dass der User selber das WLAN-Passwort in den Drucker eingeben muss.
Bequemer wird es erst dann, wenn der Drucker auch Bluetooth kann und dann Dank des neuen Windows-Dienstes auch vollautomatisches Pairing funktioniert.
Wenn aber ein User zu dumm sein sollte, beim halb-automatischen Pairing einfach mal auf den OK-Button zu klicken, dann sollte er ganz weit weg bleiben von elektronischen Geräten.
Ein vollautomatisches Pairing halte ich für ein Sicherheitsrisiko, denn ein Angreifer in der näheren Umgebung könnte dann ja sonstwas an den Computer per Bluetooth drankoppeln, etwa eine Abhör-Wanze und der Benutzer würde nichts davon merken.
Ein Home-User kann seinen Drucker auch einfach per USB-Kabel reinstöpseln und muss sonst gar nichts machen.
"Das funktionierte vorher bereits alles, aber Microsoft glaubt mal wieder es besser zu wissen und baut dann neue Fehler ein."
Ja, weil Windows schon immer rum broadcastet, aber um dem unbedarften Anwender es noch einfacher zu machen, halt immer mehr. Und nicht nur Windows, Apple hat ja ein eigenes Broadcast-Protokoll, OSU, APNS, DAAP, Bonjour, und Windows kann das inzwischen auch, oder lässt sich nachinstallieren.
Mag alles sein, dass das Bandbreite und Performance kostet, es wird aber gemacht, um dem Heimnutzer es zu ermöglichen, seinen Gerätezoo bis runter zum Staubsaugerroboter ohne Fachwissen miteinander vernetzen zu können.
Und ja, wenn die Verschlüsselung (auch bei Bluetooth) geknackt ist, dann ist all das abhörbar, das ist nichts neues. Ich lasse bei mir gelegentlich mal den IP-Scanner von Nirsoft durchs Heimnetz laufen und erschrecke jedes Mal selbst, wieviele Geräte der schon gesehen hat. Ist halt so, aber ich will mich nicht mehr mit Baudrate, 8N1, Xon-Xoff und dem richtig verdrahteten Nullmodemkabel (Stolperfalle, auch für den Staubsaugerroboter) rumschlagen müssen.
"dass der User selber das WLAN-Passwort in den Drucker eingeben muss."
Dafür gibts doch am Router doch den WPS-Knopf.
USB-Port kostet Geld, USB Kabel kostet Geld (wird ja oft schon nicht mehr mitgeliefert), eine App, die man dem User aufdrückt, bringt Trackingdaten und lokale Infrastrukturdaten und Geld. Was also tun fragt sich die Firma dann?
Naja, der (W)LAN-Chip kostet ja auch was. Antenne/LAN-Kanel auch. Ganz kostenlos gibts auch das nicht.
Antenne ist aufgedruckt mit auf der Platine. LAN-Port gibts keinen. Fertig. :)
Besser nochmal korrekturlesen. Es geht um RTP und nicht RDP.
Außerdem lauten die Ports 22222 und 3289, nicht 2222 und 3298.
Ist passiert – danke – hab den nebenläufigen RDP-Thread in den Kommentaren daher komplett gelöscht.
Wir hatten vorgestern an einem EPSON Workforce Drucker selbstständig Druckausgaben von ein paar Seiten.
—
Connection: Keep-Alive
Content-Type: application/ipp
User-Agent: Windows Internet Print Provider
Content-Length: 593
Host: localhost
—
Und zuvor ein paar hintereinander angehängte Parameter.
Nach 5-6 Seitenausgaben war der Spuk vorbei.
Wir haben den Epson Druckertreiber nochmals neu heruntergeladen und neu installiert.
Aktuell ist Ruhe.
Evtl. kann dies ein Seiteneffekt sein