{"id":308615,"date":"2025-02-19T00:09:54","date_gmt":"2025-02-18T23:09:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308615"},"modified":"2025-02-24T06:52:18","modified_gmt":"2025-02-24T05:52:18","slug":"windows-udp-sturm-von-dashost-exe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/02\/19\/windows-udp-sturm-von-dashost-exe\/","title":{"rendered":"Windows: UDP-Sturm von dasHost.exe"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich greife mal ein Thema f\u00fcr die Leserschaft auf, das Frank Carius aufgefallen ist, als er per Wireshark eine RTP-Session per UDP aufzeichnete. In der Aufzeichnung fand er UDP-Broadcast-Pakete auf Port 22222 und 3289 in gro\u00dfer Zahl. Es stand nat\u00fcrlich sofort die Frage im Raum, was die Ursache dieser UDP-Broadcasts ist.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber einen Facebook-Post von Frank auf das Thema gesto\u00dfen, welches er auf MSXFAQ im Beitrag DASHOST.EXE und UDP-Sturm<\/a> aufbereitet hat.<\/p>\n

\"DASHOST.EXE<\/p>\n

In obigem Screenshot sieht man einen Auszug aus dem Wireshark-Protokoll. Die Pakete gehen von einem Windows-Client an eine Broadcast-Adresse 192.168.178.255. (Homeoffice mit Fritz!Box). Was Frank auffiel, war die H\u00e4ufigkeit dieser Anfragen (teilweise 3 UDP-Broadcasts pro Sekunde).<\/p>\n

Interessant war, dass diese UDP-Broadcasts nur bei RTP-Verbindungen zur FRITZ!Box im Homeoffice zu finden waren, aber vom Client in der Firmenumgebung von Frank nicht auftraten. Dort hat der betreffende Client aber eine Verbindung zum Domain-Controller (DC), so dass Windows dann auf der Netzwerkkarte das \"Domainprofil\" aktiviert, schrieb er.<\/p>\n

Bei Frank war nat\u00fcrlich im ersten Augenblick der Verdacht, dass eine Schadsoftware oder eine Fehlkonfigurierung f\u00fcr das, was er als UDP-Sturm bezeichnet, verantwortlich war.\u00a0Bei der Analyse stellte Frank Carius fest, dass die UDP-Broadcast-Pakete vom Device Association Framework Provider Host (dasHost.exe) ausgesandt werden.<\/p>\n

Der Device Association Framework Provider Host (dasHost.exe) ist laut dieser Quelle<\/a> ein zentraler Windows-Dienst, der die Verbindung und das Pairing von kabelgebundenen und drahtlosen Ger\u00e4ten mit einem Computer erm\u00f6glicht.<\/p>\n

Mir sind in diesem Zusammenhang mehrere Fundstellen wie die oben verlinkte Quelle oder dieser Microsoft Answers-Forenpost<\/a> aufgefallen, die eine hohe Systemauslastung verursachen. Es hei\u00dft in dieser Quelle<\/a>, dass schlechte oder besch\u00e4digte Treiber eine hohe CPU-Last verursachen k\u00f6nnen. Man sollte sicherstellen, dass die Treiber auf dem neuesten Stand sind und vom Hersteller stammen, also nicht \u00fcber Windows Update aktualisiert wurden.<\/p><\/blockquote>\n

Frank ist nach der obigen Analyse zum Schluss gekommen, dass es sich um eine normale Windows Funktion handelt, um Drucker und andere Ger\u00e4te zu finden, die sich vielleicht nicht per UPNP oder SSDP – Simple Service Discovery ermitteln lassen. Frank Carius glaubt, Microsoft hier das von Epson bereitgestellte ENPC-Protokoll implementiert hat. Ist jemand aus der Leserschaft das Thema schon mal untergekommen und gibt es andere oder weiterf\u00fchrende Erkl\u00e4rungen \/ Informationen?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich greife mal ein Thema f\u00fcr die Leserschaft auf, das Frank Carius aufgefallen ist, als er per Wireshark eine RTP-Session per UDP aufzeichnete. In der Aufzeichnung fand er UDP-Broadcast-Pakete auf Port 22222 und 3289 in gro\u00dfer Zahl. Es stand nat\u00fcrlich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,301],"tags":[24,3288],"class_list":["post-308615","post","type-post","status-publish","format-standard","hentry","category-problem","category-windows","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308615"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308615\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}