DASHOST.EXE und UDP-Sturm

Eigentlich wollte ich per Wireshark eine RTP-Session per UDP mitschneiden aber dann habe ich mir bislang unbekannte UDP-Broadcasts in großer Zahl gefunden. Meine Neugier war geweckt.

Weckruf

Auslöser war eine Ausgabe in Wireshark, als ich auf UDP gefiltert habe:

Das sind alles ausgehende UDP-Paket von meinem Client 192.168.178.50 an die lokale Broadcast-Adresse 192.168.178.255. (Homeoffice mit Fritz!Box). Auffällig ist aber die Häufigkeit. Schauen Sie sich dazu links die Spalte "Time" an, die die Sekunde angibt. Mein Client sendet hier teilweise 3 Pakete pro Sekunde und wenn Sie rechts die Leiste ansehen, dann sehen Sie durchaus eine große Menge dieser Pakete.

Dies Pakete habe ich aber nur in meinem Homeoffice gefunden. Wenn ich mit dem gleichen Endgerät in der Firma bin und eine Verbindung DC habe, so dass Windows dann auf der Netzwerkkarte das "Domainprofil" aktiviert. sehe ich diese Pakete nicht mehr

Analyse

Natürlich habe ich "reingeschaut". Ein kleines UDP-Paket ohne Verschlüsselung ist direkt sichtbar: Wireshark konnte das Paket aber erst einmal nicht "verstehen:

Das ist erst einmal nur ein Datenstrom. Die Hex/Text-Darstellung liefert aber:

oder auch:

Wenn ich nach "STR_BCAST" suche, dann lande ich auf verschiedenen Code-Seiten, die einen Bezug zu Druckern herstellen.

Ich habe allerdings in meinem Umgebungen noch keine Antwort auf diese Anfrage gefunden. 

Eine Suche nach EPSONQ und den Port 3289 liefert sogar eine Seite des Herstellers


Quelle: https://epson.com/faq/SPT_C11CG18201~faq-0000525-shared?faq_cat=faq-topFaqs

Leider habe ich keinen Epson-Drucker in meinem Bestand und kann ihnen daher nicht die Antwort auf die Anfrage des Windows Clients liefern

Da dürfte etwas auf meinem PC nach Druckern im lokalen Netzwerk suchen 

Was ist DASHost?

Wireshark listet keine Windows Prozesse auf sie können mit Sysinternals ProcMon alle UDP-Übertragungen verfolgen und damit den Prozess finden. Wenn Sie schnell genug sind, dann geht dies auch per Powershell z.B. mit:

(Get-NetUDPEndpoint -LocalPort <nummer>).owningprocess
(Get-Process -ID (Get-NetUDPEndpoint -LocalPort <nummer>).owningprocess) | fl name,commandline

Eine Remote-IP hat UDP in der Form natürlich nicht, da es keine Connections gibt. Über die Process-ID bekommen Sie dann den Prozess. Bei mir war es der "Device Association Framework Provider Host"

Damit weiß ich nun den Prozess und dass es keine Malware oder ein unbekanntes 3rd-Party-Program ist.

Netzwerk Awareness

Die Aktivitäten sind aber auch nicht immer vorhanden. Ich habe z.B. in einem Firmennetzwerk diese Pakete nicht gefunden. Windows erkennt natürlich, ob es in einem Domain-Netzwerk oder extern privat oder öffentlich ist und wendet unterschiedliche Firewall-Regeln an.

Die Analyse ist hier noch nicht abgeschlossen 

Zwischenstand

Als ich das erste mal diesen UDP-Sturm gesehen habe, dachte ich zuerst an eine Malware oder Fehlkonfiguration. Anscheinend ist dies aber nicht der Fall, sondern ist eine normale Windows Funktion, um Drucker und andere Geräte zu finden, die sich vielleicht nicht per UPNP oder SSDP - Simple Service Discovery ermitteln lassen. Anscheinend hat Microsoft hier das von Epson bereitgestellte ENPC-Protokoll implementiert. Zu "STR_BCAST" oder auch den UDP-Port 22222 habe ich aber keine belastbare Quellen gefunden.

Weitere Links