Windows11 24H2 dasHost.exe造成UDP風暴問題
---
> 2025.3.21
> 已知有更新 2025-02 還是有案例,
> 國外有人提出數個月了。
> 2025.3.24 找到絕對重現方式的方法跟條件
> 2025.4.9 2025-04 累積更新(KB5055523)一樣未改善
> 2025.5.2 雖然reg修改可以改善大部分軟體列印預設採用傳統介面來避開問題,
> 但有些Windows App仍然會自己走新版列印觸發問題,
> 例如:遇過有些電腦的微軟預設開圖片的相片app,仍然保持新版列印介面。
> 另外有發現有些大量安裝軟體電腦有自己運行bug的狀況,
> 但我目前無法確認那些軟體會發生,若有找到相對應背景自動觸發的軟體再分享。
> 2025.5.3 基於reg無法完全杜絕,追加防止新增列表機的GPO更有效防堵,但也有相對應的注意事項,有新增列表機需求可能需要暫時解開。
> 2025.5.14 KB5058411 累積更新一樣未改善。
> 2025.5.29 KB5058499 累積更新一樣未改善。
### 2025-07 KB5062553 測試有明顯改變,測試沒再發生。
### 2025-06 KB5063060 測試有明顯改變,測試沒再發生。(但有些人說沒有)
已知影響:
EPSON 商用 TM系列 熱感出單機網路介面網卡會因此癱瘓,造成官方驅動無法正常連線。
緩解方式1:
利用群組原則限制,即使新介面也不會再產生,
算是目前最有效的方案,
缺點是當需要新增列表機,可能暫時要取消這個設定。
gpedit.msc>本機電腦原則>使用者設定>系統管理範本>控制台>列表機
防止新增列表機 啟用
相關regedit設定
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoAddPrinter"=dword:00000001
緩解方式2:(此方式會有部分軟體或微軟app逃脫舊版介面依然會發生,所以不是100%完全防堵,緩解方式1可能暫時還是最佳解)
網內所有24H2全都暫時回到傳統介面
改好後重開電腦解決正在背景發作的dasHost.exe
每個會登入電腦操作的帳號都要改。
reg寫法如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Print\UnifiedPrintDialog]
"PreferLegacyPrintDialog"=dword:00000001
示範影片
https://youtu.be/uxVOubEPTQM
### 重現方式
Win11 24H2 ,小畫家、筆記本、相片這種內建軟體,
按下列印,跳出列印前的視窗。
假設是舊版Win7那個時代的介面,就不會觸發,
若是新版的介面,背景dasHost.exe(就會開始發生)
不需要真的有列印,開啟列印畫面也會發生。再關掉就可以了。
每開啟一次就會累積上去,隨著次數增加會越來越高頻,
直到造成風暴。
假設是新版的,想要重現,最簡單的方式,開啟一個小畫家,Ctrl + P 跳出畫面後再Esc離開,重複這個動作多次。
其他軟體的判斷方式,
以目前最新的Firefox\Edge\Chrome,
按下列印都是自家的介面,觀察是不會。
Firefox列印頁有留一個"使用系統對話框列印",
(如果用小畫家測試法會發生)當按下去之後,
跳出系統的新版列印頁面,也會發生。
數個月前有人說瀏覽器會,可能是當時還不是自家頁面(但我沒求證數月前的版本)。
網內電腦開Wireshark觀察, udp && ip.addr == 發出的IP,
會發現頻率越來越高。
重開機或者是重開Device Association Service 服務就會結束。
-------列印頁-------
發生的時候,系統的列印頁dasHost.exe 會高頻(0.1秒內就很多)發送UDP廣播,
數個月前有人說瀏覽器會,可能是當時還不是自家頁面(但我沒求證數月前的版本)。
一般用戶不會有感,還是能正常的上網或是使用網內服務。
若基於UDP溝通的設備,可能影響很明顯,甚至完全無法使用。
利用 wireshark,打開,只顯示 udp 協定,
如果有超高頻率的UDP廣播封包(3289、10004、22222 port)
導致你的wireshark幾乎洗版(0.1秒數個上述UDP port廣播)就代表網內有電腦發作中。
如果因為此問題讓工作環境異常,
可以利用此方法抓到發作的電腦,
可能不只一台,直到抓完為止。
dasHost.exe 是 Device Association Service 子程序
當我們新增裝置探索網路的時候,就會發出廣播封包,
但幾秒一次而已,使用完畢就不在發送。
此問題就是在不明原因下,超高頻率發送廣播封包,
癱瘓網內UDP應用。
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet