Como identificar uma fonte desconhecida de tráfego de rede suspeito no meu computador Mac OS X?

Question

Como identificar uma fonte desconhecida de tráfego de rede suspeito no meu computador Mac OS X?

#1 resposta do (2 votos)

4

Às vezes (talvez uma vez por dia), parece que há uma quantidade bastante alta de tráfego de entrada de cerca de 2,5Mb / s durante 15 minutos sem nenhum motivo aparente. Sem P2P, nada foi lançado exceto navegador e email e até tentei pará-los sem alterações.

Meu computador é um Mac OS X 10.10.4 (Yosemite) atualizado a partir do Mac OS X 10.9.6 (Mavericks) e eu sou o único proprietário. Eu tenho um script com os dados de rsync na minha rede local a cada hora, mas obviamente não é isso. Eu também tenho um aplicativo Synology instalado, mas ele está fechado e não aparece em ps aux ou top .

Eu investiguei com iftop , para ver de onde vem:

Quandoeuligoaexibiçãodaportaparanumérico,oFMTPé8500,correspondeao protocolo de mensagem de voo .

Então eu tentei fazer o ping dos IPs:

Buzut:~ Buzut$ ping 89.86.97.2
PING 89.86.97.2 (89.86.97.2): 56 data bytes
36 bytes from vl212.c6k04-t2.net.bbox.fr (62.34.0.182): Communication prohibited by filter
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 abc7   0 0000  38  01 5abc 192.168.1.37  89.86.97.2 

Request timeout for icmp_seq 0
36 bytes from vl212.c6k04-t2.net.bbox.fr (62.34.0.182): Communication prohibited by filter
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 ae78   0 0000  38  01 580b 192.168.1.37  89.86.97.2 


--- 89.86.97.2 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

Buzut:~ Buzut$ ping 239.0.5.49
PING 239.0.5.49 (239.0.5.49): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
--- 239.0.5.49 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

O que é estranho é que estou 192.160.1.37 na minha rede, mas aqui está a transferir dados de 89.86.97.2 para 239.0.5.49 , como se apenas passasse pelo meu computador sem que fosse o destino.

bbox.fr tem algo a ver com o meu ISP porque é a Bouygues Telecom. Mas a partir disso, ainda parece suspeito para mim. Como posso saber mais? O que está sendo baixado? Para quê?

Ao mesmo tempo, não vejo isso com netstat . A versão de netstat no Mac OS X não funciona da mesma maneira que em outros sistemas, no que diz respeito às opções. Então aqui vai:

Buzut$ netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)    
tcp4       0      0  192.168.1.37.50924     stackoverflow.co.https ESTABLISHED
tcp4       0      0  192.168.1.37.50922     190.93.245.58.http     ESTABLISHED
tcp4       0      0  192.168.1.37.50918     ec2-23-21-110-17.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50917     ec2-23-21-110-17.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50912     104.16.12.8.http       ESTABLISHED
tcp4       0      0  192.168.1.37.50799     a23-200-86-198.d.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50797     mrs04s09-in-f206.http  ESTABLISHED
tcp4       0      0  192.168.1.37.50585     ip-228.net-89-3-.6690  ESTABLISHED
tcp4       0      0  localhost.cap          *.*                    LISTEN     
tcp4       0      0  localhost.1024         *.*                    LISTEN     
tcp4       0      0  localhost.blackjack    *.*                    LISTEN     
tcp4       0      0  192.168.1.37.49468     stackoverflow.co.https ESTABLISHED
tcp46      0      0  *.53673                *.*                    LISTEN     
tcp4       0      0  *.53673                *.*                    LISTEN     
tcp4       0      0  192.168.1.37.49445     17.110.227.99.5223     ESTABLISHED
tcp4       0      0  localhost.27017        localhost.64807        ESTABLISHED
tcp4       0      0  localhost.64807        localhost.27017        ESTABLISHED
tcp4       0      0  *.27017                *.*                    LISTEN     
tcp4       0      0  192.168.1.37.64286     192.230.65.4.ip..https ESTABLISHED
tcp4     143      0  192.168.1.37.58235     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4     143      0  192.168.1.37.58232     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4     143      0  192.168.1.37.58230     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4       0      0  192.168.1.37.56996     17.172.239.102.5223    ESTABLISHED
tcp4       0      0  localhost.intu-ec-clie *.*                    LISTEN     
tcp6       0      0  localhost.intu-ec-     *.*                    LISTEN     
tcp4     143      0  192.168.1.37.62687     ns0.ovh.net.imap       CLOSE_WAIT 
tcp4       0      0  localhost.ipp          *.*                    LISTEN     
tcp6       0      0  localhost.ipp          *.*                    LISTEN     
udp4       0      0  *.53878                *.*                               
udp4       0      0  *.62654                *.*                               
udp4       0      0  *.*                    *.*                               
udp46      0      0  *.53673                *.*                               
udp4       0      0  *.53673                *.*                               
udp4       0      0  *.54480                *.*                               
udp4       0      0  192.168.1.37.ntp       *.*                               
udp6       0      0  buzut.ntp              *.*                               
udp6       0      0  *.62268                *.*                               
udp4       0      0  *.62268                *.*                               
udp6       0      0  *.53100                *.*                               
udp4       0      0  *.53100                *.*                               
udp6       0      0  *.63111                *.*                               
udp4       0      0  *.63111                *.*                               
udp6       0      0  *.53310                *.*                               
udp4       0      0  *.53310                *.*                               
udp6       0      0  *.65513                *.*                               
udp4       0      0  *.65513                *.*                               
udp6       0      0  *.62913                *.*                               
udp4       0      0  *.62913                *.*                               
udp46      0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.54514                *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp6       0      0  localhost.ntp          *.*                               
udp4       0      0  localhost.ntp          *.*                               
udp6       0      0  localhost.ntp          *.*                               
udp6       0      0  *.ntp                  *.*                               
udp4       0      0  *.ntp                  *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp46      0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.*                    *.*                               
udp6       0      0  *.mdns                 *.*                               
udp4       0      0  *.mdns                 *.*                               
udp4       0      0  *.*                    *.*                               
udp4       0      0  *.netbios-ns           *.*                               
udp4       0      0  *.netbios-dgm          *.*

networking macos home-networking

por Buzut 15.08.2015 / 10:05

1 resposta

Tags networking macos home-networking

Como uso allow / deny em conjunto com set_real_ip_from? Como configuro o compartilhamento de pastas de rede não local?

score 2 · Accepted Answer

Então aqui está minha análise forense sobre o que você está apresentando:

O Básico

239.0.5.49 é um endereço multicast no intervalo de endereços multicast do escopo administrativamente (local) de 239.0.0.0 para 239.255.255.255 .

Como 89.86.97.2 é resolvido para a Bouygues Telecom, meu melhor palpite é que o seu endereço de interface de saída / WAN seja ou talvez um roteador na rede da Bouygues Telecom.

E quanto às diferenças entre iftop resultados e netstat , esta resposta na falha do servidor resume de forma concisa: iftop usa pcap (captura de pacotes) para mostrar / capturar todos os pacotes em uma rede, enquanto netstat mostra estritamente os sockets que abrem máquinas na rede.

Então, meu palpite é que, embora você possa não estar ciente de um processo que esteja sendo executado ativamente, algo na sua rede - e possivelmente até mesmo no dispositivo de conexão do ISP; modem ou roteador - está sendo transmitido externamente para a rede 89.86.97.2 . E multicast significa basicamente que: Basta jogar pacotes na rede.

Mais detalhes / teorias

Sim, a porta 8502 se traduz como “Protocolo de Transferência de Mensagens FTN” em alguns sites de decodificação de portas mas a porta de recebimento de 49152 está dentro do intervalo de portas dinâmico / privado. Meu instinto me diz que a porta 8502 pode ser usada para outra coisa nesse caso, porque, por exemplo, software como CommCell / CommVault também usa a porta 8502 .

Quanto ao que constituiria 2,5 MB de tráfego de vez em quando? Nenhuma pista Mas seguindo a ideia do CommCell e a documentação do software revela :

The software provides a powerful set of storage management tools that help you move and manage your critical data. These tools enable you to store and retrieve data associated with computer systems in your enterprise.

Então, sabendo de tudo isso, você diz que está usando o Mac OS X, mas não tenho certeza de qual máquina você tem ou de onde veio inicialmente. Alguma vez foi uma máquina que fazia parte de um ambiente corporativo (onde o uso da máquina precisaria ser enviado para um administrador regularmente?) Porque o que você está dizendo sobre esse estouro de 2,5 MB de dados de vez em quando parece funcionar bem com algum processo de monitoramento do sistema de plano de fundo / daemon que está tentando "chegar" a um servidor central de rede para enviar dados.

Ou seja, acredito que algum processo relacionado ao CommCell - talvez o iDataAgent instalado em um sistema cliente como explicado aqui - está tentando transmitir os dados EKG do sistema da sua máquina para o mundo maior; o que ele pensa ser um servidor central do CommCell Console. Mas está falhando, já que você não está em um ambiente corporativo ou esta máquina está mal configurada. Assim, 2,5 MB de dados estão sendo despejados no éter e o “destino” do seu endereço IP externo de 89.86.97.2 (Bouygues Telecom) é o melhor que pode fazer.

Adendo

Tudo isso dito, em um comentário sobre esta resposta, você afirma, “… mas os 2,5MB de dados estão entrando, não saindo…” Bem, sim, tecnicamente é entrado ; o tráfego é proveniente do endereço 89.86.97.2 (um endereço da Bouygues Telecom) e aparentemente vai para 239.0.5.49 (um endereço multicast no seu sistema). Assim, parece que algo na rede da Bouygues Telecom está transmitindo 2,5 MB de dados para todas as conexões multicast; incluindo o seu. É disso que se trata o multicast.

Ou seja, não acredito que nada disso seja proveniente de um processo em seu computador Mac OS X, mas iftop está apenas pegando todos os pacotes que recebe e informa o que vê.

Você deve estar preocupado com o fato de que uma quantidade aparentemente aleatória de dados de 2,5 MB está chegando à sua conexão de rede da Bouygues Telecom? Estou um pouco inseguro quanto a isso, mas se lhe interessar, recomendo entrar em contato com o suporte técnico da Bouygues Telecom e perguntar: “Existe uma razão pela qual 2,5MB de tráfego multicast está sendo enviado à rede do meu computador pela rede a cada 15 minutos ou mais? "Com certeza, as chances de você ter uma resposta direta / real para essa pergunta são escassas na melhor das hipóteses, mas sinceramente não seria um primeiro passo ruim se você estivesse realmente curioso sobre isso.