Процесс выполняет сканирование портов ICMP на моем компьютере с OSX, и я боюсь, что мой Mac получил вирус

1528
Jamgold

Я заметил, что в моей коробке 10.6.6 есть какой-то процесс, отправляющий ICMP-сообщения «случайным» хостам, что меня очень беспокоит.

при выполнении tcpdump icmp я вижу много следующего

15:41:14.738328 IP macpro > bzq-109-66-184-49.red.bezeqint.net: ICMP macpro udp port websm unreachable, length 36 15:41:15.110381 IP macpro > 99-110-211-191.lightspeed.sntcca.sbcglobal.net: ICMP macpro udp port 54045 unreachable, length 36 15:41:23.458831 IP macpro > 188.122.242.115: ICMP macpro udp port websm unreachable, length 36 15:41:23.638731 IP macpro > 61.85-200-21.bkkb.no: ICMP macpro udp port websm unreachable, length 36 15:41:27.329981 IP macpro > c-98-234-88-192.hsd1.ca.comcast.net: ICMP macpro udp port 54045 unreachable, length 36 15:41:29.349586 IP macpro > c-98-234-88-192.hsd1.ca.comcast.net: ICMP macpro udp port 54045 unreachable, length 36

Я подозревал, что мой маршрутизатор уведомил меня о множестве сообщений ICMP, которые не получают ответа

[INFO] Понедельник, 10 января 16:31:47 2011 Заблокирован исходящий пакет ICMP (тип ICMP 3) с 192.168.1.189 до 212.25.57.90.

Кто-нибудь знает, как отследить, какой процесс (или худший модуль ядра) может быть ответственным за это?

Я перезагрузился и вошел в систему с учетной записью целого пользователя, и tcpdump показал те же результаты.

Любое волшебство dtrace приветствуется.

0

1 ответ на вопрос

0
Chris Johnsen

Это сообщения ICMP Destination Unreachable . Все ваши примеры типа 3: порт недоступен. Используются два UDP-порта: 54045, 9090 («websm»).

Обычно они отправляются большинством стеков IP, когда другая конечная точка пытается подключиться (или - в случае UDP - отправить данные) к порту, к которому ни один процесс не «прослушивает».

Скорее всего, именно эти другие IP-адреса отправляют на ваш компьютер незапрещенные UDP-сообщения, а стек IP в вашем ядре «вежлив», отвечая эквивалентом «Извините, здесь никого нет, чтобы получить ваше сообщение». Вероятно, это нормально, что ваш маршрутизатор блокирует эти ответные сообщения (возможно, немного «параноидально», но, вероятно, безвредно).

Разве это не потребует от моего маршрутизатора фактической пересылки запросов моему компьютеру Mac, чтобы он, в свою очередь, попытался ответить на запросы ICMP типа 3? Мой Mac НЕ находится в демилитаризованной зоне и получает только несколько избранных портов из глобальной сети Jamgold 13 лет назад 0
Также только что узнал, что порт 54045 используется скайпом. Тем не менее, когда мой Mac пытался отправить эти пакеты ICPM типа 3, Skype не работал Jamgold 13 лет назад 0
Поскольку UDP не имеет состояния, маршрутизатор, вероятно, просто использует простой таймер «N секунд с момента последней активности», чтобы решить, когда прекратить пересылку входящих пакетов UDP. Похоже, некоторые пакеты пришли до истечения таймера, но после перезагрузки или выхода из Skype. Маршрутизатор пересылал пакеты, ваш компьютер отправлял сообщения ICMP о недоступности, а маршрутизатор блокировал их (из-за «паранойи» или конфигурации по умолчанию). Здесь все еще нет ничего неразумного. Продолжайте копаться, вы, вероятно, обнаружите, что когда вы запустили * tcpdump *, вы недавно закрыли (или перезагрузили!) Приложение, которое использовало порт 9090. Chris Johnsen 13 лет назад 2
Большое спасибо за ваш ответ. TCP / IP 101 медленно возвращается. Я попытаюсь успокоить свой вывод tcpdump icmp (кстати: мой маршрутизатор находится в режиме glennbeck) Jamgold 13 лет назад 0
Даже после отключения Skype на 24 часа «трафик» продолжался. Я наконец прибег к ipfw и просто отказался от всех ICMP, которые его остановили. Скайп все еще работает. Я буду следить за этим. Jamgold 13 лет назад 0

Похожие вопросы