Ich habe einen Port-Scan auf meinem Mac (OS X 10.9.4, falls relevant) durchgeführt und all diese zufälligen Protokolle ohne Erklärung im Internet erkannt.
2 der ungewöhnlichsten Protokolle sind ndl-aas
und dec_dlm
, Und ich erinnere mich, dass es im Allgemeinen eine gute Idee ist, diese offenen Ports auf Ihrem Computer zu verfolgen, um die Sicherheit Ihres Computers zu gewährleisten.
Also meine Frage
ndl-aas
und dec_dlm
?Weitere Einzelheiten zu diesen Diensten finden Sie in der Hafendatenbank von SpeedGuide oder im IANA Service Port Registry :
AFAIK wird keiner der Ports von OS X standardmäßig verwendet, daher haben Sie wahrscheinlich selbst einige zusätzliche Dinge installiert (3128 wird squid
beispielsweise auch von verwendet).
Um nach Prozessen zu suchen, die diese Ports aktiv überwachen, können Sie lsof -i :3128
und verwenden lsof -i :625
.
Hier ist eine Liste aller Ports, die von Apple-Produkten verwendet werden: TCP- und UDP-Ports, die von Apple-Softwareprodukten verwendet werden – Apple Support
Die Dienstnamen (z. B. dec_dlm) spiegeln nicht unbedingt den tatsächlichen Dienst wider, der auf einem Port läuft. Außerdem kann ein auf Ihrem Mac ausgeführter Dienst auf einen anderen Nicht-Standard-Port umgeleitet werden.
Gemäß der obigen Apple-Liste ist Port 625 dediziert für:
Dienst- oder Protokollname: Open Directory Proxy (ODProxy) (Nicht registrierte Verwendung)
Dienstname: dec_dlm
RFC: –
Wird verwendet von / Zusätzliche Informationen: Open Directory, Server-App, Workgroup Manager-Verzeichnisdienste in OS X Lion und früher. Hinweis: Dieser Port ist bei DEC DLM registriert
Port 3128 erscheint nicht in der Apple-Liste. Laut speedguide.net verwenden folgende Dienste Port 3128:
Dienst: Details:
ndl-aas Active API Server Port (offizielle Zuordnung)
squid-http Proxy Server (inoffiziell)
squid-http squid-http (inoffiziell)
http Tatsoft (inoffiziell)
ReverseWWWTunnel Reverse WWW Tunnel Backdoor (trojan )
RingZero RingZero (Trojaner)
Masters Paradise Masters Paradise (Backdoor) (häufig auch mit Port 3129 gelistet)
Da es sich bei den letzten drei um Windows-Malware handelt, werden sie ausgeschlossen. Tatsoft (http) ist eine reine Windows-Software. Der aktive API-Server-Port ist (mir) völlig unbekannt.
Wahrscheinlich betreiben Sie einen Squid-Proxy auf Ihrem Mac.
Um den Prozess zu erkennen, der aktiv an einem Port lauscht, verwenden Sie:
lsof -i :[port-number]
oder wenn kein Ergebnis angezeigt wird:
sudo lsof -i :[port-number]
Portscans
Beim Scannen der Hosts mit nmap fand ich die folgenden offenen Ports auf Client/Server 10.9/10.10 (keine Dienste wie ssh oder http laufen):
Scannen 127.0.0.1:
10.9.5 Kunde/10.10.5 Kunde:
10.9.5 Server:
10.10.5 Server:
Scannen von [IP-Adresse]:
10.9.5-Client/10.10.5-Client/10.9.5-Server:
10.10.5 Server:
Ergebnis: Die Ports 625/3128 werden wahrscheinlich von Software von Drittanbietern verwendet. Um sie zu deaktivieren, überprüfen Sie die induzierenden Prozesse mit lsof und stoppen Sie sie oder entladen Sie den entsprechenden Start-Daemon oder Agenten. Verwenden Sie eine Firewall, um den Zugriff zu blockieren.
klanomath