5

โดยทั่วไปฉันปิดใช้งานการเชื่อมต่อขาเข้าโดยซอฟต์แวร์ความปลอดภัยของฉัน ( Snitch น้อย ) แต่เมื่อฉันทำสิ่งนี้ใน wifi สาธารณะฉันเห็นการเชื่อมต่อเข้ามามากมาย netbios และ mDNSResponder อนุญาตโดยอัตโนมัติ

ตัวอย่างเช่นในการเข้าพักที่โรงแรมเมื่อเร็ว ๆ นี้ฉันได้พบกับรายการที่ยาวนานทันทีที่เข้าสู่ระบบ WiFi ที่นั่น (ระบุว่าอนุญาตโดยอัตโนมัติโดย Little Snitch)

enter image description here

ซึ่งเติบโตอย่างรวดเร็วเป็นพัน

enter image description here

การเชื่อมต่อขาเข้าเหล่านี้มีไว้เพื่ออะไร? ทำไมพวกเขาถึงได้รับอนุญาตโดยอัตโนมัติ พวกเขาเป็นภัยคุกคามความปลอดภัยหรือไม่

โปรดทราบว่าหากฉันปิดกั้นการเชื่อมต่อเหล่านี้ทั้งหมดโดยใช้ Little Snitch การเข้าถึงเครือข่ายของฉันล้มเหลว แต่ดูเหมือนว่าเครือข่ายยังคงทำงานเมื่อฉันบล็อกการเชื่อมต่อขาเข้าโดยใช้ไฟร์วอลล์ของ Apple (OS X 10.9)

enter image description here

และเปิดใช้งานโหมดซ่อนตัว

enter image description here

— orome
แหล่งที่มา

เท่าที่ฉันรู้ netbios และ mDNSresponder คือบริการระบบที่รวบรวมข้อมูลว่ามีใครอยู่ในเครือข่ายซึ่งบริการต่างๆเช่นการแชร์ไฟล์และเครื่องพิมพ์สามารถทำงานได้ การเชื่อมต่อไม่เป็นอันตราย (เท่าที่ฉันรู้) ฉันไม่แน่ใจว่าทำไม Little Snitch อนุญาตโดยค่าเริ่มต้น

— Saaru Lindestøkke

2

NetBIOS

คุณสามารถปิดกั้น netbios เชื่อมต่อกับ Little Snitch. การเชื่อมต่อเหล่านี้เป็นความพยายามในการเชื่อมต่อซึ่งส่วนใหญ่มักจะมาจาก Windows ที่ใช้เครือข่าย Wi-Fi เดียวกันและการทดสอบที่มีการแชร์และเครื่องพิมพ์บนคอมพิวเตอร์ของคุณ โพรโทคอลนี้ทำงานเหมือนคนที่แต่งตัวประหลาดเข้าสู่อาคารใหม่และทดสอบลูกบิดประตูทั้งหมดเมื่อประตูเปิดเขาถามว่า: คุณชื่ออะไร คุณแบ่งปันอะไร คุณพิมพ์หรือไม่ โพรโทคอลนี้โง่และอันตราย แต่ที่สะดุดตาที่สุดสำหรับ Windows โปรโตคอลนี้เป็นเวกเตอร์ชั้นนำของมัลแวร์ที่ออกอากาศภายใน LAN ของ บริษัท ที่ใช้ Windows มานานกว่า 20 ปี (เข้าสู่ยุค floppies) โปรโตคอลนี้รับผิดชอบความเสียหายด้านความปลอดภัยที่ใหญ่ที่สุดใน บริษัท ใหญ่ ๆ

netbios คือ ภัยคุกคามความปลอดภัย .

ใน Mac ของฉันทั้งหมดฉันฉีกบริการนี้ ( netbiosd ) ระหว่างขั้นตอนการติดตั้งโพสต์ (ดู: ... เพื่อปิดการใช้งาน WINS ในการตั้งค่าเครือข่าย ทำงานบน 10.7, 10.8, 10.9)

mDNSResponder

คุณทำไม่ได้และไม่ควรบล็อก mDNSResponder เพราะคุณจะหยุดการทำงานปกติของ DNS บน Mac ของคุณ นั่นคือ คุณจะไม่สามารถหาที่อยู่ IP ของ www.microsoft.com.

mDNSREsponder ไม่ใช่ ภัยคุกคามความปลอดภัย (วันนี้)

การตั้งค่าไฟร์วอลล์

วิธีการของคุณในการบล็อกการเชื่อมต่อผ่านไฟร์วอลล์ MacOS X นั้นเป็นวิธีที่ถูกต้องและปลอดภัยในสภาพแวดล้อมที่รุนแรง

— daniel Azuelos
แหล่งที่มา

2

คุณช่วยอธิบายวิธี "ฉีก" ได้ไหม netbiosd ?

— orome

เหตุใดการปิด mDNS จึงทำให้ DNS ผิดปกติ ตอนนี้มันจะพังแน่นอน ในประเทศ การแก้ปัญหาชื่อโฮสต์คุณจะไม่สามารถเห็นเครื่องอื่นโดยอัตโนมัติในเครือข่ายเดียวกัน แต่มันจะไม่พบเซิร์ฟเวอร์ภายนอกใช่ไหม

— SilverWolf

0

ฉันไม่แน่ใจว่าคุณสบายใจแค่ไหนกับบรรทัดคำสั่ง แต่นี่จะไป netstat เป็นคำสั่งที่แสดงพอร์ตที่เปิดอยู่ ดังนั้นก่อนอื่นฉันเปิด Terminal (ใน Applications / Utilities) แล้ว netstat เพื่อดูรายการการเชื่อมต่อที่สร้างไว้แล้ว (22 ในกรณีของฉัน) มันพยายามแก้ไขที่อยู่ในประเทศและต่างประเทศดังนั้นที่นี่ฉันสามารถเห็นการเชื่อมต่อเบราว์เซอร์ stackoverflow.com:

vger.local:~(14)+>- /usr/sbin/netstat -a | fgrep stackoverflow
tcp4       0      0  10.1.1.80.57905        stackoverflow.co.http  ESTABLISHED
tcp4       0      0  10.1.1.80.57891        stackoverflow.co.http  ESTABLISHED
tcp4       0      0  10.1.1.80.52015        stackoverflow.co.http  ESTABLISHED
vger.local:~(15)+>-

( fgrep ใช้ที่นี่เพื่อกรองเอาต์พุตไปที่บรรทัดที่มีสตริงที่ฉันค้นหาเท่านั้น) 10.1.1.80 คือ IP ของเดสก์ท็อปของฉันและหมายเลขหลังจากนั้นคือพอร์ต TCP ดังนั้นตอนนี้ฉันสามารถใช้ lsof เพื่อดูว่าโปรแกรมใดเปิดพอร์ตนั้น:

vger.local:~(15)+>- /usr/sbin/lsof -i TCP:52015
COMMAND PID    USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
firefox 631 pkearns   64u  IPv4 0x552e1c664da13fcb      0t0  TCP 10.1.1.80:52015->stackoverflow.com:http (ESTABLISHED)
vger.local:~(16)+>-

Firefox ไม่น่าประหลาดใจ หากคุณมีหมายเลขพอร์ต (การเชื่อมต่อ) ที่เปิดค้างไว้คุณสามารถใช้ lsof เพื่อดูว่ากระบวนการ / โปรแกรมใดเปิดไว้

— Philip Kearns
แหล่งที่มา

การเชื่อมต่อขาเข้ามากมายที่ฉันเห็นบนเครือข่าย wifi สาธารณะมีไว้เพื่ออะไร?

NetBIOS

mDNSResponder

การตั้งค่าไฟร์วอลล์