Little Snitch รายงานการเชื่อมต่อขาออกจาก Mach Kernel

ฉันตรวจสอบปริมาณการใช้งานทั้งหมดโดยใช้ Little Snitch เมื่อเร็ว ๆ นี้ฉันสังเกตเห็นที่อยู่ IP แปลก ๆ ที่ทำการเชื่อมต่อกับกระบวนการ "mach_kernel" ที่อยู่ IP เหล่านี้ส่วนใหญ่ดูเหมือนจะมาจากโปรแกรมอื่น ๆ (ตัวอย่างเช่นฉันอาจเห็นที่อยู่ Google ที่เชื่อมต่อกับ mach_kernel เมื่อฉันเรียกดู Gmail ผ่านเบราว์เซอร์ของฉัน)

Mac ของฉันติดเชื้อหรือไม่ ความกังวลหลักที่นี่คือฉันมีไวรัสซึ่งเป็นปริมาณการใช้ MitMing ของโปรแกรมอื่น ๆ ในกล่องของฉัน ฉันจะรู้ได้อย่างไรว่านี่เป็นกรณี?

mac security firewall

— ด่านใจเฉิน
แหล่งที่มา

ที่อยู่ IP "แปลก" คืออะไร เพื่อให้เราสามารถหาคุณได้

— Ruskes

น่าเสียดายที่ฉันไม่ได้ทำอะไรเลยเพราะฉันรีสตาร์ท Macbook ทุกครั้งที่ฉันสังเกตเห็นการเชื่อมต่อ mach_kernel (ซึ่งดูเหมือนว่าจะแก้ไขสิ่งต่าง ๆ อย่างน้อยก็ชั่วคราว) อย่างไรก็ตามฉันสังเกตเห็นว่าพวกเขาเกี่ยวข้องกับโปรแกรมอื่น ๆ ในกล่องของฉัน ตัวอย่างเช่นเมื่อใช้ Skype ฉันจะเห็นการเชื่อมต่อกับเซิร์ฟเวอร์ Microsoft หรือเมื่อใช้ Chrome ฉันจะเห็นการเชื่อมต่อกับเซิร์ฟเวอร์ Gmail นั่นเป็นเหตุผลที่ฉันกังวลเกี่ยวกับการโจมตีของ MitM

— Dan Jaouen

เปิด Terminal ใน Utility Folder ของคุณแล้วพิมพ์ "lsof -i" แล้วดูผลลัพธ์

— Ruskes

ฉันไม่ได้สังเกตเห็นสิ่งที่แปลกในlsofผลลัพธ์ในขณะนี้ แต่ฉันจะลองอีกครั้งในครั้งต่อไปที่ฉันสังเกตเห็นกิจกรรม mach_kernel

— Dan Jaouen

โอเคบอกให้ฉันรู้นะ. คุณสามารถเรียกใช้แอป Clamxav เพื่อตรวจหาไวรัสและอื่น ๆ clamxav.com

— Ruskes

ฉันได้ถามทีมพัฒนา Little Snitch ที่ obdev เกี่ยวกับปัญหานี้ นี่คือคำตอบ:

ในความเป็นจริงการรับส่งข้อมูลในท้องถิ่นผ่าน AFP หรือโปรโตคอล SMB นั้นถูกกำหนดเส้นทางโดยกระบวนการ mach_kernel ในระบบ OS X ที่ใหม่กว่า

มันถูกกำหนดเป็น / mach_kernel เมื่อ 10.10.x ฉันใช้ OS X 10.11.4 ที่นี่ซึ่งตอนนี้เส้นทางกระบวนการ / ระบบ / ห้องสมุด / เมล็ด / เคอร์เนล

น่าเสียดายที่ไม่สามารถใช้วิธีเดียวกันกับกระบวนการอื่น ๆ ได้ แต่โดยทั่วไปแล้วกฎเครือข่ายท้องถิ่นของคุณควรครอบคลุมการเชื่อมต่อที่เกี่ยวข้องทั้งหมด

แต่ฉันต้องยอมรับว่าฉันยังจำกรณีที่การเชื่อมต่อภายนอกที่เกี่ยวข้องกับ mach_kernel โดยไม่ได้ตั้งใจและดูเหมือนว่าจะเกิดขึ้นเมื่อตารางในแคช Little Snitch Network Monitor ถูกผสมอย่างใด คุณอาจประสบกับปัญหาการเชื่อมต่อภายนอกที่เกี่ยวข้องกับกระบวนการ mach_kernel หรือไม่? อาจเป็นปัญหาของหน่วยความจำ - เกิดขึ้นเมื่อระบบของคุณ (รวมถึงการตรวจสอบเครือข่าย Little Snitch) กำลังทำงานมาระยะหนึ่งแล้ว…ฉันได้พูดคุยกับนักพัฒนาของเราเกี่ยวกับสิ่งนั้นแล้วเราจะจับตาดูปัญหานั้น

...

ไซมอน

"ตารางในแคชการตรวจสอบเครือข่าย Little Snitch ถูกผสมอย่างใด" อย่างจริงจัง?

ดูเหมือนจะเกิดขึ้นจริงหลังจากที่เครื่องของฉันทำงานเป็นเวลาหลายวันหรือหลายสัปดาห์โดยไม่ต้องรีบูท และการรีบูตจะแก้ไขได้ชั่วคราว เป็นไปได้ว่านี่เป็นเพียงข้อบกพร่องใน Little Snitch

อย่างไรก็ตามฉันคิดว่ามันน่าสงสัยว่าการรับส่งข้อมูลที่ส่งผ่านไปmach_kernelยัง "ไม่สามารถได้รับการปฏิบัติเช่นเดียวกับกระบวนการอื่น ๆ " ฉันไม่ได้รับแจ้งเกี่ยวกับวิธีการออกแบบสนิชช์ Little Little มันอาจจะไม่สามารถทำงานในพื้นที่เคอร์เนล (วงแหวน 0) แต่ฉันคิดว่ามันสะดวกมากในสภาพภูมิอากาศของรัฐบาลในปัจจุบันที่สอดแนมว่าเคอร์เนล OSX สามารถเข้ายึดครองและเดินไปรอบ ๆ Little Snitch ได้ ฉันเชื่อว่าIPTablesคงไม่มีปัญหาในการบล็อกทราฟฟิก แต่แน่นอนที่สุดแล้วคือสถาปัตยกรรมและโมเดลผู้ใช้ที่แตกต่างกันโดยสิ้นเชิง

ดูที่นี่สำหรับการอ้างอิงเพิ่มเติม: https://security.stackexchange.com/questions/58815/do-firewalls-always-run-in-userspace

การเปลี่ยนมาใช้ FOSS / Linux นั้นกำลังมองหาเส้นทางมากขึ้นเรื่อย ๆ

— Midwire
แหล่งที่มา

Little Snitch รายงานการเชื่อมต่อขาออกจาก Mach Kernel - ฉันติดเชื้อแล้วหรือยัง