进程对我的 OSX 机器进行 ICMP 端口扫描,我担心我的 Mac 感染了病毒

进程对我的 OSX 机器进行 ICMP 端口扫描,我担心我的 Mac 感染了病毒

我注意到我的 10.6.6 盒子有一些进程向“随机”主机发送 ICMP 消息,这让我非常担心。

在执行 tcpdump icmp 时,我看到很多以下信息

15:41:14.738328 IP macpro > bzq-109-66-184-49.red.bezeqint.net: ICMP macpro udp port websm unreachable, length 36
15:41:15.110381 IP macpro > 99-110-211-191.lightspeed.sntcca.sbcglobal.net: ICMP macpro udp port 54045 unreachable, length 36
15:41:23.458831 IP macpro > 188.122.242.115: ICMP macpro udp port websm unreachable, length 36
15:41:23.638731 IP macpro > 61.85-200-21.bkkb.no: ICMP macpro udp port websm unreachable, length 36
15:41:27.329981 IP macpro > c-98-234-88-192.hsd1.ca.comcast.net: ICMP macpro udp port 54045 unreachable, length 36
15:41:29.349586 IP macpro > c-98-234-88-192.hsd1.ca.comcast.net: ICMP macpro udp port 54045 unreachable, length 36

当我的路由器通知我大量 ICMP 消息没有得到响应时,我开始怀疑

[INFO] 2011 年 1 月 10 日星期一 16:31:47 阻止从 192.168.1.189 到 212.25.57.90 的传出 ICMP 数据包(ICMP 类型 3)

有人知道如何追踪哪个进程(或更糟糕的内核模块)可能对此负责吗?

我重新启动并使用 virgin 用户帐户登录,tcpdump 显示相同的结果。

欢迎任何 dtrace 魔法。

答案1

这些都是ICMP 目标不可达消息。您的示例都是类型 3:端口不可达。涉及两个 UDP 端口:54045、9090(“websm”)。

当另一个端点尝试连接(或者 - 在 UDP 的情况下 - 发送数据)没有进程“监听”的端口时,大多数 IP 堆栈通常会发送它们。

最有可能的是这些其他 IP 向您的机器发送了未经请求的 UDP 消息,而您内核中的 IP 堆栈则“礼貌地”做出响应,相当于“抱歉,这里没有人接收您的消息。”。您的路由器阻止这些响应消息可能是可以的(可能有点“偏执”,但可能无害)。

相关内容