值得一提的是,我是网络安全领域的一名新手,最近才开始接触Wireshark。
我使用 Wireshark 将一些网络活动追踪到名为 mDNSResponder 的进程。我在 Google 上搜索到的旧评论描述了 mDNSResponder 在早期版本的 OS X 中的使用情况。但是,我正在运行最新版本的 macOS Sierra。因此,我担心它可能是恶意软件。
我检查了第二台 MacBook Pro,它也运行 macOS Sierra。MDNSResponder 没有运行,也没有安装。安装了 mDNSResponder 的 MacBook Pro 位于 /usr/sbin 中。
MDNSResponder 由用户 _mdnsrespond 运行。它正在主动发送和接收数据包。
第二个名为 MDNSResponderHelper 的进程也在运行。它由 root 用户运行。但是,它没有发送或接收数据包。
如果有人能澄清这是否是恶意软件,我将不胜感激。如果我能提供任何帮助,请随时说明。
谢谢。
编辑
在进行进一步研究并考虑了所有回复后,我决定重新格式化我的机器。这两台 MacBook Pro 最近在几天内重新格式化,并连接到相同的设备。我看不出为什么 mDNSResponder 一定在一台机器上安装和运行,而在另一台机器上没有。它可能不是恶意软件,但 mDNSResponder 的网络活动使其成为恶意攻击的绝佳目标。因此,我认为重新格式化机器是明智之举。
重新格式化并更新我的机器后,mDNSResponder 和 MDNSResponderHelper 不再安装。尽管如此,机器仍可正常运行。
我没有足够的知识来判断 mDNSResponder 和 MDNSResponderHelper 是巧妙隐藏的恶意软件、合法软件还是其他什么,但我确实认为重新格式化机器是明智的。希望这篇文章将来能帮助到其他人。
答案1
mDNSResponder 服务与 Bonjour 相关联,Bonjour 是一种网络浏览服务,可自动浏览网络资源。例如,它始终了解网络打印机,并且其列表是最新的。这就是 Bonjour 的作用:它轮询本地网络段并发现您可以连接的设备。
mDNSResponder 服务是 Bonjour 的引擎。有时它会有点失控,网上有很多文章对此表示抱怨。
有两个启动守护进程管理 Bonjour 服务。如果卸载它们,Bonjour 将关闭,并且 mDNSResponder 活动将停止。
以下命令在 OS X Sierra 中可能仍然可以完成该工作:
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist
不幸的是,根据您的报告,关闭 mDNSResponder 也会导致您无法访问互联网。好吧,至少这证实了您要求的确认,即这是一个合法的 OS X 进程。
由于 Bonjour 是一个网络浏览过程,因此它在一台 Mac 上存在而在另一台 Mac 上不存在可能是由于网络存在一些差异。例如,它可能正在检查网络打印机是否仍然可用。
答案2
mDNSResponder
是一个标准系统守护进程,在过去 14 年里一直是 Mac OS X / OS X / macOS 的一部分。
在 OS X / macOS 的最新版本中,它也是完成 DNS 解析的主要方式。
2014 年中,Apple 在 OS X Yosemite(OS X v10.10,撰写本文时是两个主要版本的前身)中用mDNSResponder
一个名为 的新守护进程替换了它,但几个月后在 OS X Yosemite v10.10.4 中discoveryd
又切换回了。mDNSResponder
重新格式化并重新安装计算机后,除非您降级到 10.10.0 – 10.10.3 并保留在该版本,否则您肯定仍然安装了 mDNSResponder。我不知道您为什么认为没有。事实上,即使在 10.10.0 – 10.10.3 中,我认为 mDNSResponder 应该已安装但未激活。如果您使用的是 macOS Sierra,如果未安装和运行 mDNSResponder,则 90% 的系统上的 DNS 将无法正常工作。
答案3
mDNSResponder 回归(尽管不是 Pog 形式......),所以我想你没事:
有传言称,恢复使用 mDNSResponder 让 Apple 得以关闭 300 份单独的错误报告。显然该公司并不打算重新打开这些报告,因为 OS X 10.11 附带了 mDNSResponder 版本 624.1.2
答案4
这是 Bonjour 的一部分,是运行许多不同程序、应用程序和进程所需的服务。它不是恶意软件。您看到它在其中一个上运行而另一个不运行的原因可能是。因为一个运行的东西与另一个不同。