پرو ہوسٹر > بلاگ > انتظامیہ > میں نے اپنے ٹریفک کو دیکھا: یہ میرے بارے میں سب کچھ جانتا تھا (Mac OS Catalina)

میں نے اپنے ٹریفک کو دیکھا: یہ میرے بارے میں سب کچھ جانتا تھا (Mac OS Catalina)

میں نے اپنے ٹریفک کو دیکھا: یہ میرے بارے میں سب کچھ جانتا تھا (Mac OS Catalina)اس کے سر پر ایک کاغذ بیگ کے ساتھ آدمی

آج، Catalina کو 15.6 سے 15.7 تک اپ ڈیٹ کرنے کے بعد، انٹرنیٹ کی رفتار گر گئی، کچھ میرے نیٹ ورک کو بہت زیادہ لوڈ کر رہا تھا، اور میں نے نیٹ ورک کی سرگرمی کو دیکھنے کا فیصلہ کیا۔

میں نے چند گھنٹوں تک tcpdump چلایا:

sudo tcpdump -k NP > ~/log

اور پہلی چیز جس نے میری آنکھ پکڑی:

16:43:42.919443 () ARP, Request who-has 192.168.1.51 tell 192.168.1.1, length 28
16:43:42.927716 () ARP, Request who-has 192.168.1.52 tell 192.168.1.1, length 28
16:43:42.934112 () ARP, Request who-has 192.168.1.53 tell 192.168.1.1, length 28
16:43:42.942328 () ARP, Request who-has 192.168.1.54 tell 192.168.1.1, length 28
16:43:43.021971 () ARP, Request who-has 192.168.1.55 tell 192.168.1.1, length 28

اسے میرے پورے مقامی نیٹ ورک کی ضرورت کیوں ہے؟ یہ ہر منٹ 192.168.1./255 کو لامتناہی اسکین کرتا ہے، ٹھیک ہے، ہم کہتے ہیں کہ یہ ایک نیٹ ورک براؤزر سروس ہے۔

(shadowserver.org) - غیر منافع بخش سیکورٹی تنظیم

16:43:33.518282 () IP scan-05l.shadowserver.org.33567 > 192.168.1.150.rsync: Flags [S], seq 1527048226, win 65535, options [mss 536], length 0

ایک اور دستک (scanner-12.ch1.censys-scanner.com -> censys.io):

16:44:16.254073 () IP scanner-12.ch1.censys-scanner.com.62651 > 192.168.1.150.8843: Flags [S], seq 1454862354, win 1024, options [mss 1460], length 0

ٹھیک ہے، ٹھیک ہے، ایسا لگتا ہے کہ کچھ خاص نہیں: تجزیات، مقامی نیٹ ورک کو اسکین کرنا، ٹھیک ہے، معمول کی بات، لیکن پھر اس کا کیا ہوگا:

16:15:56.603292 () IP 45.129.33.152.51777 > 192.168.1.150.jpegmpeg: Flags [S], seq 2349838714, win 1024, options [mss 536], length 0

اگر آپ اس آئی پی ایڈریس پر جاتے ہیں۔ http://45.129.33.152، آپ اسے دیکھ سکتے ہیں:

میں نے اپنے ٹریفک کو دیکھا: یہ میرے بارے میں سب کچھ جانتا تھا (Mac OS Catalina)ٹیکسٹ فائلوں میں بندرگاہوں کے ساتھ لاکھوں IP پتے ہوتے ہیں۔

عارضی فائل کے مشمولات:

[?1h=[?25l[H[J[mtop - 21:17:26 up 31 days,  6:44,  1 use[m[39;49m[m[39;49m[K
Tasks:[m[39;49m[1m 144 [m[39;49mtotal,[m[39;49m[1m   1 [m[39;49mrunning,[m[39;49m[1m 143 [m[39;49msleep[m[39;49m[m[39;49m[K
%Cpu(s):[m[39;49m[1m  0.8 [m[39;49mus,[m[39;49m[1m  0.0 [m[39;49msy,[m[39;49m[1m  0.0 [m[39;49mni,[m[39;49m[1m 92.0[m[39;49m[m[39;49m[K
KiB Mem :[m[39;49m[1m 32681700 [m[39;49mtotal,[m[39;49m[1m 18410244 [m[39;49mfree,[m[39;49m[m[39;49m[K
KiB Swap:[m[39;49m[1m 16449532 [m[39;49mtotal,[m[39;49m[1m 16449288 [m[39;49mfree,[m[39;49m[m[39;49m[K
[K
[7m  PID USER      PR  NI    VIRT    RES [m[39;49m[K
[m    1 root      20   0  191072   3924 [m[39;49m[K
[m    2 root      20   0       0      0 [m[39;49m[K
[m    3 root      20   0       0      0 [m[39;49m[K
[m    5 root       0 -20       0      0 [m[39;49m[K
[m    7 root      rt   0       0      0 [m[39;49m[K
[m    8 root      20   0       0      0 [m[39;49m[K
[m    9 root      20   0       0      0 [m[39;49m[K
[m   10 root      rt   0       0      0 [m[39;49m[K
[m   11 root      rt   0       0      0 [m[39;49m[K
[m   12 root      rt   0       0      0 [m[39;49m[K
[m   13 root      20   0       0      0 [m[39;49m[K
[m   15 root       0 -20       0      0 [m[39;49m[K
[m   16 root      rt   0       0      0 [m[39;49m[K[H[mtop - 21:17:29 up 31 days,  6:44,  1 use[m[39;49m[m[39;49m[K

%Cpu(s):[m[39;49m[1m  0.0 [m[39;49mus,[m[39;49m[1m  0.0 [m[39;49msy,[m[39;49m[1m  0.0 [m[39;49mni,[m[39;49m[1m100.0[m[39;49m[m[39;49m[K
KiB Mem :[m[39;49m[1m 32681700 [m[39;49mtotal,[m[39;49m[1m 18409876 [m[39;49mfree,[m[39;49m[m[39;49m[K

[K

اور آخر میں، نامعلوم سوالات کا ایک گروپ:

16:16:07.022910 () IP 059148253194.ctinets.com.58703 > 192.168.1.150.4244: Flags [S], seq 2829545743, win 1024, options [mss 536], length 0
16:15:57.133836 () IP 45.129.33.2.55914 > 192.168.1.150.39686: Flags [S], seq 700814637, win 1024, options [mss 536], length 0
16:15:56.603292 () IP 45.129.33.152.51777 > 192.168.1.150.jpegmpeg: Flags [S], seq 2349838714, win 1024, options [mss 536], length 0
16:16:15.083755 () IP 45.129.33.154.55846 > 192.168.1.150.7063: Flags [S], seq 4079154719, win 1024, options [mss 536], length 0
16:15:43.251305 () IP 192.168.1.150.60314 > one.one.one.one.domain: 3798+ PTR? 237.171.154.149.in-addr.arpa. (46)
16:16:24.386628 () IP 45.141.84.30.50763 > 192.168.1.150.12158: Flags [S], seq 572523718, win 1024, options [mss 536], length 0
16:16:44.817035 () IP 92.63.197.66.58219 > 192.168.1.150.15077: Flags [S], seq 4012437618, win 1024, options [mss 536], length 0
16:15:43.172042 () IP 45.129.33.46.51641 > 192.168.1.150.bnetgame: Flags [S], seq 362771723, win 1024, options [mss 536], length 0
16:17:02.120063 () IP 45.129.33.23.42275 > 192.168.1.150.11556: Flags [S], seq 3354007029, win 1024, options [mss 536], length 0
16:16:00.589816 () IP 45.129.33.3.56005 > 192.168.1.150.40688: Flags [S], seq 2710391040, win 1024, options [mss 536], length 0

اگر میں ان ڈومینز اور آئی پی ایڈریسز کو ہوسٹ فائل میں بلاک کرتا ہوں، تو اگلے ڈمپ میں وہی IP سب نیٹس ہوں گے، لیکن مختلف اینڈ ایڈریسز کے ساتھ، اور ڈومینز کے ذیلی ڈومینز بدل جاتے ہیں۔

میک میزبان فائل *.example.com میں ماسک کو نہیں سمجھتا ہے۔

میں نے یہ نہیں سوچا ہے کہ منتقل ہونے والے پیکٹوں کو کیسے دیکھا جائے اور کون سے عمل یا ڈیمن ان رابطوں کا سبب بن رہے ہیں (میرے پاس کچھ دنوں سے میک ہے)، لیکن یہ پہلے ہی مزے کی بات ہے!

ماخذ: www.habr.com