Как стать автором
Обновить

Комментарии 18

К чему это все тут? Чтобы задать вопрос? Поставьте вайршарк, залогируйте процессы которые устанавливали соединения. Расследуйте, какие процессы выполняли какую активность. Откуда мы знаем какое ПО установлено на вашем маке? Да может у вас там полный мак всяческого малвара? Вот когда выясните, что некий популярный софт делает то, что не должен, тогда и напишите статью…

Весь мой набор: chrome, vscode, docker

Что-то не верится, честно-честно ничего больше? Никаких расширений для хрома? Никакого другого софта?

в хроме только ublock, если chrome выполняет какие-то соединения то пишется процесс, когда коннект выполняется от системного или root пользователя в логах () пусто
Ну так открыли хром, зашли на тот же хабр и погнали трафик по трекерам, метрикам и прочим сторонних скриптам

16:15:43.251305 () IP 192.168.1.150.60314 > one.one.one.one.domain: 3798+ PTR? 237.171.154.149.in-addr.arpa. (46)

А тут вообще запрос ко всем известному днс провайдеру
если что вызов от процесса который запущен не системным пользователем идет в таком виде:
16:15:43.251305 (chrome) IP 192.168.1.150.60314 > one.one.one.one.domain

Чем Wireshark лучше tcpdump?
Не лучше и не хуже. Они, в приципе, из разных категорий. Обычно tcpdump снимается отпечаток, затем в wireshark его можно открыть и анализировать. tcpdump, как ему и положено, просто залогирует каждый пролетающий пакет. А вот wireshark уже из элементарных пакетов сможет уже показать TCP сессии. Для некоторых известных бинарных протоколов может даже предложить человеко-читаемую форму. Также в самом Wireshark есть кнопочка захвата трафика, которая, как я понимаю, запускает тот же самый tcpdump.
Это был риторический вопрос. На мой взгляд, если человек умеет пользоваться tcpdump, как автор, говорить о Wireshark ему неуместно.
Запустить команду != уметь пользоваться

Поздравляю, Вы открыли (пусть и в виде поста на Хабр отчего-то) интернетный шум. Как он до Вашего компьютера снаружи доехал по тексту понять сложно, 1:1 NAT разве что.


Далее предлагаю узнать, что такое IP-адрес, какой он у Вашего Мака и как вообще читать вывод tcpdump. Потом станет понятно, откуда и куда этот трафик, а также то, что “host” не блокирует входящий трафик, а другие адреса в выводе после «блокировки» — просто совпадение.

НЛО прилетело и опубликовало эту надпись здесь
Мак не понимает маску в файле host *.example.com

Вообще-то это особенность /etc/hosts
В Линукс решается установкой локального dnsmasq, если кому интересно. И указанием его как ДНС сервером — и делай с записями, что хочешь

Резолвинг (/etc/hosts, игры с dnsmasq) важен, если локальный комп устанавливает соединение куда-то. В данном случае все наоборот:

scanner-12.ch1.censys-scanner.com.62651 > 192.168.1.150.8843: Flags [S]

Очевидно, что scanner-12.ch1.censys-scanner.com сам пришел по TCP на локальный узел. Отключение резолвинга только усложнит диагностику автору, но на саму TCP-сессию повлияет никак.

В общем, читайте книжки, они рулез (С)

Мое замечание относилось только лишь к фразе, что /etc/hosts не умеет в вайлдкард записи ) И, да, это работает только для исходящих соединений.
А что там за топология сети у автора и как он выходит в интернеты — я вообще без понятия. Почему-то этот вопрос не освещён в заметке


в остальном — никакого противоречия не вижу )


Очевидно, что scanner-12.ch1.censys-scanner.com сам пришел по TCP на локальный узел. Отключение резолвинга только усложнит диагностику автору, но на саму TCP-сессию повлияет никак.

Кстати, не факт. Соединение могло быть установлено изнутри, по крайней мере явных указаний на обратное в этой строчке я не увидел.

Мое замечание относилось только лишь к фразе, что /etc/hosts не умеет в вайлдкард записи ) И, да, это работает только для исходящих соединений.
А что там за топология сети у автора и как он выходит в интернеты — я вообще без понятия. Почему-то этот вопрос не освещён в заметке

Ну, догадаться несложно :) Достаточно много автор написал :)
в остальном — никакого противоречия не вижу )

В таком варианте — да :)
Кстати, не факт. Соединение могло быть установлено изнутри, по крайней мере явных указаний на обратное в этой строчке я не увидел.

Ну да, конечно. Исходящее соединение на эфемерный порт, с портом источника 8843. И оттуда приходит в ответ SYN без ACK, ага. Не, теоретически сварганить можно, если обе стороны задействовать. Но на практике — очевидно, что это таки входящее.
Автор, лучше бы ты не снифал свой трафик. Только по шапке от форумчан получил…
да ваще
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории