Вопрос: mDNSRsponder на macOS Sierra? Malware?


Стоит отметить, что я полный новичок в сетевой безопасности и недавно начал играть с Wireshark.

Я использовал Wireshark для отслеживания активности сети в процессе, называемом mDNSResponder. Мои поисковые запросы Google привели к старым комментариям, описывающим использование mDNSResponder в более ранних версиях OS X. Тем не менее, я запускаю новейшую версию macOS Sierra. Как таковой, я обеспокоен тем, что это может быть вредоносное ПО.

Я рассмотрел второй MacBook Pro, в котором также работает macOS Sierra. MDNSResponder не запущен и не установлен. MacBook Pro, у которого установлен mDNSResponder, находится в / usr / sbin.

MDNSResponder запускается пользователем _mdnsrespond. Он активно отправляет и принимает пакеты.

Также выполняется второй процесс под названием MDNSResponderHelper. Он запускается пользователем root. Однако он не отправляет и не принимает пакеты.

Буду признателен, если кто-нибудь сможет прояснить, является ли это вредоносным ПО. Если я могу что-то сделать, чтобы помочь с этим, не стесняйтесь указывать.

Спасибо.

РЕДАКТИРОВАТЬ

После проведения дальнейших исследований и рассмотрения всех ответов я решил переформатировать свою машину. Оба MacBook Pro были недавно переформатированы в течение нескольких дней друг от друга и были подключены к тем же устройствам. Я не вижу причин, по которым mDNSResponder обязательно устанавливается и работает на одном компьютере, а не на другом. Возможно, что это не вредоносная программа, но сетевая активность mDNSResponder сделала бы ее отличной целью для злонамеренных атак. Поэтому я считаю целесообразным переформатировать машину.

После переформатирования и обновления моей машины mDNSResponder и MDNSResponderHelper больше не установлены. Несмотря на это, машина все еще функционирует нормально.

Я недостаточно осведомлен, чтобы утверждать, были ли mDNSResponder и MDNSResponderHelper хитро скрытыми вредоносными программами, законным программным обеспечением или иным образом, но я думаю, что было бы разумно переформатировать машину. Надеюсь, этот пост поможет другим в будущем.


2
2017-11-28 07:58


Источник


Служба mDNSResponder связана с Bonjour, службой просмотра сети, которая автоматически просматривает сеть для ресурсов. Разница между двумя компьютерами Mac может быть найдена в их соответствующей сети. Ты мог выключить Bonjour, - harrymc
@harrymc Когда я следил за вашей ссылкой и отключил mDNSResponder, я потерял возможность подключения к Интернету. Следовательно, это похоже на законное программное обеспечение. Несмотря на это, мне интересно, почему один MacBook Pro установлен, а другой нет? Оба прекрасно функционируют. Не стесняйтесь публиковать свой комментарий в качестве ответа, чтобы я мог закрыть этот вопрос. Спасибо. - The Pointer


Ответы:


Служба mDNSResponder связана с Bonjour, службой просмотра сети, которая автоматически просматривает сеть для ресурсов. Например, он всегда знает о сетевых принтерах и его списке в актуальном состоянии. Это то, что делает Bonjour: он опросает сегмент локальной сети и обнаруживает устройства, к которым вы можете подключиться.

Служба mDNSResponder является движком Bonjour. Иногда это может пойти немного сумасшедшим, и в Интернете достаточно статей, жалующихся на это.

Есть два запускаемых демона, которые управляют службой Bonjour. Если они будут разгружены, Bonjour отключится и активность mDNSRsponder остановится.

Следующие команды могут выполнять работу в OS X Sierra:

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist

К сожалению, в вашем отчете закрытие mDNSResponder также оставило вас без доступа в Интернет. Ну, по крайней мере, это оказалось подтверждением вы спросили, что это законный процесс OS X.

Поскольку Bonjour - это процесс просмотра сети, его присутствие на одном Mac, но а не на другой, может быть объяснено некоторой разницей в сети. Например, он может проверить, что сетевой принтер по-прежнему доступен.


2
2017-11-30 20:53



В последних версиях macOS mDNSResponder также является основным одноадресным агентом DNS-резольвера, поэтому закрытие mDNSResponder - ужасный совет; вы отключите способность ОС выполнять разрешение DNS. - Spiff
@Spiff: Вопрос в том, был ли его mDNSResponder вредоносной или реальной, и на этот вопрос был дан ответ. Остановить это было испытание. Плакат с удовольствием позволяет mDNSResponder выполнять свою работу, теперь, когда он был подтвержден как законный, и может даже иметь подсказку, почему он более активен на одном Mac. Пожалуйста, обратите больше внимания перед голосованием. - harrymc


mDNSResponder вернулся (хотя и не в форме Pog ...), поэтому, я думаю, вы в порядке:

Слово на улице - это то, что возвращение к mDNSRответу позволило Apple закрыть 300 отдельных отчетов об ошибках. И, судя по всему, компания не собиралась возобновлять эти отчеты, так как OS X 10.11 поставляется с версией mDNSResponder 624.1.2


2
2017-11-28 08:14



Я обновил OP с дополнительной информацией. В этом случае, не должен ли он работать на моем втором Mac? - The Pointer
@ThePointer Это зависит от того, какая версия OS X работает на вашем втором Mac. mDNSRsponder был заменен на findyd в 10.10.0, а затем восстановлен («потому что findyd был глючит») в 10.10.4. Поэтому, если ваш второй Mac работает что-то в диапазоне 10.0. {0-3}, он не должен иметь mDNSResponder; если он работает что-то вне этого диапазона, я понятия не имею, почему mDNSRsponder будет отсутствовать из него. - Gordon Davisson
@GordonDavisson Как я уже упоминал, обе машины обновлены. - The Pointer


Это часть Bonjour и является сервисом, который необходим для запуска множества различных программ, приложений и процессов. Это не вредоносное ПО. Вероятно, причина, по которой вы работаете, на одном, а не на другом. Потому что у одного есть что-то другое, чем другое.


1
2017-11-30 16:40





mDNSResponder является стандартным системным демоном, который был частью Mac OS X / OS X / macOS в течение последних 14 лет.

В последних версиях OS X / macOS это также основной способ разрешения DNS.

В середине 2014 года в OS X Yosemite (OS X v10.10, которая была двумя основными версиями назад на момент написания этой статьи) Apple заменила mDNSResponder с новым демоном discoveryd, но в итоге mDNSResponder начиная с OS X Yosemite v10.10.4 несколько месяцев спустя.

После переформатирования и переустановки вашей машины, если вы не понизили себя до 10.10.0-10.10.3 и остались там, у вас, безусловно, все еще установлен mDNSResponder. Я не уверен, почему ты думаешь, что нет. Фактически, даже в 10.10.0 - 10.10.3, я думаю, mDNSRsponder был бы установлен, но не активирован. Если вы используете macOS Sierra, DNS не будет работать на 90% вашей системы, если mDNSResponder не был установлен и запущен.


1
2017-12-01 19:23



Я проверил системные файлы и могу подтвердить, что mDNSResponder больше не установлен. Обе машины работают с обновленными версиями OS X. - The Pointer