mDNSRответчик на macOS Сьерра? Malware?

Question

Стоит отметить, что я новичок в области сетевой безопасности и только недавно начал играть с Wireshark.

Я использовал Wireshark, чтобы отследить некоторую сетевую активность для процесса, называемого mDNSResponder. Мои поиски в Google привели к старым комментариям, описывающим использование mDNSResponder в более ранних версиях OS X. Однако я использую новейшую версию macOS Sierra. Поэтому я обеспокоен тем, что это может быть вредоносное ПО.

Я изучил второй MacBook Pro, который также работает под управлением macOS Sierra. MDNSResponder не работает и не установлен. MacBook Pro, на котором установлен mDNSResponder, находится в каталоге /usr /sbin.

MDNSResponder запускается пользователем _mdnsrespond. Он активно отправляет и получает пакеты.

Второй процесс с именем MDNSResponderHelper также выполняется. Он запускается пользователем root. Однако это не отправка или получение пакетов.

Буду признателен, если кто-нибудь сможет уточнить, является ли это вредоносной программой. Если есть что-то, что я могу сделать, чтобы помочь с этим, не стесняйтесь указывать.

Спасибо.

РЕДАКТИРОВАТЬ

После проведения дальнейших исследований и рассмотрения всех ответов я решил переформатировать свою машину. Оба MacBook Pro были недавно переформатированы в течение нескольких дней и подключены к одним и тем же устройствам. Я не вижу причин, по которым mDNSResponder обязательно устанавливается и работает на одной машине, а не на другой. Вполне возможно, что это не вредоносное ПО, но сетевая активность mDNSResponder сделает его отличной целью для вредоносных атак. Поэтому я думаю, что стоит переформатировать машину.

После переформатирования и обновления моей машины mDNSResponder и MDNSResponderHelper больше не устанавливаются. Несмотря на это, машина по-прежнему функционирует нормально.

Я недостаточно осведомлен, чтобы утверждать, были ли mDNSResponder и MDNSResponderHelper хитро скрытыми вредоносными программами, легитимным программным обеспечением или иным образом, но я думаю, что было бы разумно переформатировать машину. Надеюсь, этот пост поможет другим в будущем.

Answer 1

Служба mDNSResponder связана с Bonjour, службой просмотра сети, которая автоматически просматривает сеть для поиска ресурсов. Например, он всегда знает о сетевых принтерах, и его список обновлен. Это то, что делает Bonjour: он опрашивает сегмент локальной сети и обнаруживает устройства, к которым вы можете подключиться.

Служба mDNSResponder является движком Bonjour. Иногда это может немного сойти с ума, и в Интернете достаточно статей, жалующихся на это.

Есть два демона запуска, которые управляют сервисом Bonjour. Если они выгружены, Bonjour завершит работу и действие mDNSResponder прекратится.

Следующие команды могут все еще делать работу в OS X Sierra:

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist

К сожалению, согласно вашему отчету, отключение mDNSResponder также оставило вас без доступа в Интернет. Ну, по крайней мере, это оказалось тем, что вы просили подтвердить, что это законный процесс OS X.

Поскольку Bonjour - это процесс просмотра сети, его присутствие на одном Mac, но не на другом, может быть объяснено некоторой разницей в сети. Например, это может быть проверка того, что сетевой принтер все еще доступен.

Answer 2

mDNSResponder вернулся (хотя и не в форме Pog ...), так что я думаю, у вас все в порядке:

Известно, что возвращение к mDNSResponder позволило Apple закрыть 300 отдельных сообщений об ошибках. И, очевидно, компания не собиралась открывать эти отчеты, поскольку OS X 10.11 поставляется с версией mDNSResponder 624.1.2.

Answer 3

mDNSResponder - это стандартный системный демон, который был частью Mac OS X / OS X / macOS в течение последних 14 лет.

В последних версиях OS X / macOS это также основной способ разрешения DNS.

В середине 2014 года в OS X Yosemite (OS X v10.10, которая на момент написания этой статьи была двумя основными версиями) Apple заменила mDNSResponder новым демоном под названием discoveryd , но в итоге переключилась обратно на mDNSResponder с OS X Yosemite v10. 10.4 несколько месяцев спустя.

После переформатирования и переустановки компьютера, если вы не понизились до 10.10.0 - 10.10.3 и не остались там, у вас наверняка все еще установлен mDNSResponder. Я не уверен, почему ты так думаешь. На самом деле, даже в 10.10.0 - 10.10.3, я думаю, что mDNSResponder был бы установлен, но не активирован. Если вы используете MacOS Sierra, DNS не будет работать на 90% вашей системы, если mDNSResponder не установлен и не запущен.

Answer 4

Это часть Bonjour и служба, необходимая для запуска множества различных программ, приложений и процессов. Это не вредоносное ПО. Вероятно, причина, по которой вы работаете на одном, а не на другом. Потому что один работает что-то другое, чем другой.