Po uaktualnieniu do El Capitan zacząłem zauważać irytujące połączenia z podsieci AirPlayXPCHelper do 192.168.1.0/24 (moja sieć domowa nie jest w 192.168 .1.0 / 24, znajduje się w podsieci 172.16.0.0/12).
Pytania są następujące:
- Dlaczego AirPlayXPCHelper łączy się z tą siecią na portach 5000 i 7000 ?
- Czy istnieje sposób na ograniczenie chęci pójścia tam?
Dziękuję.
Komentarze
- Czy jest coś w sieci 192.168, z którą może być zainteresowany połączeniem?
- Niezupełnie. Istnieje sieć 192.168.100.0/24 z modemu kablowego, ale nic z zakresu 192.168.1.0. Nawet VPN.
- Ponieważ AirPlay ma współpracować ze stacją bazową AirPort Express, której domyślny zakres adresów to 192.168.1.x / 24, możliwe jest, że jest on używany przez pomocnika do spróbuj uzyskać odpowiedzi z takich stacji bazowych.
- @Phoenix isn ' t 10.0.0.0/24 to ustawienie domyślne dla lotniska?
- Tam są konfigurowalne 3 sieci: 10.0.xx / 24, 172.16.xx / 24 i 192.168.xx / 24. Trzeci oktet ma domyślnie wartość 1, ale można go dowolnie konfigurować w zakresie od 0 do 255. Jeśli ' się nie mylę, to był to 10.0.x.x / 24 i został zmieniony na 192.168.x.x / 24 w późniejszych wersjach oprogramowania. Ponieważ nie ustawiałem domyślnych urządzeń przez bardzo długi czas, ' nie jestem jednak w 100% pewien.
Odpowiedź
Czas odpowiedzieć na moje własne pytanie:
Dlaczego AirPlayXPCHelper łączy się z tą siecią na porcie 5000 i 7000?
Jest to związane z wykrywaniem urządzeń Peer-to-Peer AirPlay i Airplay. macOS wykrywa nowe urządzenie i próbuje połączyć się przy użyciu tych portów, aby zakończyć (?) proces wykrywania.
Kilku moich sąsiadów próbowało połączyć się z nowymi AppleTV i macOS. Ponieważ wszystkie telewizory Apple TV są podłączone do różnych sieci, próbuje połączyć się z każdą z nich i właśnie to zgłasza Little Snitch.
Czy jest sposób, aby ograniczyć jego chęć pójścia tam?
Nie znam żadnego. Właśnie zablokowałem dostęp dla AirPlayXPCHelper do sieci innych niż moja za pomocą Little Snitch.
Odpowiedź
Miałem dokładnie ten sam problem, w którym Little Snitch wykrył zewnętrzny ruch AirPlayXPCHelper na porcie 7000, ale traktował go jako ruch wewnętrzny. Co Chodzi mi o to, że mimo że cały ruch zewnętrzny był oznaczony jako odmowa, Little Snitch kontynuował monitowanie mnie przy każdej próbie połączenia, dopóki nie ustawię go tak, aby odmawiał ruchu lokalnego (tylko w celach testowych), oczywiście nie chcę blokować ruchu lokalnego na ten port … Nie rozumiem, dlaczego Little Snitch interpretuje to jako ruch lokalny (gdy adres nie znajduje się w lokalnym zakresie DHCP), być może błąd w Little Snitch?
Kiedy r Wysłałem post o AirPlay, dzięki czemu pomyślałem o tym, jak działa technologia AirPlay, ponieważ teraz używa Bluetooth do nawiązywania połączeń między urządzeniami. Nie udało mi się powtórzyć problemu z włączonymi połączeniami lokalnymi i wyłączonym bluetooth.
Krótko mówiąc, jestem teraz przekonany, że to po prostu błąd w Little Snitch, a nie ktoś, kto próbuje włamać się do mojej sieci. Zablokowanie połączenia lokalnego lub wyłączenie Bluetooth to jedyne sposoby, w jakie mogę trwale zatrzymać próby.
Ruch Bluetooth pochodzi z urządzenia obsługującego AirPlay znajdującego się w pobliżu komputera. Może sąsiedni sąsiad AppleTV?
Komentarze
- Nie ' nie widzę, jak to jest odpowiedź na pytanie, a nie zupełnie inne pytanie. Rozważ przepisanie go tak, aby odpowiadał na pytanie, lub jeśli masz inne pytanie, przepisz je i opublikuj jako nowe pytanie.
Odpowiedź
Mnie też się to przydarzyło, więc się w to zagłębiłem. Zobacz dokumentację Apple w Airplay Discovery https://support.apple.com/guide/deployment-reference-macos/airplay-discovery-apd19d206cc7/1/web/1.0
Odniosę się do sąsiada urządzenie jako urządzenie ” alien „, aby podkreślić, że nie chcesz się z nim łączyć i że nie znajduje się ono w Twojej sieci lokalnej . (Mógłby nadać adres publiczny, ale to nie dotyczy ludzi.)
Obce urządzenie rozgłasza swój adres IP przez Bonjour, peer-to-peer lub Bluetooth. Zakładając, że Twoja sieć jest nawet umiarkowanie bezpieczna, Mac nie uzyskuje adresu obcego przez Bonjour. Być może Twój Mac uzyskuje adres IP przez Wi-Fi peer-to-peer, ale najprawdopodobniej Twój Mac otrzymuje adres IP obcego przez Bluetooth.
Możesz wyłączyć Bluetooth, aby tego uniknąć, ale niektórzy potrzebują go włączonego. Nie widzę możliwości na komputerze Mac, aby powiedzieć, aby ignorować te transmisje z wyjątkiem określonych sieci lub wyłączyć wykrywanie AirPlay.
Mac uzyskuje adres IP obcego urządzenia, a komputer Mac próbuje połączyć się ze swoją zwykłą siecią (bezprzewodową lub przewodową) na adres IP.Jeśli nie może się tam dostać (ponieważ znajduje się na prywatnym adresie innym niż twój), nie szkodzi (z wyjątkiem tego, że Mały znicz to zauważył).
Nawet jeśli obce urządzenie transmituje adres IP, który możesz uzyskać załóżmy, że nawet ten sam adres IP, co prawdziwe głośniki Airplay / telewizor, rozumiem, że kodowanie AES w Airplay zasadniczo wymaga klucza wstępnego. Jeśli go nie skonfigurujesz, nie będzie z nimi rozmawiać. Jeśli tak skonfiguruj go, wtedy Twój Mac wie już o twoich konkretnych głośnikach / telewizorze i nie ma nic złego w tym, że znajdzie je ponownie.
Jeśli chodzi o przypadek, w którym możesz dostać się do obcego urządzenia przez publiczny adres IP. Jeśli nie ma odpowiedniego klucza wstępnego, kodowanie Airplay AES uniemożliwi urządzeniu obce zrozumienie, co je wysyłasz.
Przerażające było dla mnie zobaczenie tej obcej sieci, ale wygląda na to, że nie reprezentuje to niczego poważniejszego niż niepotrzebne alarmy. Powiedz Małemu Zniczowi, aby po cichu blokował wszystko, czego nie ma w Twoich lokalnych sieciach.
Odpowiedz
To pytanie pomoże Ci wyłączyć główną przyczynę problemu.
Jeśli jesteś ciekawym typem, odpaliłbym gdzieś WireShark i sprawdziłbym, czy Mac faktycznie wysyła pakiety na tych portach na te adresy. Być może AirPlay przypisał sobie interfejs i używa go jako pętli zwrotnej lub w inny sposób.
Komentarze
- Nie ' nie chcę wyłączać AirPlay, ale chcę lepiej zrozumieć dlaczego próbuje połączyć się z podsieciami, których nie ma w mojej sieci. Patrzyłem na wysypisko Wireshark, ale nie widziałem nic ciekawego. Powinienem był wspomnieć o tym w moim pytaniu.
Odpowiedź
Wykonałem traceroute i odkryłem, że pojawia się żądanie pochodzić z drugiej strony bramy usługodawcy internetowego.
- Mój Edge Firewall
- Mój lokalny modem ISP
- Brama ISP
- 192.168.1.1 (192.168.1.1) 9,921 ms 148,842 ms 10,342 ms
Dodałem nową regułę firewalla na mojej krawędzi firewall (a nie przez Little Snitch), aby blokować żądania przychodzące . Wydaje się, że to już nie problem.