Bonjour
Mon Mac émet en quasi-permanence des données sans qu'aucun logiciel ne soit démarré.
J'ai utilisé sudo tcpdump -e -vv -K -c 7 -i en1 et j'ai obtenu ceci:
tcpdump: listening on en1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:48:58.965709 00:0c:c3:43:58:9f (oui Unknown) > 01:00:5e:00:00:fb (oui Unknown), ethertype IPv4 (0x0800), length 60: (tos 0xc0, ttl 1, id 12404, offset 0, flags [none], proto IGMP (2), length 28)
dartybox.darty > 224.0.0.251: igmp query v2 [max resp time 5] [gaddr 224.0.0.251]
16:48:59.036180 60:33:4b:11:a0:5f (oui Unknown) > 01:00:5e:00:00:fb (oui Unknown), ethertype IPv4 (0x0800), length 46: (tos 0x0, ttl 1, id 32095, offset 0, flags [none], proto IGMP (2), length 32, options (RA))
host-002.darty > 224.0.0.251: igmp v2 report 224.0.0.251
16:48:59.095410 60:33:4b:11:a0:5f (oui Unknown) > 00:0c:c3:43:58:9f (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 255, id 10283, offset 0, flags [none], proto UDP (17), length 72)
host-002.darty.56095 > dartybox.darty.domain: 61984+ PTR? 254.1.168.192.in-addr.arpa. (44)
16:48:59.397880 00:0c:c3:43:58:9f (oui Unknown) > 60:33:4b:11:a0:5f (oui Unknown), ethertype IPv4 (0x0800), length 114: (tos 0x0, ttl 64, id 25457, offset 0, flags [DF], proto UDP (17), length 100)
dartybox.darty.domain > host-002.darty.56095: 61984* q: PTR? 254.1.168.192.in-addr.arpa. 1/0/0 254.1.168.192.in-addr.arpa. PTR DartyBOX.darty. (72)
16:48:59.399902 60:33:4b:11:a0:5f (oui Unknown) > 00:0c:c3:43:58:9f (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 255, id 51551, offset 0, flags [none], proto UDP (17), length 72)
host-002.darty.63954 > dartybox.darty.domain: 57190+ PTR? 143.1.168.192.in-addr.arpa. (44)
16:49:00.402113 60:33:4b:11:a0:5f (oui Unknown) > 00:0c:c3:43:58:9f (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 255, id 40730, offset 0, flags [none], proto UDP (17), length 72)
host-002.darty.63954 > dartybox.darty.domain: 57190+ PTR? 143.1.168.192.in-addr.arpa. (44)
16:49:00.445331 00:0c:c3:43:58:9f (oui Unknown) > 60:33:4b:11:a0:5f (oui Unknown), ethertype IPv4 (0x0800), length 114: (tos 0x0, ttl 64, id 25458, offset 0, flags [DF], proto UDP (17), length 100)
dartybox.darty.domain > host-002.darty.63954: 57190* q: PTR? 143.1.168.192.in-addr.arpa. 1/0/0 143.1.168.192.in-addr.arpa. PTR Host-002.darty. (72)
7 packets captured
8 packets received by filter
0 packets dropped by kernel
Mon problème est que je ne sais pas quel programme émet (si j'utilise netstat, je n'obtiens pas le nom ou le pid du programme). L'adresse atteinte semble être derrière un DNS masquant les adresses (apparemment l'adresse en .arpa correspond à un blackhole server).
Si quelqu'un sait comment je peux trouver le programme responsable, je me ferai un plaisir de le supprimer.
Valérian
Mon Mac émet en quasi-permanence des données sans qu'aucun logiciel ne soit démarré.
J'ai utilisé sudo tcpdump -e -vv -K -c 7 -i en1 et j'ai obtenu ceci:
tcpdump: listening on en1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:48:58.965709 00:0c:c3:43:58:9f (oui Unknown) > 01:00:5e:00:00:fb (oui Unknown), ethertype IPv4 (0x0800), length 60: (tos 0xc0, ttl 1, id 12404, offset 0, flags [none], proto IGMP (2), length 28)
dartybox.darty > 224.0.0.251: igmp query v2 [max resp time 5] [gaddr 224.0.0.251]
16:48:59.036180 60:33:4b:11:a0:5f (oui Unknown) > 01:00:5e:00:00:fb (oui Unknown), ethertype IPv4 (0x0800), length 46: (tos 0x0, ttl 1, id 32095, offset 0, flags [none], proto IGMP (2), length 32, options (RA))
host-002.darty > 224.0.0.251: igmp v2 report 224.0.0.251
16:48:59.095410 60:33:4b:11:a0:5f (oui Unknown) > 00:0c:c3:43:58:9f (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 255, id 10283, offset 0, flags [none], proto UDP (17), length 72)
host-002.darty.56095 > dartybox.darty.domain: 61984+ PTR? 254.1.168.192.in-addr.arpa. (44)
16:48:59.397880 00:0c:c3:43:58:9f (oui Unknown) > 60:33:4b:11:a0:5f (oui Unknown), ethertype IPv4 (0x0800), length 114: (tos 0x0, ttl 64, id 25457, offset 0, flags [DF], proto UDP (17), length 100)
dartybox.darty.domain > host-002.darty.56095: 61984* q: PTR? 254.1.168.192.in-addr.arpa. 1/0/0 254.1.168.192.in-addr.arpa. PTR DartyBOX.darty. (72)
16:48:59.399902 60:33:4b:11:a0:5f (oui Unknown) > 00:0c:c3:43:58:9f (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 255, id 51551, offset 0, flags [none], proto UDP (17), length 72)
host-002.darty.63954 > dartybox.darty.domain: 57190+ PTR? 143.1.168.192.in-addr.arpa. (44)
16:49:00.402113 60:33:4b:11:a0:5f (oui Unknown) > 00:0c:c3:43:58:9f (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 255, id 40730, offset 0, flags [none], proto UDP (17), length 72)
host-002.darty.63954 > dartybox.darty.domain: 57190+ PTR? 143.1.168.192.in-addr.arpa. (44)
16:49:00.445331 00:0c:c3:43:58:9f (oui Unknown) > 60:33:4b:11:a0:5f (oui Unknown), ethertype IPv4 (0x0800), length 114: (tos 0x0, ttl 64, id 25458, offset 0, flags [DF], proto UDP (17), length 100)
dartybox.darty.domain > host-002.darty.63954: 57190* q: PTR? 143.1.168.192.in-addr.arpa. 1/0/0 143.1.168.192.in-addr.arpa. PTR Host-002.darty. (72)
7 packets captured
8 packets received by filter
0 packets dropped by kernel
Mon problème est que je ne sais pas quel programme émet (si j'utilise netstat, je n'obtiens pas le nom ou le pid du programme). L'adresse atteinte semble être derrière un DNS masquant les adresses (apparemment l'adresse en .arpa correspond à un blackhole server).
Si quelqu'un sait comment je peux trouver le programme responsable, je me ferai un plaisir de le supprimer.
Valérian