Geheimnisvoller zweiter Ethernet-Stack auf meinem Mac?

1

Was sind Tun and Tap (Ether Tap Stack) im Startobjektordner? Sind sie legitim und werden von Diensten wie Parallels oder HPTrap Monitor usw. verwendet oder werden sie installiert, um Dienste wie Little Snitch zu umgehen? Ich habe sie gefunden, als ich mir die Weltraumfresser auf meinem Computer angesehen habe.

lion network RAM
quelle

Antworten:

3

TUN und TAP sind softwarebasierte Netzwerkgeräte. Sie werden normalerweise von VPN- oder SSH-Tunneling-Anwendungen erstellt, um die Netzwerkadressübersetzung oder Bridge-Funktionen von einem Netzwerk zum anderen durchzuführen. Sie werden auch für das Bridging von virtuellen Maschinen verwendet. Sie werden von VirtualBox erstellt, wenn Sie sie zufällig als VM-Lösung verwenden. Möglicherweise werden sie auch von Parallels oder Fusion erstellt (obwohl ich sie nicht auf meinen Fusion-fähigen Computern habe).

Aus diesem Wikipedia-Eintrag :

Pakete, die von einem Betriebssystem über ein TUN / TAP-Gerät gesendet werden, werden an ein User-Space-Programm übermittelt, das sich selbst an das Gerät anschließt. Ein User-Space-Programm kann auch Pakete an ein TUN / TAP-Gerät übergeben. In diesem Fall liefert das TUN / TAP-Gerät diese Pakete an den Netzwerkstapel des Betriebssystems (oder "injiziert" sie) und emuliert so ihren Empfang von einer externen Quelle.

Wenn sich LittleSnitch zwischen Ihrer Ethernet-Schnittstelle und dem Betriebssystem befindet, hilft ein TUN / TAP-Paar nicht dabei, den Datenverkehr darum herumzuleiten. Es kann jedoch unerkannt verschlüsselt werden.

Diese Wikipedia listet eine Reihe von legitimen Anwendungen auf, die möglicherweise TUN / TAP-Paare auf Ihrem Computer einrichten, aber diese Liste ist keineswegs vollständig. Das Paar könnte sogar bei der Weiterleitung und Überprüfung von Little Snitch-Paketen anwesend sein (obwohl ich ehrlich gesagt dachte, dass Little Snitch nur den Standard-Firewall-Dienst von OS X verbessert, ihn aber nicht ersetzt hat ... ich kann mich jedoch irren).

Sie können netstat -nrlversuchen, festzustellen, welche Routen, falls vorhanden, durch das TUN / TAP-Paar gemischt werden. Führen Sie zunächst eine aus, ifconfigund ermitteln Sie den etherWert (die MAC-Adresse) für das Paar. Suchen Sie dann in der zurückgegebenen Tabelle netstat -nrlnach Routen, um festzustellen, ob Sie eine der MAC-Adressen erkennen können.

Wenn das nicht funktioniert, können Sie Wireshark verwenden , um die Schnittstelle (n) auf Datenverkehr zu überwachen und festzustellen, wo und wohin der Datenverkehr führt. Es gibt ein Homebrew-Rezept für Wireshark, um es zu installieren:

brew install wireshark

Es ist ein ziemlich kompliziertes Programm, also hinterlasse einen Kommentar, wenn du dies erweitern möchtest.

Ian C.
quelle
Vielen Dank, das MacBookPro meiner Frau enthält keine solche Software in den Startelementen. Sie hat LittleSnitch auch auf ihrem Computer installiert, also denke ich, dass es nicht LittleSnitch ist, das sie dorthin bringt. Außerdem verwendet sie Fusion anstelle von Parallels, sodass Fusion sie anscheinend nicht verwendet. Ich habe mich gefragt, ob die Parallels-Software sie verwendet, um das Netzwerk mit der OS X-Seite der Dinge zu verbinden / zu teilen. Ich muss wahrscheinlich in den Foren von Parallels und HP nachfragen, ob sie TUN / TAP-Software verwenden. Ich frage mich, ob ich sie sicher löschen kann, ohne den Papierkorb zu leeren und festzustellen, welches Programm nicht funktioniert.
Ram
Stellen Sie sicher, dass Parallels gestoppt ist, entfernen Sie sie und starten Sie dann Parallels. Ich würde viel Geld auf Parallels setzen, wenn ich sie für das Bridging von VM <-> Guest-Betriebssystemen verwende.
Ian C.
Ich habe Parallels gestoppt, TAP / TUN gelöscht und dann Parallels aktualisiert. Es waren auch keine Parallels. Ich vermute, es könnte etwas anderes sein.
Ram