Little Snitch сообщает об исходящих соединениях для AirPlayXPCHelper для неправильных подсетей?

После обновления до El Capitan я начал замечать раздражающие подключения от AirPlayXPCHelper к подсети 192.168.1.0/24 (моя домашняя сеть находится не в подсети 192.168.1.0/24, а в подсети 172.16.0.0/12).

Вопросы:

  1. Почему AirPlayXPCHelper выходит в эту сеть на порт 5000 и 7000?
  2. Есть ли способ ограничить его желание пойти туда?

Спасибо.

Что-нибудь в сети 192.168, к которой он может заинтересоваться?
Не совсем. Есть сеть 192.168.100.0/24 от кабельного модема, но ничего в диапазоне 192.168.1.0. Даже без ВПН.
Поскольку AirPlay предназначен для совместной работы с базовой станцией AirPort Express, диапазон адресов которой по умолчанию составляет 192.168.1.x/24, вполне возможно, что это используется помощником для получения ответов от таких базовых станций.
@Phoenix разве 10.0.0.0/24 не используется по умолчанию для аэропорта?
Можно настроить 3 сети: 10.0.xx/24, 172.16.xx/24 и 192.168.xx/24. Третий октет по умолчанию равен 1, но его можно свободно настроить на любое значение от 0 до 255. Если не ошибаюсь, раньше это был 10.0.xx/24, а в более поздних версиях прошивки он изменился на 192.168.xx/24. Поскольку я очень давно не устанавливал дефолт на своих устройствах, я не уверен на 100%.

Ответы (5)

Пришло время ответить на мой собственный вопрос:

Почему AirPlayXPCHelper выходит в эту сеть на порт 5000 и 7000?

Это связано с обнаружением одноранговых устройств AirPlay и Airplay. macOS обнаруживает новое устройство и пытается подключиться, используя эти порты, чтобы завершить (?) процесс обнаружения.

Несколько моих соседей получили новые AppleTV и macOS, пытающиеся подключиться к ним. Поскольку все AppleTV подключены к разным сетям, он пытается подключиться к каждой из них, о чем сообщает Little Snitch.

Есть ли способ ограничить его желание пойти туда?

Я ничего не знаю. Я только что заблокировал доступ AirPlayXPCHelper к сетям, отличным от моей, с помощью Little Snitch.

Это произошло и со мной, поэтому я копался в этом. См. документы Apple по Airplay Discovery https://support.apple.com/guide/deployment-reference-macos/airplay-discovery-apd19d206cc7/1/web/1.0 .

Я буду называть устройство соседа «чужим», чтобы подчеркнуть, что вы не хотите к нему подключаться и что оно не находится в вашей локальной сети. (Он может транслировать публичное обращение, но это не то, что касается людей здесь.)

Чужое устройство транслирует свой IP-адрес с помощью Bonjour, одноранговой сети или Bluetooth. Предполагая, что ваша сеть даже умеренно безопасна, Mac не получает чужой адрес через Bonjour. Возможно, ваш Mac получает IP-адрес через одноранговый Wi-Fi, но, скорее всего, ваш Mac получает чужой IP-адрес через Bluetooth.

Вы можете отключить Bluetooth, чтобы избежать этого, но некоторым он нужен. Я не вижу возможности на Mac игнорировать эти трансляции, за исключением определенных сетей, или отключить обнаружение AirPlay.

Как только ваш Mac получает IP-адрес чужого устройства, ваш Mac пытается подключиться по своей обычной сети (беспроводной или проводной) к IP-адресу. Если он не может попасть туда (потому что он находится на частном адресе, отличном от вашего), ничего страшного (за исключением того, что Маленький Снитч заметил это).

Даже если инопланетное устройство транслирует IP-адрес, к которому вы можете получить доступ, предположим, даже тот же IP-адрес, что и ваши настоящие динамики / телевизор Airplay, я понимаю, что кодирование AES Airplay в основном требует предварительно общего ключа. Если вы не настроили это, он не будет с ними разговаривать. Если вы настроили его, ваш Mac уже знает о ваших конкретных колонках/телевизоре, и нет ничего плохого в том, что он снова их найдет.

Что касается того, что вы можете попасть на чужое устройство через публичный IP. Если у него нет правильного предварительного общего ключа, кодировка Airplay AES не позволит чужому устройству понять, что вы ему отправляете.

Мне было страшно видеть эту инопланетную сеть, но, кажется, это не представляет собой ничего более серьезного, чем ненужные тревоги. Скажите Little Snitch, чтобы он молча блокировал все, что не входит в ваши локальные сети.

Документы теперь находятся по адресу support.apple.com/guide/deployment/use-airplay-dep9151c4ace/web [quote]При поиске других устройств устройство Apple транслирует очень маленькое объявление Bluetooth, указывающее, что оно ищет одноранговое соединение. услуги. Когда любое одноранговое устройство получает этот пакет BTLE, оно создает или присоединяется к одноранговой сети непосредственно между устройствами. Устройства одновременно переключаются между этой временной сетью и любыми инфраструктурными сетями, в которых они были ранее, чтобы доставлять как видеопоток AirPlay, так и предоставлять существующие интернет-услуги. [/цитировать]

У меня была точно такая же проблема, когда Little Snitch обнаружил внешний трафик AirPlayXPCHelper на порту 7000, но обработал его как внутренний трафик. Я имею в виду, что даже несмотря на то, что весь внешний трафик был помечен как запрещенный, Little Snitch продолжал подсказывать мне при каждой попытке подключения, пока я не настроил запрет на локальный трафик (просто в целях тестирования), очевидно, я не хочу запрещать локальный трафик. на этом порту ... Я не понимаю, почему Little Snitch интерпретирует это как локальный трафик (когда адрес не находится в локальной области DHCP), возможно, ошибка с Little Snitch?

Когда я прочитал пост об AirPlay, я задумался о том, как работает технология AirPlay, поскольку теперь она использует Bluetooth для установления соединений между устройствами. Я не смог повторить проблему с включенными локальными подключениями и отключенным Bluetooth.

Короче говоря, теперь я убежден, что это просто ошибка в Little Snitch, а не кто-то пытается взломать мою сеть. Блокировка локального соединения или отключение bluetooth — единственные способы навсегда остановить попытки.

Bluetooth-трафик исходит от устройства с поддержкой AirPlay где-то рядом с вашим компьютером. Может, у ближайших соседей AppleTV?

Я не понимаю, как это ответ на вопрос, а не другой вопрос. Попробуйте переписать его, чтобы он отвечал на вопрос, или, если у вас есть другой вопрос, перепишите его и опубликуйте как новый вопрос.

Этот вопрос поможет вам устранить основную причину проблемы.

Если вы любопытный тип, я бы запустил где-нибудь WireShark и посмотрел, действительно ли Mac отправляет пакеты через эти порты на эти адреса. Возможно, AirPlay присвоил себе интерфейс и использует его как петлю или иным образом.

Я не хочу отключать AirPlay, но хочу лучше понять, почему он пытается подключиться к подсетям, которых нет в моей сети. Я смотрел дамп Wireshark, но ничего интересного не увидел. Я должен был упомянуть об этом в своем вопросе.

Я выполнил трассировку и обнаружил, что запрос, по-видимому, исходит с другой стороны шлюза моего интернет-провайдера.

  • Мой пограничный брандмауэр
  • Мой локальный модем интернет-провайдера
  • Шлюз интернет-провайдера
  • 192.168.1.1 (192.168.1.1) 9,921 мс 148,842 мс 10,342 мс

Я добавил новое правило брандмауэра в свой пограничный брандмауэр (а не через Little Snitch), чтобы блокировать входящие запросы. Кажется, это больше не проблема.

Little Snitch сообщает об исходящих соединениях для AirPlayXPCHelper для неправильных подсетей?
СпросиСетьПолитика конфиденциальности1y, 0v