Pregunta mDNSResponder en macOS Sierra? Malware?


Vale la pena mencionar que soy un novato completo de la seguridad de la red y que hace poco empecé a jugar con Wireshark.

Usé Wireshark para rastrear alguna actividad de red a un proceso llamado mDNSResponder. Mis búsquedas de Google han dado lugar a comentarios antiguos que describen el uso de mDNSResponder en versiones anteriores de OS X. Sin embargo, estoy ejecutando la versión más reciente de macOS Sierra. Como tal, me preocupa que pueda ser un malware.

He examinado una segunda MacBook Pro, que también está ejecutando macOS Sierra. MDNSResponder no se está ejecutando, ni está instalado. El MacBook Pro que tiene mDNSResponder instalado lo tiene ubicado en / usr / sbin.

MDNSResponder es ejecutado por el usuario _mdnsrespond. Está enviando y recibiendo paquetes activamente.

Un segundo proceso llamado MDNSResponderHelper también se está ejecutando. Lo está ejecutando el usuario raíz. Sin embargo, no está enviando o recibiendo paquetes.

Agradecería que alguien pudiera aclarar si esto es un malware. Si hay algo que pueda hacer para ayudar con esto, no dude en especificarlo.

Gracias.

EDITAR

Después de realizar más investigaciones y considerar todas las respuestas, he decidido reformatear mi máquina. Ambas MacBook Pros se reformatearon recientemente en cuestión de días y se han conectado a los mismos dispositivos. No veo ninguna razón por la cual mDNSResponder esté necesariamente instalado y ejecutándose en una máquina y no en la otra. Es posible que no sea un malware, pero la actividad de red de mDNSResponder lo convertiría en un objetivo excelente para ataques maliciosos. Como tal, creo que es conveniente reformatear la máquina.

Después de reformatear y actualizar mi máquina, mDNSResponder y MDNSResponderHelper ya no están instalados. A pesar de esto, la máquina todavía funciona normalmente.

No estoy lo suficientemente informado como para afirmar si mDNSResponder y MDNSResponderHelper fueron hábilmente ocultos de malware, software legítimo o de otro tipo, pero creo que fue acertado reformatear la máquina. Con suerte, esta publicación ayudará a otros en el futuro.


2


origen


El servicio mDNSResponder está asociado con Bonjour, un servicio de exploración de red que explora automáticamente la red en busca de recursos. La diferencia entre los dos Macs se puede encontrar en sus respectivas redes. Tú podrías apaga Bonjour. - harrymc
@harrymc Cuando seguí tu enlace y deshabilité mDNSResponder, perdí la posibilidad de conectarte a Internet. Por lo tanto, parece ser un software legítimo. Aun así, me pregunto por qué un MacBook Pro lo tiene instalado y el otro no? Ambos funcionan perfectamente bien. Siéntase libre de publicar su comentario como respuesta, para poder cerrar esta pregunta. Gracias. - The Pointer


Respuestas:


El servicio mDNSResponder está asociado con Bonjour, un servicio de exploración de red que navega por la red en busca de recursos. Por ejemplo, sabe en todo momento sobre impresoras de red y su lista está actualizada. Eso es lo que hace Bonjour: sondea el segmento de red local y descubre dispositivos a los que se puede conectar.

El servicio mDNSResponder es el motor de Bonjour. A veces puede volverse un poco loco y hay suficientes artículos en la web quejándose de ello.

Hay dos demonios de lanzamiento que administran el servicio Bonjour. Si se descargan, Bonjour se cerrará y la actividad mDNSResponder se detendrá.

Los siguientes comandos aún pueden hacer el trabajo en OS X Sierra:

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist

Desafortunadamente, según su informe, cerrar mDNSResponder también lo dejó sin acceso a internet Bueno, al menos esta resultó ser la confirmación usted solicitó que este sea un proceso legítimo de OS X.

Como Bonjour es un proceso de búsqueda de red, su presencia en una Mac, pero no en el otro puede explicarse por alguna diferencia en la red. Por ejemplo, podría estar comprobando que una impresora de red aún está disponible.


2



En versiones recientes de macOS, mDNSResponder es también el agente de resolución de DNS unicast primario, por lo que cerrar mDNSResponder es un consejo terrible; está desactivando la capacidad del sistema operativo para hacer una resolución DNS. - Spiff
@Spiff: La pregunta era si su mDNSResponder era un malware o si era real, y esta pregunta fue respondida aquí. Detenerlo fue la prueba. El póster se complace en dejar que mDNSResponder haga su trabajo, ahora que se confirmó como legítimo, e incluso puede tener una pista de por qué es más activo en una Mac. Preste más atención antes de votar abajo. - harrymc


mDNSResponder está de vuelta (aunque no en forma de Pog ...), así que supongo que estás bien:

Se dice en la calle que regresar a mDNSResponder le permitió a Apple cerrar 300 informes de errores por separado. Y aparentemente la compañía no estaba buscando volver a abrir esos informes, ya que OS X 10.11 viene con mDNSResponder versión 624.1.2


2



He actualizado el PO con más información. En este caso, ¿no debería ejecutarse también en mi segunda Mac? - The Pointer
@ThePointer Depende exactamente de qué versión de OS X esté ejecutando su segunda Mac. mDNSResponder fue reemplazado por discoveryd en 10.10.0, y luego restaurado (porque discoveryd tenía errores) en 10.10.4. Entonces, si su segunda Mac ejecuta algo en el rango de 10.0. {0-3}, no debería tener mDNSResponder; si está ejecutando algo fuera de ese rango, no tengo idea de por qué faltaría mDNSResponder. - Gordon Davisson
@GordonDavisson Como mencioné, ambas máquinas se actualizan. - The Pointer


Esto es parte de Bonjour y es un servicio que se necesita para ejecutar muchos programas, aplicaciones y procesos diferentes. No es Malware. La razón por la que se ejecuta en uno y no en el otro es probable. Porque uno está ejecutando algo diferente que el otro.


1





mDNSResponder es un daemon de sistema estándar que ha sido parte de Mac OS X / OS X / macOS durante los últimos 14 años.

En versiones recientes de OS X / macOS también es la principal forma en que se realiza la resolución de DNS.

A mediados de 2014 en OS X Yosemite (OS X v10.10, que era dos versiones principales atrás a la fecha de este escrito), Apple reemplazó mDNSResponder con un nuevo daemon llamado discoveryd, pero terminó cambiando a mDNSResponder a partir de OS X Yosemite v10.10.4 algunos meses después.

Después de formatear y volver a instalar su máquina, a menos que se haya degradado a 10.10.0 - 10.10.3 y se haya quedado allí, definitivamente todavía tiene instalado mDNSResponder. No estoy seguro de por qué piensas que no. De hecho, incluso en 10.10.0 - 10.10.3, creo que mDNSResponder habría sido instalado pero no activado. Si está en macOS Sierra, DNS no funcionaría para el 90% de su sistema si mDNSResponder no estuviera instalado y ejecutándose.


1



Revisé los archivos del sistema y puedo confirmar que mDNSResponder ya no está instalado. Ambas máquinas están ejecutando versiones actualizadas de OS X. - The Pointer