ユーザのユーザプロフィール: karui84
karui84 作成者
ユーザレベル: レベル 1
4 ポイント

"netstat -a"を実行した結果、udp4 *.*がたくさん表示されるのは、何故ですか?

お世話になっております。

実は数年ほど前からハッキングの被害にあっているのではないかと考えていまして、

自分のPCを調べていたところ、上記のコマンドで以下のような表示がされました。

なぜ、udp4で*.*で通信が行われいているのかが分からず、今回質問いたしました。

これの意味は、

「すべてのLocal Addressのすべてのポートで、

 すべてのForeign Addressのすべてのポートに送受信している」

ということではないですか?


PCのOverviewは

macOS Catalina version 10.15.6

MacBook Pro

でございます。


お知恵をお貸しいただけないでしょうか?


netstat -aの結果を一部抜粋

Proto Recv-Q Send-Q Local Address Foreign Address (state)

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.55626 *.*

udp6 0 0 *.59489 *.*

udp4 0 0 *.59489 *.*

udp6 0 0 *.49350 *.*

udp4 0 0 *.49350 *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.57575 *.*

udp6 0 0 *.63762 *.*

udp4 0 0 *.63762 *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp46 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp6 0 0 *.mdns *.*

udp4 0 0 *.mdns *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.* *.*

udp4 0 0 *.netbios-dgm *.*

udp4 0 0 *.netbios-ns *.*

MacBook Pro 13″, macOS 10.15

投稿日 2020/10/28 15:34

返信
返信: 4
ユーザのユーザプロフィール: hohokihai
hohokihai
ユーザレベル: レベル 4
2,052 ポイント

2020/10/29 03:48 karui84 への返信

次の記事を読んでみて下さい。


UDPソケットはすべてのポートで開きます

https://www.it-swarm-ja.tech/ja/udp/udp%E3%82%BD%E3%82%B1%E3%83%83%E3%83%88%E3%81%AF%E3%81%99%E3%81%B9%E3%81%A6%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A7%E9%96%8B%E3%81%8D%E3%81%BE%E3%81%99/l958504676/


lsofでプロセスを特定できるようです。lsofの出力は省略されてしまうので、pidからパスを抽出してみました。


最後のLocationLauncherは自作アプリケーションです。ここでは、CoreWLANフレームワークのCWWiFiClientを使っています。

https://developer.apple.com/documentation/corewlan/cwwificlient


つまり、WLANを含むネットワーク系のフレームワークのインプリとして、UDPを使っているのだと推測できます。これらは外部から干渉できないので気にする必要はないと思います。


ハッキングの有無を調べるのに、ポートスキャンは有効ですよね。あとは、Wiresharkでパケットをキャプチャーしてみるのも良いと思います。

返信
ユーザのユーザプロフィール: karui84
karui84 作成者
ユーザレベル: レベル 1
4 ポイント

2020/10/29 09:59 はに への返信

ありがとうございます!


プロセス間通信だったのですね!

hohokihaiさんの返信にも書いた通り、Wiresharkでキャプチャをしてみたところ、

ESPがたくさん検出されましたので、

ESPとプロセス間通信の両方を勉強してみようと思います。


以前ネットワークユーティリティを使ったときの結果と私の解釈がだいぶ違っていたので、

おかしいなと考えていましたが、内部で行われる通信だとは思いませんでした。


それにしても、セキュリティソフト用にポートが開いているのと、

セキュリティソフトを入れずにポートを開かないのは、

どちらがいいのか悩ましいです。

返信
ユーザのユーザプロフィール: はに
はに
ユーザレベル: レベル 9
77,945 ポイント

2020/10/28 18:49 karui84 への返信

これは、いわゆる、unixのプロセス間通信なのでは?

unixではコンピュータ内のプロセス間の通信も127.0.0.1のアドレス(ローカルアドレス)を介したtcp/ipで行います。それではないかと思います。なので実際には外からこれらを介して中に入ることはできません。

例えば、ネットワークユーティリティのポートスキャンで127.0.0.1とか192.168.xx.yyとかの実際のアドレスに対してオープンポートを調べれば、全部のポートがどこからのアドレスに対してもオープンになってるなんていう結果にはなりません。例えば、うちのmacbook pro 16' retina 2019、10.15.7で127.0.0.1に対してポート15から1000まででポートスキャンしてみると、

********

Port Scanning host: 127.0.0.1

Open TCP Port: 22     ssh

Open TCP Port: 80     http

Open TCP Port: 88     kerberos

Open TCP Port: 445    microsoft-ds

portscanコマンドの送信を完了しました…

********

となります。ファイル共有、http接続、ssh接続できるようにしてますから、それらのポートは開いてますが、それ以外で開いてるのはkerberos(ネットワーク認証)だけです。ファイヤウォールはオフのままですし、アンチウィルスソフトも入れてません。

返信
ユーザのユーザプロフィール: karui84
karui84 作成者
ユーザレベル: レベル 1
4 ポイント

2020/10/29 09:50 hohokihai への返信

回答ありがとうございます!

Wiresharkでキャプチャしたところ、ESPが使われた通信たくさんあり、

VPNでの通信で使われていると推測できました。


また、コマンドの例が大変勉強になり、

読解して使えるようになりたいと思います。


ネットワークユーティリティを使ってのポートスキャンは今まで何度か試したことがあり、

今年6月に行ったものでは、well-known portを除いた開いているポートは、8つありました。

うち、1つはフィッシング防止アプリケーション、6つはセキュリティソフト、

不明なものが1つありました。


いずれにせよ、udp *.*が問題ではないとわかったので別の原因を探そうと思います。

返信

このスレッドはシステム、またはAppleコミュニティチームによってロックされました。 問題解決の参考になる情報であれば、どの投稿にでも投票いただけます。またコミュニティで他の回答を検索することもできます。

"netstat -a"を実行した結果、udp4 *.*がたくさん表示されるのは、何故ですか?

Apple サポートコミュニティへようこそ
Apple ユーザ同士でお使いの製品について助け合うフォーラムです。Apple Account を使ってご参加ください。
詳しくはこちら サインアップ