¿Little Snitch informa conexiones salientes para AirPlayXPCHelper para subredes incorrectas?

Después de actualizar a El Capitan, comencé a notar conexiones molestas de AirPlayXPCHelper a la subred 192.168.1.0/24 (mi red doméstica no está en la subred 192.168.1.0/24, está en la subred 172.16.0.0/12).

Las preguntas son:

  1. ¿Por qué AirPlayXPCHelper sale a esta red en los puertos 5000 y 7000?
  2. ¿Hay alguna manera de limitar su deseo de ir allí?

Gracias.

¿Hay algo en la red 192.168 al que pueda estar interesado en conectarse?
No precisamente. Hay una red 192.168.100.0/24 desde el cable módem, pero nada en el rango de 192.168.1.0. Ni siquiera VPN.
Dado que AirPlay está diseñado para funcionar junto con la estación base AirPort Express, cuyo intervalo de direcciones predeterminado es 192.168.1.x/24, es posible que el asistente lo utilice para intentar obtener respuestas de dichas estaciones base.
¿@Phoenix no es 10.0.0.0/24 predeterminado para el aeropuerto?
Hay 3 redes configurables: 10.0.xx/24, 172.16.xx/24 y 192.168.xx/24. El tercer octeto tiene como valor predeterminado 1, pero se puede configurar libremente entre 0 y 255. Si no me equivoco, solía ser 10.0.xx/24 y se cambió a 192.168.xx/24 en versiones de firmware posteriores. Como no he dejado mis dispositivos por defecto durante mucho tiempo, no estoy 100% seguro.

Respuestas (5)

Es hora de responder a mi propia pregunta:

¿Por qué AirPlayXPCHelper sale a esta red en los puertos 5000 y 7000?

Esto está relacionado con el descubrimiento de dispositivos Peer-to-Peer AirPlay y Airplay. macOS descubre un nuevo dispositivo e intenta conectarse usando estos puertos para finalizar (?) el proceso de descubrimiento.

Un par de mis vecinos obtuvieron nuevos intentos de AppleTV y macOS para conectarse a ellos. Como todos los AppleTV están conectados a las diferentes redes, intenta conectarse a cada una de ellas y es lo que informa Little Snitch.

¿Hay alguna manera de limitar su deseo de ir allí?

No estoy al tanto de ninguno. Acabo de bloquear el acceso de AirPlayXPCHelper a redes distintas a la mía usando Little Snitch.

Esto también me pasó a mí, así que investigué. Consulte los documentos de Apple sobre Airplay Discovery https://support.apple.com/guide/deployment-reference-macos/airplay-discovery-apd19d206cc7/1/web/1.0

Me referiré al dispositivo de un vecino como un dispositivo "extraño" para enfatizar que no desea conectarse a él y que no está en su red local. (Podría transmitir una dirección pública, pero eso no es lo que preocupa a la gente aquí).

El dispositivo alienígena transmite su IP por Bonjour, peer-to-peer o Bluetooth. Suponiendo que su red sea moderadamente segura, la Mac no obtiene la dirección ajena a través de Bonjour. Tal vez su Mac obtenga la IP a través de wifi de igual a igual, pero lo más probable es que su Mac obtenga la IP ajena a través de Bluetooth.

Puede apagar Bluetooth para evitar esto, pero algunos lo necesitan. No veo forma en la Mac de decir que ignore estas transmisiones, excepto para redes particulares o para deshabilitar el descubrimiento de AirPlay.

Una vez que su Mac obtiene la dirección IP del dispositivo extraño, su Mac intenta conectarse a través de su red normal (inalámbrica o cableada) a la IP. Si no puede llegar allí (porque está en una dirección privada diferente a la tuya), no pasa nada (excepto que Little Snitch lo notó).

Incluso si el dispositivo alienígena transmite una IP a la que puede acceder, suponga que incluso la misma IP que usan sus parlantes/TV Airplay reales, entiendo que la codificación AES de Airplay básicamente requiere una clave precompartida. A menos que haya configurado eso, no hablará con ellos. Si lo configuró, entonces su Mac ya conoce sus parlantes/TV en particular y no hay problema con que los encuentre nuevamente.

En cuanto al caso de que pueda acceder al dispositivo alienígena a través de una IP pública. Si no tiene la clave precompartida correcta, la codificación Airplay AES evitará que el dispositivo alienígena entienda lo que le envías.

Me dio miedo ver aparecer esta red alienígena, pero parece que esto no representa nada más serio que alarmas innecesarias. Dile a Little Snitch que bloquee silenciosamente cualquier cosa que no esté en tus redes locales.

Los documentos están ahora en support.apple.com/guide/deployment/use-airplay-dep9151c4ace/web [quote]Al buscar otros dispositivos, un dispositivo Apple transmite un anuncio de Bluetooth muy pequeño que indica que está buscando peer-to-peer servicios. Cuando cualquier dispositivo con capacidad peer-to-peer escucha este paquete BTLE, crea o se une a una red peer-to-peer directamente entre los dispositivos. Los dispositivos cambian simultáneamente entre esta red temporal y cualquier red de infraestructura en la que estuvieran antes para entregar la transmisión de video AirPlay y brindar el servicio de Internet existente. [/cita]

Tuve exactamente el mismo problema en el que Little Snitch detectó tráfico AirPlayXPCHelper externo en el puerto 7000, pero lo trató como tráfico interno. Lo que quiero decir es que a pesar de que tenía todo el tráfico externo marcado como denegado, Little Snitch continuó avisándome en cada intento de conexión hasta que lo configuré para denegar el tráfico local (solo con fines de prueba), obviamente no quiero denegar el tráfico local. en este puerto... No entiendo por qué Little Snitch está interpretando esto como tráfico local (cuando la dirección no está en el ámbito DHCP local), ¿un error con Little Snitch quizás?

Cuando leí una publicación sobre AirPlay me hizo pensar en cómo funciona la tecnología AirPlay, ya que ahora usa bluetooth para establecer conexiones entre dispositivos. No pude repetir el problema con las conexiones locales habilitadas y el bluetooth deshabilitado.

Para resumir, ahora estoy convencido de que esto es simplemente un error en Little Snitch y no alguien que intenta piratear mi red. El bloqueo de la conexión local o la desactivación de bluetooth son las únicas formas en que puedo detener los intentos de forma permanente.

El tráfico de bluetooth proviene de un dispositivo habilitado para AirPlay en algún lugar cerca de su computadora. ¿Quizás un AppleTV vecino de al lado?

No veo cómo esta es una respuesta a la pregunta y no otra pregunta por completo. Considere volver a escribirla para que responda a la pregunta o, si tiene otra pregunta, vuelva a escribirla y publíquela como una nueva pregunta.

Esta pregunta lo ayudará a desactivar la causa raíz del problema.

Si eres del tipo curioso, encendería WireShark en algún lugar y vería si la Mac realmente está enviando paquetes en esos puertos a esas direcciones. Puede ser que AirPlay se haya asignado a sí mismo una interfaz y la esté utilizando como bucle de retorno o de otra manera.

No quiero deshabilitar AirPlay, pero quiero comprender mejor por qué intenta conectarse a subredes que no están en mi red. Estaba mirando el vertedero de Wireshark, pero no vi nada interesante. Debería haber mencionado esto en mi pregunta.

Realicé un rastreo de ruta y descubrí que la solicitud parece haberse originado desde el otro lado de la puerta de enlace de mi ISP.

  • Mi cortafuegos perimetral
  • Mi módem ISP local
  • Puerta de enlace ISP
  • 192.168.1.1 (192.168.1.1) 9,921 ms 148,842 ms 10,342 ms

Agregué una nueva regla de firewall en mi firewall perimetral (y no a través de Little Snitch) para bloquear las solicitudes entrantes. Parece que ya no es un problema.

¿Little Snitch informa conexiones salientes para AirPlayXPCHelper para subredes incorrectas?
RespuestasAquíPolítica de privacidad1y, 1v