Як зловити процес .mcast.net

[ps]

Маю такий сабж, як нуб, помітив через Etherape і з гугла дізнався що це якесь мультикаст-сміття в локальній мережі. Я намагався його піймати auditlog, різними скриптами прослуховування портів, але щось не виходить. Може знаючі люди підкажуть як зловити. Бо гугол каже, що деякі програми типу Chrome відправляють такі пошукові пакети окремо від системи (де я вимкнув)

В принципі дивлюсь на сусідню тему opensnitch — фаєрвол для аплікацій, але так не хочеться ставити зайвого, може є якийсь примітивний спосіб CLI, яким користуються досвідчені мережні адміни.

[Володимир Лісівка]

Домен .mcast.net використовується для того, щоб типові багатоадресні адреси мали імена, наприклад all-routers.mcast.net (224.0.0.2).

https://en.wikipedia.org/wiki/Mcast.net

Це просто трафік від автоматичного виявлення пристроїв чи сервісів у мережі. Можливо у вас Avahi запущений.

[ps]

Avahi вимкнений, я так і зрозумів що це якийсь пошук "розумних" пристроїв. Але воно мені не треба, я хочу явно підключитись до роутера і не отримуати ніякого шуму. Пробував блокувати порти 5353, нічого не допомагає. Мабуть поставлю таки ту приблуду на python

[Володимир Лісівка]

Порт 5353/udp використовує мультикаст-DNS (Avahi/Bonjour/Zeroconf): mdns.mcast.net    224.0.0.251. Щоправда, деякі трояни маскуються під MDNS, тому варто подивитися що то за трафік, бо трафіку MDNS повинно бути дуже мало, і в аналізаторі протоколів має бути видно типи запитів.

[ps]

Може дійсно троян... взагалі поставив щойно той opensnitch - в топ 10 суцільна телеметрія. Це Fedora 43, такий лінукс, такий фокс (не зважаючи на те що втік на ESR 115). Не знаю що робити. Колись жартома думав про локальний комп'ютер і окремий комп'ютер для інтернет. Тепер це не виглядає жартом, бо вже замучився сікти ці витоки.

[res2500]

(не зважаючи на те що втік на ESR 115).

з якого репозиторію качали той фаєрфокс ?

netstat -bn
netstat -an що говорить ?

[ps]

з якого репозиторію качали той фаєрфокс ?

Фокс качався з офіційного FTP архіву Mozilla, правда бінарник (з сорсу так і не зібрав бо для збірки стар'я треба розгортати контейнер на федорі)
Якщо цікаво, то це мій форк пресету i2pdbrowser, в якому теоретично повинно все бути викручено на максимум в плані приватності.

netstat -an

багато що каже.. дякую, буду копати

[Володимир Лісівка]

Gemini підказує, що можна подивитися мультикасти, які слухаються, командою ip maddr show, а подивитися хто підписаний на ці мультикасти (але по портах): командою sudo ss -lupn | grep -E '5353|5355|1900' .

[BeSiDa]

нетстат -г ?
(показати всі мультикаст групи)

Мультикаст це іп адреси, а тому можуть бути використані не тільки з протоколами тцп та юдп, але й іншими.
В тцпдамп покаже всі пакети (також ті, що є в локальній мережі броадкастом і не джерело у них не локальний комп).

[ps]

sudo ss -lupn | grep -E '5353|5355|1900'

я таке вже пробував, там треба писати скрипт щоб воно слухало і ловило бо цей "пінг" миттєвий, його треба "слухати" з while, але тоді або накосячив або було пусто, тоді як в etherape конект засвітився

[BeSiDa]

я таке вже пробував, там треба писати скрипт щоб воно слухало і ловило бо цей "пінг" миттєвий, його треба "слухати" з while, але тоді або накосячив або було пусто, тоді як в etherape конект засвітився

Якщо це авто-конфігурування адрес, то можете витягати кабель з компа і вставляти знову, тоді пакети з'являться

ман авахі-аутоіпд
(якщо це іп4лл реалізація стандарту)