Auteur Sujet: envoi par macOS de paquets étranges vers le réseau publique (Lu 2031 fois)

MacMan · « **le:** 10 février 2025 à 18:59:59 »

Bonjour,

Je ne sais pas trop où poster ce sujet auquel je ne trouve aucune solution.
Un iMac (Intel) avec Séquoia 15.3, envoie des paquets vers le réseau publique.

exemple :

Code: [Sélectionner]

 in:ether2-LAN1 out:(unknown 0), connection-state:new src-mac a0:ce:c8:xx:xx:xx, proto TCP (SYN), 192.168.1.51:52787->yy.yy.yy.yy:443, len 64

où : 192.168....:52787 est l'adresse locale et le port d'envoi
yy.yy.yy.yy:443 est l'adresse et le port de destination (le WAN du routeur)

il y a une dizaine de paquets semblables, toutes les 2 - 10 minutes environ (très variable)

Alors bien sûr, ces paquets ne contiennent aucune donnée, et mon adresse publique n'est pas accessible de l'extérieur, ni le port 443.
Tout ça passe dans mon routeur Mikrotik CCR2004 sur la fibre Orange, et pour le moment, ces paquets sont stoppés par une règle RAW.

J'avais pensé à un malware quelconque, une analyse n'a rien montré.
Une précision encore : tous mes macs sont concernés sauf un vieux MacBook Air avec Catalina. Les PC Windows et machines Linux ne posent pas de problème semblable.

A votre avis, c'est quoi ce bazar qui ne sert à rien ?

Merci pour votre aide

JeannotPlanche · « **Réponse #1 le:** 10 février 2025 à 19:57:47 »

Quelle est l'IP de destination ?
Vous dites que les paquets ne contiennent rien ?
Rien du tout ?

alain_p · « **Réponse #2 le:** 10 février 2025 à 20:32:44 »

Le port 443, cela peut-être pour passer plus facilement les pare-feu. Le port 443 est en général ouvert par défaut.

Sinon, oui, quelle est l'adresse de destination ? Cela permettrait de voir à qui elle appartient, Apple ou autre.

MacMan · « **Réponse #3 le:** 10 février 2025 à 20:34:21 »

Bonsoir,

L'IP de destination est mon IP publique sur le port 443 (https) (port fermé)
C'est ça qui est bizarre

Je ne sais pas à quoi correspond ce détour : joindre mon réseau local en passant par dehors !

[Edit]
Pour essayer de résumer (pas évident)
En gros, c'est un Mac du réseau local qui envoie des paquets sur l'adresse IP publique du routeur où il n'y a pas d'accès (pas de NAT et port 443 fermé)

simon · « **Réponse #4 le:** 10 février 2025 à 21:06:11 »

Si tu bloques les SYN (ouverture de connexion TCP), effectivement, le paquet ne contiendra pas de données. Il faut que la connexion TCP soit établie pour que des données puissent être échangées (ignorant TCP fast open).

Est-ce que tu observes ce comportement toutes applications fermées ? Je ne serai pas étonné que ce soit un test de connectivité de MacOS, du genre détection de portail captif ou autre.

MacMan · « **Réponse #5 le:** 10 février 2025 à 22:01:30 »

@simon,
merci pour les idées !

La connexion ne peut pas s'établir puisque l'accès IPv4 de mon routeur coté wan est fermée (pas de NAT, pas de port ouvert)

Ce phénomène se produit même sans application ouverte, mais il y a tellement de choses qui tournent en silence !

J'observe ce comportement même le Mac en suspension d'activité (écran éteint etc),
pour que ces paquets disparaissent je dois éteindre la machine complètement

Ce que je ne vois vraiment pas, c'est le but poursuivi ? tenter une connexion depuis le lan pour y revenir en passant par le coté man ??

[Edit] Demain je vais essayer de mettre place une entrée https, une règle NAT .. juste pour voir !

Hugues · « **Réponse #6 le:** 10 février 2025 à 23:49:48 »

C'est pas juste du DoH ?

Symbol · « **Réponse #7 le:** 11 février 2025 à 00:06:20 »

Citation de: Hugues le 10 février 2025 à 23:49:48

C'est pas juste du DoH ?

Sûrement.
Avec le DNS, c'est comme d'habitude de toutes façons.

Avant on avait: «UNE IP ESSAIE DE ME HACKER AVEC DE L'UDP!» -> donne l'IP du serveur DNS

Désormais «UNE IP ESSAIE DE ME HACKER AVEC DU TCP!» -> donne l'IP du serveur DNS

hwti · « **Réponse #8 le:** 11 février 2025 à 04:20:10 »

Ce serait bizarre d'avoir l'IP WAN dans la configuration DNS, et pas l'IP LAN du routeur.

simon · « **Réponse #9 le:** 11 février 2025 à 09:48:58 »

Citation de: hwti le 11 février 2025 à 04:20:10

Ce serait bizarre d'avoir l'IP WAN dans la configuration DNS, et pas l'IP LAN du routeur.

Oui, et le fait que ca continue quand le mac est en veille est étonnant aussi.
Ca me fait plus penser à un mécanisme de détection de l'environnement réseau. Mais à quel but, va savoir. Apple est assez opaque.

Tous les Mac et iDevices maintiennent aussi une connexion sur le port 5223/tcp en permanence pour les notifications. Autant pour les mobiles ca ne me choquait pas, autant quand j'ai vu MacOS le faire, j'ai été un peu surpris au début.

MacMan · « **Réponse #10 le:** 11 février 2025 à 18:16:48 »

Je me pose quand même quelques questions :

Code: [Sélectionner]

iMac:~ vert$ netstat -anv | grep "192.168.1.51"
tcp4       0      0  192.168.1.51.59848     151.101.121.91.443     ESTABLISHED        75042         3004  166472  131688   2320   2320 00000 00000000 0000000000000000 00000000 00000000      0      0 000000
tcp4       0      0  192.168.1.51.59830     17.188.185.135.5223    ESTABLISHED        16452        75650  131072  131768    130    130 00000 00000000 0000000000000000 00000000 00000000      0      0 000000
iMac:~ vert$

On dirait qu'il y a bien des connexions établies

Hugues · « **Réponse #11 le:** 11 février 2025 à 18:47:00 »

Tu n'aurais pas le Private Relay d'iCloud activé ?