¿Qué es Tun and Tap (pila de pulsaciones de ether) en la carpeta de elementos de inicio? ¿Son legítimos los que usan servicios como Parallels o HPTrap monitor, etc. o están instalados para eludir servicios como Little Snitch? Los encontré mientras miraba a los cerdos espaciales en mi computadora.
TUN y TAP son dispositivos de red basados en software. Por lo general, se crean mediante aplicaciones VPN o ssh-tunneling para manejar la traducción de direcciones de red o las funciones de puente de una red a otra. También se utilizan para el enlace de máquinas virtuales y las encontrará creadas por VirtualBox si las utiliza como una solución de VM. Posiblemente Parallels o Fusion también podrían crearlos (aunque no los tengo en mis máquinas habilitadas para Fusion).
De esta entrada de wikipedia :
Los paquetes enviados por un sistema operativo a través de un dispositivo TUN / TAP se envían a un programa de espacio de usuario que se adjunta al dispositivo. Un programa de espacio de usuario también puede pasar paquetes a un dispositivo TUN / TAP. En este caso, el dispositivo TUN / TAP entrega (o "inyecta") estos paquetes a la pila de red del sistema operativo, emulando así su recepción desde una fuente externa.
Si LittleSnitch reside entre su interfaz Ethernet y el sistema operativo, un par TUN / TAP no ayudará a enrutar el tráfico a su alrededor. Aunque puede cifrarlo más allá de la inspección.
Esa wikipedia enumera un grupo de aplicaciones legítimas que pueden configurar pares TUN / TAP en su máquina, pero esa lista no es exhaustiva. El par podría incluso estar presente para el enrutamiento e inspección de paquetes de Little Snitch (aunque, sinceramente, pensé que Little Snitch simplemente mejoró el servicio de Firewall por defecto de OS X, no lo reemplazó ... puedo estar equivocado al respecto).
Puede usar netstat -nrl para intentar determinar qué rutas, si las hay, se barajan a través del par TUN / TAP. Primero haga un ifconfig y obtenga el valor ether (la dirección MAC) para el par, y luego busque las rutas en la tabla que netstat -nrl devuelve para ver si puede detectar alguna de las direcciones MAC.
Si eso no funciona, puede utilizar Wireshark para escuchar el tráfico en la interfaz (s) y ver si puede averiguar fuera de donde y hacia donde se dirige. Hay una receta casera para que Wireshark la instale:
brew install wireshark
Es un programa bastante complicado de usar, así que deja un comentario si necesitas ampliarlo.