netstat сообщает о портах UDP без процесса владения

Когда я бегу netstat -avp udp Я получаю медленно растущее количество портов. Он растет примерно на 100 в час, но скорость значительно варьируется.

Когда я закрываю процесс, порты не исчезают из списка. Точно так же, когда я убиваю процесс. Перезапуск машины, очевидно, сбрасывает список, но он снова увеличивается. У меня есть несколько машин, показывающих один и тот же симптом.

Большинство перечисленных портов связаны с mDNSResponder, но я думаю, что это не имеет значения, поскольку проблема также связана с Chrome, Outlook и другими программами.

Через некоторое время доступ к сети становится скомпрометированным, предположительно из-за исчерпания портов в диапазоне 49000-65000, где выделено большинство портов UDP.

Бег lsof -iUDP -n показывает всего 30 портов UDP, когда netstat сообщает о тысячах.

Машины iMac работают под управлением MacOS Monterey 12.0.1 и сообщают, что они полностью обновлены с исправлениями.

Вот как выглядят первые несколько строк вывода netstat:

Активные подключения к Интернету (включая серверы)
Proto Recv-Q Send-Q Локальный адрес Внешний адрес (состояние) rhiwat shiwat pid epid state options
udp4 0 0 *.55317 *.* 786896 9216 238 62261 0x0103 0x00010000
udp4 0 0 *.62074 *.* 786896 9216 238 577 0x0103 0x00010000
udp4 0 0 *.51635 *.* 786896 9216 238 301 0x0103 0x00010000
udp4 0 0 *.54799 *.* 786896 9216 238 301 0x0103 0x00010000
udp4 0 0 *.57143 *.* 786896 9216 238 301 0x0103 0x00010000
udp4 0 0 *.56933 *.* 786896 9216 238 301 0x0103 0x00010000
udp4 0 0 *.51250 *.* 786896 9216 238 63527 0x0103 0x00010000
udp4 0 0 *.61138 *.* 786896 9216 238 63527 0x0103 0x00010000

человек страница для netstat не говорит мне, к чему относятся правые столбцы. Я могу догадаться, что pid - это «идентификатор процесса», epid - это «эффективный идентификатор процесса», но что такое rhiwat, shiwat, состояние и параметры, и полезны ли они в решении этой проблемы ?

Я был бы признателен за любое предложение о том, как продолжить расследование того, почему у этих компьютеров Mac постоянно растет количество сокетов UDP.

Есть предположение, что эта проблема была привнесена Apple с Monterey.

Мой личный опыт показывает, что удаление фильтра сокетов для Cisco Anyconnect является эффективным решением, пока Apple не выпустит исправление. Похоже, что это не повлияет на работу VPN, однако перед внесением таких изменений следует проконсультироваться с сотрудниками службы безопасности вашей компании.

Примечание. После перезагрузки фильтр сокетов Anyconnect будет переустановлен, поэтому вам придется удалять его после каждой перезагрузки.

Я вижу то же самое (Монтерей 12.1). Проблема ушла после обновления до Montery 12.2.1.

Используя 12.1, netstat -n -p udp | туалет -л растет на 30 строк каждую минуту. Через четыре дня моя система начинает работать медленно, и я начинаю isc_socket_bind: адрес недоступен ошибки. судо lsof -nP -iUDP | туалет -л не растет.

Примерно через четыре дня:

nslookup www.ibm.com
nslookup: isc_socket_bind: адрес недоступен

Обсуждение на Reddit предполагает, что виноват Cisco AnyConnect. Я использую Cisco AnyConnect.

• https://www.reddit.com/r/applehelp/comments/sbsduv/macos_121_dns_issues/
• https://www.reddit.com/r/mac/comments/rfut2n/dns_issues_still_with_121/hpchija/

Я все еще использую Cisco AnyConnect с 12.2.1, и проблема, похоже, решена.