Ermittlung der Servernamen

Das Internetprotokoll (IP) arbeitet nur mit numerischen Adressen, wir nennen diese Internetadressen oder IP-Adressen. Weil Menschen Namen bevorzugen, gibt es ein Service, um Namen in numerische Adressen zu übersetzen, ähnlich einem Telefonbuch. Dieses Service, das Domain Name System (DNS), ist eine verteilte, hierarchische Datenbank.

Auf Ebene des Kernels, wo Little Snitch Netzwerkverbindungen abfängt, werden nur numerische Internetadressen verwendet, dort gibt es keine Namen. Um die Regeln mit Namen zu verbinden, müssen diese erst für die entsprechenden Adressen gefunden werden.

Obwohl es ein „umgedrehtes Telefonbuch“ für Internetadressen gibt (reverse lookup), ist es für unsere Zwecke nicht sinnvoll. Ein Name kann vielen Internetadressen, und viele Namen können einer einzigen Internetadresse entsprechen. Der „reverse lookup“ führt üblicherweise nur zu einem der Namen für einen Computer und das ist selten der Name, der in den Verbindungsdetails verwendet wird. Little Snitch verwendet daher zwei Strategien, um über eine bekannte Internetadresse den Servernamen herauszufinden.

DNS-Sniffing

Little Snitch beobachtet alle Prozesse während diese Namen in IP-Adressen umwandeln und merkt sich, welcher Prozess welche Informationen hat. Wenn nun eine Internetverbindung hergestellt werden soll, kann dadurch über die IP-Adresse und den Prozess auf den Domänennamen rückgeschlossen werden.

Wenn der Prozess nur einen Namen für die Adresse kennt, waren wir bereits erfolgreich und wir kennen den richtigen Namen. Wenn der Prozess aber eine Reihe von Namen für die selbe IP-Adresse hat, müssen wir noch etwas tiefer graben.

Deep packet inspection

Little Snitch ist nicht das einzige Programm, das Namen von Computern benötigt. In einem Netzwerk benutzen häufig viele Nutzer die selbe IP-Adresse, aber sie bekommen dennoch jeweils unterschiedliche Inhalte auf ihre Anfragen zugeschickt.

Viele Protokolle (wie auch HTTP 1.1) senden daher den Namen des Servers als Teil jeder einzelnen Anfrage. Wenn DNS-Sniffing nicht zum Erfolg geführt hat, erlaubt Little Snitch dem Prozess die Verbindung, unabhängig vom aktuellen Regel-Set, und fängt die erste gesendete Abfrage ab. Diese Abfrage kann nun von Little Snitch inspiziert werden. Wenn darin der Servername gefunden wird, haben wir unser Ziel erreicht. Little Snitch sucht dann die dem Namen entsprechende Regel und, abhängig von der entsprechenden Regel, leitet die bis dahin blockierte Anfrage weiter oder löscht sie und schließt die entsprechende Verbindung.

Little Snitch fängt keine verschlüsselte Verbindung (SSL/TLS) ab. Es genügt bereits, den unverschlüsselten Server Name Indication (SNI) header anzusehen, um den Servernamen herauszufinden.

Wenn kein eindeutiger Servername identifiziert werden kann

Es kann sein, dass Little Snitch es trotz dieser Strategien nicht schafft, einen eindeutigen Namen herauszufinden. Wenn der Prozess mehrere Namen aufgerufen hat, die zur selben IP-Adresse führen, und wenn er ein Protokoll verwendet, das keinen Servernamen inkludiert, so haben wir zwar eine Liste von Namen, aber wir haben keinen eindeutigen Namen.

In diesem Fall verwendet Little Snitch die IP-Adresse, um die entsprechende Regel zu finden und zeigt diese Adresse dem Benutzer in einer Verbindungswarnung an. Little Snitch überprüft, ob eventuell alle Namen auf die selbe Domäne zurückgehen (z.B. www.google.com, books.google.com und maps.google.com). Wenn das der Fall ist, so wird weiter geprüft, ob eine Regel dieser Domäne entspricht und wendet sie an. Wenn das nicht der Fall ist, wird auch diese Information in der Verbindungswarnung angezeigt.

Eingehende Verbindungen

Wenn ein eingehendes Paket eine verbindungslose Antwort auf eine ausgehende Anfrage (z.B. auf UDP basierende Protokolle) ist, so zählt Little Snitch es als empfangene Daten einer ausgehenden Anfrage und damit wird die Konversation wie eine Verbindung behandelt.

Für spontan eingehende Verbindungen kann Little Snitch keinen entfernten Computer feststellen. Alles, was wir sehen können, ist eine IP-Adresse. Eingehende Verbindungen werden daher immer nur mit einer numerischen Adresse angezeigt.