活动监视器仅监控不封堵网络流量,需结合防火墙规则、终端命令(如kill、launchctl)或强制退出来阻断;可通过排序带宽列、查看实时曲线、检查用户归属和路径等方式识别异常进程,并用lsof、nettop等命令交叉验证。
活动监视器本身不能封堵网络流量,它只负责监控和识别——但你可以用它快速定位异常进程,再结合系统自带功能或终端命令完成阻断。关键在于“先看清,再出手”,不盲目操作。
在活动监视器中精准识别异常网络进程
打开活动监视器(Spotlight 搜索即可),切换到“网络”标签页:
- 点击“发送字节”或“接收字节”列标题,按降序排列,排在最前面的进程就是当前带宽消耗主力;
- 注意观察“收到的数据/秒”和“发出的数据/秒”的实时曲线,持续高位波动(如长期高于 1 MB/s 且无对应应用操作)值得警惕;
- 对照“用户”列:若高流量进程归属 root 或 _windowserver 等系统账户,需进一步查证是否为正常系统服务(如 mds_stores、bird、softwareupdated);
- 右键点击可疑进程 → “在访达中显示”,可查看其所在路径,判断是否来自未知来源或非官方安装包。
确认异常后,用系统级方式临时阻断连接
活动监视器不提供封堵按钮,但 macOS 自带两种低侵入性阻断手段:
- 防火墙规则(推荐):前往“系统设置 > 网络 > 防火墙 > 防火墙选项”,勾选“阻止所有传入连接”,再点击“+”添加该进程的可执行文件(.app 或二进制路径),选择“阻止连接”;
- 终端强制终止 + 禁止重启:在终端中运行 sudo kill -9 PID(PID 可从活动监视器“PID”列获取);若进程由 launchd 管理,还需禁用其 plist:sudo launchctl unload /Library/LaunchDaemons/com.example.badapp.plist(路径需根据实际查找);
- 对普通用户级 App,直接在活动监视器中选中 → 点击左上角 X → “强制退出”即可中断当前网络行为。
辅助验证:用终端工具交叉确认流量来源
活动监视器有时无法显示底层守护进程的完整网络行为,建议补充以下命令验证:
- sudo lsof -i -P -n | grep -i "established":列出所有已建立的网络连接及对应进程;
- nettop -L 1 -P:以每秒刷新频率显示各进程实时吞吐量,比活动监视器更灵敏;
- iftop -P(需 brew install iftop):按连接维度展示 IP 和端口级流量,便于发现隐蔽外连。
日常预防:减少后台自动联网风险
很多异常流量源于默认开启的后台同步或更新服务:
- 关闭不必要的 iCloud 同步项(系统设置 > Apple ID > iCloud);
- 在“系统设置 > 通用 > 登录项”中禁用非必要开机自启应用;
- 检查“系统设置 > 隐私与安全性 > 完全磁盘访问”和“网络”权限列表,移除未授权或陌生应用的权限;
- 定期在活动监视器“能耗”标签页中查看“12 小时能耗”列,长期高耗电+高网络占用的应用大概率存在异常联网行为。
