У меня есть компьютер под управлением Windows Server 2012 R2, который генерирует недопустимые DNS-запросы.
Единственный IP-адрес сервера - 192.168.1.20/24, он настроен статически. Он настроен для одного DNS-сервера 192.168.1.1, который также является шлюзом по умолчанию. Windump подтверждает, что большинство DNS-запросов с этого сервера отправляются на правильный DNS-сервер.
Однако иногда windump показывает DNS-запрос, отправленный на другой DNS-сервер, который выглядит следующим образом:
12:37:54.397958 IP 192.168.1.20.51359 > 192.168.0.10.53: 23110+ [1au] A? clientservices.googleapis.com. (58)
12:44:29.037933 IP 192.168.1.20.51174 > 192.168.0.10.53: 37409+ A? www.skyres.ca. (31)
12:44:35.528727 IP 192.168.1.20.52753 > 192.168.0.10.53: 11591+ [1au] A? ns1.secureserver.net. (49)
12:52:46.473216 IP 192.168.1.20.51157 > 192.168.0.10.53: 25493+ A? safebrowsing.googleapis.com. (45)
12:52:53.761783 IP 192.168.1.20.51157 > 192.168.0.10.53: 25493+ [1au] A? safebrowsing.googleapis.com. (56)
Это могло быть чистым совпадением, но в нашем офисе есть контроллер домена Windows и DNS-сервер с IP-адресом 192.168.0.10, однако рассматриваемый сервер (192.168.1.20) находится в удаленном месте и не имеет доступа к нашему контроллеру домена. Фактически, 192.168.1.20 - это контроллер домена в другом домене.
Возможно, 192.168.1.20 когда-то находился в той же сети и домене, что и 192.168.0.10, но это было до того, как я присоединился к этой компании 8 месяцев назад.
Любая идея относительно того, почему 192.168.1.20 пытается запросить DNS-сервер, который Windows якобы не настроен для использования и к которому у него нет доступа?
Может ли кто-нибудь предложить способ отследить происхождение программного обеспечения этого DNS-запроса на сервере?
Ты можешь использовать netstat -nba чтобы заставить процессы открывать соединения.
Ключевой частью этой команды является -b это показывает, что исполняемый файл развивался в реальной связи.