у нас в сети есть один компьютер, который постоянно отправляет запросы на 8.8.8.8 dns. Я вижу это в журнале прямого трафика Fortigate, и пользователь этого компьютера должен решать reCAPTCHA несколько раз в час, когда он использует поиск Google. Этот компьютер представляет собой ноутбук с двумя сетевыми картами, одна из которых обычно подключается к локальной сети Ethernet (fortigate), а сетевая карта Wi-Fi обычно подключается одновременно к гостевой сети с другого маршрутизатора SOHO (отправляется через DHCP 8.8.8.8 как основной DNS).
Мой вопрос в том, как найти с помощью приложения / процесса на этом компьютере отправить этот необычный DNS-запрос на 8.8.8.8?
РЕДАКТИРОВАТЬ:
Итак, я провожу несколько проверок. Случай однозначно связан с включенной и подключенной сетевой картой wi-fi. Когда я меняю конфигурацию DHCP маршрутизатора SOHO для отправки другой конфигурации DNS (не 8.8.8.8, а DNS-сервера моего локального интернет-провайдера) в журнале пересылки Fortigate, теперь появляются записи с источником IP-адреса Ethernet (и MAC) и получателем в DNS. сервер моего местного интернет-провайдера.
Похоже, что какой-то процесс / приложение берет конфигурацию DNS из Wi-Fi и отправляет запрос через Ethernet.
Sysmon не показывает необычных запросов DNS. Любые идеи?
Microsoft Sysmon имеет ведение журнала DNS.
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Его можно включить с помощью файла конфигурации.
Sysmon.xml:
<Sysmon schemaversion="4.21">
<EventFiltering>
<DnsQuery onmatch="exclude" />
</EventFiltering>
</Sysmon>
Установить:
sysmon.exe -accepteula -i sysmon.xml
Если приложение / процесс постоянно работает, вы можете использовать следующее:
netstat -tapvln | grep 8.8.8.8
Его нужно будет запускать как root, потому что флаг -p означает показывать идентификатор процесса.
Если он не работает постоянно, вы можете поставить перед ним команду watch и отслеживать, пока не найдете виновника.
watch netstat -tapvln | grep 8.8.8.8