Назад | Перейти на главную страницу

Как определить с помощью приложения / процесса конкретный запрос DNS?

у нас в сети есть один компьютер, который постоянно отправляет запросы на 8.8.8.8 dns. Я вижу это в журнале прямого трафика Fortigate, и пользователь этого компьютера должен решать reCAPTCHA несколько раз в час, когда он использует поиск Google. Этот компьютер представляет собой ноутбук с двумя сетевыми картами, одна из которых обычно подключается к локальной сети Ethernet (fortigate), а сетевая карта Wi-Fi обычно подключается одновременно к гостевой сети с другого маршрутизатора SOHO (отправляется через DHCP 8.8.8.8 как основной DNS).

Мой вопрос в том, как найти с помощью приложения / процесса на этом компьютере отправить этот необычный DNS-запрос на 8.8.8.8?

РЕДАКТИРОВАТЬ:

Итак, я провожу несколько проверок. Случай однозначно связан с включенной и подключенной сетевой картой wi-fi. Когда я меняю конфигурацию DHCP маршрутизатора SOHO для отправки другой конфигурации DNS (не 8.8.8.8, а DNS-сервера моего локального интернет-провайдера) в журнале пересылки Fortigate, теперь появляются записи с источником IP-адреса Ethernet (и MAC) и получателем в DNS. сервер моего местного интернет-провайдера.

Похоже, что какой-то процесс / приложение берет конфигурацию DNS из Wi-Fi и отправляет запрос через Ethernet.

Sysmon не показывает необычных запросов DNS. Любые идеи?

Microsoft Sysmon имеет ведение журнала DNS.

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Его можно включить с помощью файла конфигурации.

Sysmon.xml:

<Sysmon schemaversion="4.21">
 <EventFiltering>
  <DnsQuery onmatch="exclude" />
 </EventFiltering>
</Sysmon>

Установить:

sysmon.exe -accepteula -i sysmon.xml

Если приложение / процесс постоянно работает, вы можете использовать следующее:

netstat -tapvln | grep 8.8.8.8

Его нужно будет запускать как root, потому что флаг -p означает показывать идентификатор процесса.

Если он не работает постоянно, вы можете поставить перед ним команду watch и отслеживать, пока не найдете виновника.

watch netstat -tapvln | grep 8.8.8.8