我爸爸把他的笔记本电脑拿过来,我注意到我的 pihole 仪表板上的 DNS 请求数量几乎增加了两倍。原来他的笔记本电脑每 5 秒左右向两个主机名之一发送不间断的 DNS 请求:sec001599e75708.mydomain
和brw28565a8f35b1.mydomain
(其中 mydomain 是本地 dhcp 域)。我尝试查看 sysinternals procmon 以查看请求来自何处,但它们都来自一个进程,即内置的 DNS 客户端服务,我似乎无法禁用它。于是我开始一个接一个地终止进程。我得到了我能想到的所有东西,但仍然每 5 秒左右收到一次 DNS 请求。有人见过这个吗?还有其他方法可以找出它来自哪里吗?
答案1
原来罪魁祸首是 Windows 图像采集服务。奇怪的主机名是他家里的几个成像设备的主机名(PC-FAX 和扫描仪)。我猜该服务正在尝试找到这些设备,但找不到。我猜 MS 程序员从未听说过指数退避。
答案2
很有趣。我刚刚在查看主机防火墙日志时注意到了类似的出站活动(被阻止)。注意到向主机主 DNS 地址和辅助 DNS 地址发送了 ICMP 类型 3、代码 3 消息(间隔大约 5 分钟)。我将停止 Windows 图像采集服务,并将其设置为手动启动。