概括:
我看到数十个对不存在的域的请求,我怀疑这会减慢我的网络速度。找不到来源。
详细描述:
我用皮孔作为 DNS 服务器,并且Wireshark和小告密者分析传出的请求。
我这样做的动机是,与同一网络上的其他设备相比,我的计算机的连接速度非常慢。
在 pihole 日志中,我发现了大量(每分钟几个)对不存在的域的请求,例如cwtwzxm.home、等oqcuhponmpihyp.home。uceqeycvfo.home模式非常清晰...
我怀疑这些请求是我的网络如此缓慢的原因之一,因此我尝试了解哪个应用程序正在发送这些 DNS 请求以及原因。
有人认为这些可能来自对强制门户进行轮询的 Chromium 浏览器,但在终止所有嵌入式 Chromium 进程(存在于 Adobe CC 和 Dropbox 中)后,我推翻了这一假设。
Little Snitch 找不到任何请求,这很奇怪,因为这意味着这些请求不是来自任何正在运行的应用程序(我知道 - 这不合逻辑)。
另一方面,Wireshark 确实找到了 DNS 请求,但我不知道如何解密它。
- 如何解释 Wireshark 的输出?
- 我如何才能找到发起这些请求的应用程序/软件/程序?
样本pihole.log:
Oct 12 15:06:01 dnsmasq[11469]: forwarded dbetguay.home to 127.0.0.1
Oct 12 15:06:01 dnsmasq[11469]: reply rsnjznzzo.home is NXDOMAIN
Oct 12 15:06:01 dnsmasq[11469]: reply dbetguay.home is NXDOMAIN
--
Oct 12 15:06:03 dnsmasq[11469]: query[A] rsnjznzzo.home from 192.168.1.10
Oct 12 15:06:03 dnsmasq[11469]: cached rsnjznzzo.home is NXDOMAIN
Oct 12 15:06:03 dnsmasq[11469]: reply uceqeycvfo.home is NXDOMAIN
Oct 12 15:06:03 dnsmasq[11469]: query[A] dbetguay.home from 192.168.1.10
Oct 12 15:06:03 dnsmasq[11469]: cached dbetguay.home is NXDOMAIN
Oct 12 15:06:04 dnsmasq[11469]: query[A] uceqeycvfo.home from 192.168.1.10
Oct 12 15:06:04 dnsmasq[11469]: cached uceqeycvfo.home is NXDOMAIN
Oct 12 15:06:04 dnsmasq[11469]: query[A] rsnjznzzo.home from 192.168.1.10
Oct 12 15:06:04 dnsmasq[11469]: cached rsnjznzzo.home is NXDOMAIN
Oct 12 15:06:04 dnsmasq[11469]: query[A] dbetguay.home from 192.168.1.10
Oct 12 15:06:04 dnsmasq[11469]: cached dbetguay.home is NXDOMAIN
Oct 12 15:06:06 dnsmasq[11469]: query[A] uceqeycvfo.home from 192.168.1.10
Oct 12 15:06:06 dnsmasq[11469]: cached uceqeycvfo.home is NXDOMAIN
Oct 12 15:06:06 dnsmasq[11469]: query[A] rsnjznzzo.home from 192.168.1.10
Oct 12 15:06:06 dnsmasq[11469]: cached rsnjznzzo.home is NXDOMAIN
Oct 12 15:06:06 dnsmasq[11469]: query[A] dbetguay.home from 192.168.1.10
Oct 12 15:06:06 dnsmasq[11469]: cached dbetguay.home is NXDOMAIN
Oct 12 15:06:08 dnsmasq[11469]: query[A] dbetguay.home from 192.168.1.10
Oct 12 15:06:08 dnsmasq[11469]: cached dbetguay.home is NXDOMAIN
Oct 12 15:06:09 dnsmasq[11469]: query[A] dbetguay.home from 192.168.1.10
Oct 12 15:06:09 dnsmasq[11469]: cached dbetguay.home is NXDOMAIN
Oct 12 15:06:11 dnsmasq[11469]: query[A] uceqeycvfo.home from 192.168.1.10
Oct 12 15:06:11 dnsmasq[11469]: cached uceqeycvfo.home is NXDOMAIN
Oct 12 15:06:11 dnsmasq[11469]: query[A] rsnjznzzo.home from 192.168.1.10
Oct 12 15:06:11 dnsmasq[11469]: cached rsnjznzzo.home is NXDOMAIN
Oct 12 15:06:11 dnsmasq[11469]: query[A] dbetguay.home from 192.168.1.10
Oct 12 15:06:11 dnsmasq[11469]: cached dbetguay.home is NXDOMAIN
答案1
响应NXDOMAIN意味着在 DNS 系统中未找到所寻址的域。这并不奇怪,因为这些域名都是随机的废话。
这些请求似乎来自 IP 地址为 的设备192.168.1.10。您需要通过其 IP 地址来定位此设备。路由器应该能够报告哪个连接的设备具有此地址。
本地 DNS 服务持续发出来自单个客户端的 NXDOMAIN 响应可能表明存在感染。PTR 查询可以对网络进行逆向工程并挖掘有趣的主机名。
我的猜测是,上述设备感染了一种特别笨拙的病毒,试图拨打电话至其控制网站,或试图收集有关本地网络的信息。
对于如何处理可能的感染,请参阅帖子
如何从我的电脑中删除恶意间谍软件、恶意软件、广告软件、病毒、木马或 rootkit?