我有一台 NT4 服务器,在过去两周内,它开始向设置为使用的 DNS 服务器生成过多奇怪的 DNS 查询。我收到 IPS 系统的警告,它已阻止 DNS 服务器向 NT4 服务器发出响应。
它生成的查询与网络中的任何计算机都无关,就像内部网络在120624100088.xxxxxxx.net
哪里一样xxx
,每次查询的数字都是随机的。
我对如何获取生成查询的 PID 进行了一些研究,我发现只有进程监视器可以给我提供该信息,但由于它是 NT4 系统,因此进程监视器无法在其上起作用。
这是一个生产服务器,我无法随意停止服务。
我想要听听您的建议,如何获取生成这些查询的 PID?
谢谢。
答案1
netstat 命令(命令行)也可以为您提供进程的 PID。您可能需要多次运行它,因为它会创建网络连接状态的快照。该快照可能会错过您真正感兴趣的内容。
您可能需要调整命令的选项。一定要使用 -n,因为这会大大加快处理速度。(您正在寻找 DNS,因此您可以过滤掉任何不引用端口 53 和 DNS 服务器的 IP 地址的输出。)
如果该进程是 svchost.exe,那么您将不得不使用进程监视器或类似的实用程序(我相信 SysInternals 的 ProcesExplorer 仍然适用于 NT4,您可能需要找到它的旧版本)来确定哪些进程正在使用 svchost 作为中介。
只有一个问题.... NT4?...连接到互联网?....有人应该为此被枪毙。