我接手了 Windows Server 2012R2 dns 服务器的维护工作(我远非服务器维护专家),它开始表现得非常奇怪。对于看似随机选择的查找,它返回以下 IP 地址:
156.154.175.217
156.154.176.217
我运行netstat -a -n -o
了这台机器,想看看除了 DNS 服务之外,是否有其他服务在监听端口 53,但什么也没发现。我使用检查了 DNS 缓存Show-DnsServerCache
,发现这些错误记录出现在缓存中,因此我相当确定问题出在 Windows DNS 服务上,而不是某些恶意软件拦截 DNS 查询。
DNS 服务器已199.85.126.30
设置199.85.127.30
为属于 Norton ConnectSafe 的转发器。我已检查根提示服务器,它们似乎都指向正确的 IP 地址互联网号码分配机构。
基本上,这个 DNS 服务器被攻破了吗?我有没有办法追踪这些看似恶意的 DNS 记录来自哪里?
答案1
检查此 IP 指向的位置,看起来您正在使用某些 Norton 防火墙或类似产品,对于某些 DNS 名称将显示“保护”页面:“这是一个恶意页面”或类似内容。
对于未知或无效的 DNS,它也可能返回相同的 IP。
因此,它看起来不像是被攻击了,而只是防病毒软件/防火墙在执行其设计的功能。