我有一台运行 Windows Server 2012 R2 的机器正在生成无效的 DNS 查询。
该服务器的唯一 IP 地址是 192.168.1.20/24,并且是静态配置的。它配置为单个 DNS 服务器 192.168.1.1,这也是默认网关。Windump 确认来自此服务器的大多数 DNS 查询都发送到正确的 DNS 服务器。
然而,有时 windump 会显示发送到另一个 DNS 服务器的 DNS 查询,如下所示:
12:37:54.397958 IP 192.168.1.20.51359 > 192.168.0.10.53: 23110+ [1au] A? clientservices.googleapis.com. (58)
12:44:29.037933 IP 192.168.1.20.51174 > 192.168.0.10.53: 37409+ A? www.skyres.ca. (31)
12:44:35.528727 IP 192.168.1.20.52753 > 192.168.0.10.53: 11591+ [1au] A? ns1.secureserver.net. (49)
12:52:46.473216 IP 192.168.1.20.51157 > 192.168.0.10.53: 25493+ A? safebrowsing.googleapis.com. (45)
12:52:53.761783 IP 192.168.1.20.51157 > 192.168.0.10.53: 25493+ [1au] A? safebrowsing.googleapis.com. (56)
这可能纯属巧合,但我们的办公室有一个 Windows 域控制器和 DNS 服务器,其 IP 地址为 192.168.0.10,但有问题的服务器 (192.168.1.20) 位于远程位置,无法访问我们的域控制器。事实上,192.168.1.20 是另一个域上的域控制器。
192.168.1.20 可能曾经与 192.168.0.10 位于同一网络和域,但那是在我 8 个月前加入这家公司之前。
知道为什么 192.168.1.20 试图查询 Windows 表面上未配置使用且无权访问的 DNS 服务器吗?
有人可以建议一种方法来追踪服务器内此 DNS 请求的软件来源吗?
答案1
您可以使用它netstat -nba来获取正在打开连接的进程。
此命令的关键部分是-b向您显示实际连接中生成的可执行文件。