NT4 サーバーを所有していますが、この 2 週間で、DNS サーバーが使用するように設定されているものに対して、奇妙な DNS クエリが大量に生成されるようになりました。IPS システムから、DNS サーバーから NT4 サーバーへの応答がブロックされているという警告が表示されました。
生成されるクエリは、ネットワーク内のどのコンピューターにも関連しません。内部ネットワークが120624100088.xxxxxxx.netどこにxxxあるかのようなものであり、数字はクエリごとにランダムになります。
クエリを生成している PID を取得する方法について調査したところ、Process Monitor だけがその情報を提供できることがわかりましたが、NT4 システムであるため Process Monitor は機能しません。
これは実稼働サーバーであり、望むようにサービスを停止することができません。
これらのクエリを生成している PID を取得する方法についてアドバイスをいただきたいと思います。
ありがとう。
答え1
netstat コマンド (コマンドライン) を使用すると、プロセスの PID も取得できます。ネットワーク接続の状態のスナップショットを作成するため、これを複数回実行する必要がある場合があります。そのスナップショットでは、実際に関心のあるものが失われる場合があります。
コマンドのオプションをいじる必要があるかもしれません。処理速度が大幅に向上するため、必ず -n を使用してください。(DNS を探しているので、ポート 53 と DNS サーバーの IP アドレスを参照しない出力をフィルター処理するだけで済みます。)
プロセスが svchost.exe であることが判明した場合は、Process Monitor または同様のユーティリティ (SysInternals の ProcesExplorer は NT4 でも動作すると思いますが、古いバージョンを探す必要があるかもしれません) を使用して、svchost を仲介として使用しているプロセスを特定する必要があります。
ただ一つ質問があります... NT4 ですか?... インターネットに接続されていますか?... そのために誰かが撃たれるべきです。