Ich habe einen NT4-Server, der in den letzten zwei Wochen zu viele seltsame DNS-Anfragen an den DNS-Server gesendet hat, den er verwenden soll. Ich habe Warnungen vom IPS-System erhalten, dass es die Antworten vom DNS-Server zurück an den NT4-Server blockiert hat.
Die von ihm generierten Abfragen beziehen sich nicht auf einen Computer im Netzwerk. Es ist, als 120624100088.xxxxxxx.netob dort xxxdas interne Netzwerk wäre. Die Zahlen sind bei jeder Abfrage einfach zufällig.
Ich habe nachgeforscht, wie ich an die PID komme, die die Abfragen generiert, und habe festgestellt, dass nur Process Monitor mir diese Informationen geben kann. Da es sich jedoch um ein NT4-System handelt, funktioniert Process Monitor darauf nicht.
Es handelt sich um einen Produktionsserver und ich kann die Dienste nicht wie gewünscht stoppen.
Ich würde gern Ihren Rat dazu einholen, wie ich die PID erhalten kann, die diese Abfragen generiert.
Danke.
Antwort1
Der Befehl netstat (Befehlszeile) kann Ihnen auch die PIDs der Prozesse geben. Sie müssen ihn möglicherweise mehrmals ausführen, da er einen Snapshot des Status der Netzwerkverbindungen erstellt. In diesem Snapshot fehlen möglicherweise nur die Verbindungen, die Sie wirklich interessieren.
Möglicherweise müssen Sie mit den Optionen des Befehls herumspielen. Verwenden Sie auf jeden Fall -n, da dies die Verarbeitung erheblich beschleunigt. (Sie suchen nach DNS, daher können Sie einfach alle Ausgaben herausfiltern, die sich nicht auf Port 53 und die IP-Adresse des DNS-Servers beziehen.)
Wenn sich herausstellt, dass es sich bei dem Prozess um svchost.exe handelt, müssen Sie Process Monitor oder ein ähnliches Dienstprogramm verwenden (ich glaube, ProcesExplorer von SysInternals funktioniert noch unter NT4, Sie müssen möglicherweise eine alte Version davon finden), um festzustellen, welche Prozesse svchost als Vermittler verwenden.
Nur eine Frage... NT4?... Mit dem Internet verbunden?... Dafür sollte jemand erschossen werden.