Tengo un servidor NT4 que en las últimas dos semanas comenzó a generar demasiadas consultas DNS extrañas al servidor DNS que está configurado para usar. Recibí advertencias del sistema IPS de que ha bloqueado las respuestas del servidor DNS al servidor NT4.
Las consultas que genera no se relacionan con ninguna computadora en la red, es como 120624100088.xxxxxxx.netdónde xxxestá la red interna, los números son aleatorios en cada consulta.
Investigué un poco sobre cómo obtener el PID que genera las consultas y descubrí que solo Process Monitor podía darme esa información, pero como es un sistema NT4, Process Monitor no funciona en él.
Es un servidor de producción y simplemente no puedo detener los servicios como quiero.
Me gustaría recibir su consejo sobre cómo puedo obtener el PID que genera estas consultas.
Gracias.
Respuesta1
El comando netstat (línea de comandos) también puede proporcionarle los PID de los procesos. Es posible que tengas que ejecutarlo varias veces mientras toma una instantánea del estado de las conexiones de red. Es posible que en esa instantánea se pierdan las que realmente le interesan.
Quizás tengas que jugar con las opciones del comando. Definitivamente use -n porque eso acelera enormemente el procesamiento. (Está buscando DNS para poder filtrar cualquier salida que no haga referencia al puerto 53 y la dirección IP del servidor DNS).
Si el proceso resulta ser svchost.exe, entonces tendrá que usar Process Monitor o un Utilidad similar (creo que ProcesExplorer de SysInternals todavía funciona en NT4, es posible que tengas que encontrar una versión anterior) para determinar qué procesos están usando svchost como intermediario.
Sólo una pregunta... ¿NT4?... ¿Conectado a Internet?... Alguien debería recibir un disparo por eso.