지난 2주 동안 DNS 서버에 이상한 DNS 쿼리를 너무 많이 생성하기 시작한 NT4 서버가 있습니다. IPS 시스템으로부터 DNS 서버에서 NT4 서버로의 응답을 차단했다는 경고를 받았습니다.
생성된 쿼리는 네트워크의 컴퓨터와 관련이 없으며 내부 네트워크가 120624100088.xxxxxxx.net어디에 xxx있는지와 같으며 각 쿼리에서 숫자는 무작위입니다.
쿼리를 생성하는 PID를 얻는 방법에 대해 조사한 결과 프로세스 모니터만이 해당 정보를 제공할 수 있지만 NT4 시스템이므로 프로세스 모니터가 작동하지 않는다는 것을 알았습니다.
프로덕션 서버이고 원하는 대로 서비스를 중지할 수 없습니다.
이러한 쿼리를 생성하는 PID를 어떻게 얻을 수 있는지에 대한 조언을 듣고 싶습니다.
감사해요.
답변1
netstat 명령(명령줄)을 사용하면 프로세스의 PID도 제공할 수 있습니다. 네트워크 연결 상태의 스냅샷을 만들기 때문에 여러 번 실행해야 할 수도 있습니다. 그 스냅샷은 당신이 실제로 관심을 갖고 있는 것을 놓칠 수도 있습니다.
명령에 대한 옵션을 조작해야 할 수도 있습니다. -n을 사용하면 처리 속도가 크게 향상됩니다. (포트 53과 DNS 서버의 IP 주소를 참조하지 않는 출력을 필터링할 수 있도록 DNS를 찾고 있습니다.)
프로세스가 svchost.exe로 판명되면 프로세스 모니터나 비슷한 유틸리티(SysInternals의 ProcesExplorer가 여전히 NT4에서 작동한다고 생각합니다. 이전 버전을 찾아야 할 수도 있습니다)를 사용하여 svchost를 중개자로 사용하는 프로세스를 확인합니다.
하지만 한 가지 질문이 있습니다.... NT4 ?... 인터넷에 연결되어 있습니까?.... 누군가는 총에 맞아야 합니다.