У меня есть сервер NT4, который за последние две недели начал генерировать слишком много странных DNS-запросов к DNS-серверу, который настроен на использование. Я получил предупреждения от системы IPS о том, что она заблокировала ответы от DNS-сервера обратно на сервер NT4.
Генерируемые им запросы не относятся ни к одному компьютеру в сети, это похоже на то, 120624100088.xxxxxxx.netгде xxxнаходится внутренняя сеть, числа просто случайны при каждом запросе.
Я провел небольшое исследование о том, как получить PID, который генерирует запросы, и обнаружил, что только Process Monitor может предоставить мне эту информацию, но поскольку это система NT4, Process Monitor на ней не работает.
Это производственный сервер, и я просто не могу останавливать службы по своему усмотрению.
Я хотел бы получить ваш совет о том, как мне получить PID, который генерирует эти запросы?
Спасибо.
решение1
Команда netstat (командная строка) также может выдать вам PID процессов. Возможно, вам придется запустить ее несколько раз, так как она делает снимок состояния сетевых подключений. Этот снимок может просто пропустить те, которые вас действительно интересуют.
Возможно, вам придется повозиться с опциями команды. Обязательно используйте -n, так как это значительно ускоряет обработку. (Вы ищете DNS, поэтому можете просто отфильтровать любой вывод, не относящийся к порту 53 и IP-адресу DNS-сервера.)
Если процессом окажется svchost.exe, то вам придется использовать Process Monitor или аналогичную утилиту (я думаю, ProcesExplorer от SysInternals все еще работает в NT4, вам, возможно, придется найти его старую версию), чтобы определить, какие процессы используют svchost в качестве посредника.
Только один вопрос... NT4 ?... подключен к Интернету ?.... Кого-то за это надо расстрелять.