我有一台 NT4 伺服器,在過去兩週內開始向設定使用的 DNS 伺服器產生太多奇怪的 DNS 查詢。我收到來自 IPS 系統的警告,它已阻止從 DNS 伺服器傳回 NT4 伺服器的回應。
它產生的查詢與網路中的任何電腦無關,就像內部網路在120624100088.xxxxxxx.net哪裡一樣xxx,每個查詢的數字都是隨機的。
我已經做了一些關於如何獲取生成查詢的 PID 的研究,我發現只有 Process Monitor 可以給我該信息,但由於它是 NT4 系統 Process Monitor 無法處理它。
它是一個生產伺服器,我只是無法按照我的意願停止服務。
我想聽聽您關於如何取得產生這些查詢的 PID 的建議?
謝謝。
答案1
netstat 命令(命令列)也可以為您提供進程的 PID。您可能需要運行它多次,因為它會產生網路連線狀態的快照。該快照可能會錯過您真正感興趣的內容。
您可能需要擺弄該指令的選項。一定要使用 -n 因為這會大大加快處理速度。 (您正在尋找 DNS,這樣您就可以過濾掉任何不涉及連接埠 53 和 DNS 伺服器的 IP 位址的輸出。)
如果該進程結果是 svchost.exe,那麼您將必須使用 Process Monitor 或類似的實用程式(我相信來自SysInternals 的ProcesExplorer 仍然可以在NT4 中使用,您可能必須找到它的舊版本)來確定哪些進程正在使用svchost 作為中介。
但只有一個問題…NT4?