lcer00
Goto Top

Welcher Prozess fragt den DNS-Client

Hallo zusammen,

einer meiner Server fragt ständig generiert immer wieder DNS-Queries (vor allem Reverse-Anfragen), die von unserem Server (mit Forwarder 9.9.9.9 - eigentlich nur dieser! ) nicht beantwortet werden können (NXDOMAIN).

	Jan 16, 2021 @ 18:25:48.000	216.239.36.10  	202.187.194.173.in-addr.arpa
	Jan 16, 2021 @ 18:25:48.000	9.9.9.9   	202.187.194.173.in-addr.arpa
	Jan 16, 2021 @ 18:25:43.000	9.9.9.9   	242.137.97.52.in-addr.arpa
	Jan 16, 2021 @ 18:25:43.000	9.9.9.9        	123.53.124.51.in-addr.arpa

Wie bekomme ich heraus, welcher Prozess das auslöst (Server 2012R2).

Ich könnte raten (Prozess killen, und warten) aber die Queries sind nun auch nicht so häufig, da muss ich geschätzt 20 Minuten pro Prozess einplanen.

Auf dem Server läuft kein Mailserver und auch kein von außen verfügbarer Dienst.

Grüße

lcer

Content-Key: 641009

Url: https://administrator.de/contentid/641009

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: Pjordorf
Pjordorf 16.01.2021 um 19:09:03 Uhr
Goto Top
Hallo,

Zitat von @lcer00:
einer meiner Server fragt ständig generiert immer wieder DNS-Queries (vor allem Reverse-Anfragen), die von unserem Server (mit Forwarder 9.9.9.9 - eigentlich nur dieser! ) nicht beantwortet werden können (NXDOMAIN).
Keine Domäne oder warum 9.9.9.9?

Auf dem Server läuft kein Mailserver und auch kein von außen verfügbarer Dienst.
ProcessMonitor und Co. oder TCPView usw.

Gruß,
Peter
Mitglied: tikayevent
tikayevent 16.01.2021 um 19:42:17 Uhr
Goto Top
Wenn, dann netstat -b und dann mit einem Intervall in eine Textdatei schreiben lassen.

Die ersten beiden Anfragen, die du geliefert hast, landen bei Google, also stellt sich die Frage, ob du irgendeine Google oder Google-nahe Anwendung im Einsatz hast.

Die beiden anderen gehen in Microsoftnetze, also wird das ungleich schwieriger auf einem Microsoft Betriebssystem, weil ja schon alleine der MSFT NCSI ständig Anfragen stellt, um den Onlinestatus des Systems zu erfragen.
Mitglied: 117471
117471 16.01.2021 um 20:58:16 Uhr
Goto Top
Hallo,

da hast Du aber echt Schwein gehabt. Ich habe mich vor einiger Zeit mit dem Thema beschäftigt und wollte da längst mal einen Artikel für meine Heimseite drüber schreiben.

Was ich jetzt gerade getan habe. Insofern - danke für die Motivation^^

Du findest den (frisch erstellten) Artikel hier: Ursache für wpad DNS Abfragen ermitteln

Geiler Service, oder? face-smile

Gruß,
Jörg
Mitglied: lcer00
lcer00 17.01.2021 um 08:43:40 Uhr
Goto Top
Hallo,

Netstat und tcpview fallen aus. Die DNS-Abfrage muss ja nicht vom unbekannten Prozess ausgelöst werden. Die kann ja über andere Protokolle weitergereicht werden. Tcpview hatte ich versucht, alle ausgehenden DNS-Verbindungen kamen von einem einzigen Systemprozess. Die Frage ist: wer fragt den DNS Client?

Procmon könnte das selbe Problem haben. Zumal es bei NXDOMAIN ja anschließend möglicherweise gar nicht zu einem Verbindungsaufbau kommt.

Die sysmon Variante klingt für mich am erfolgversprechendsten.

Das teste ich mal und werde berichten.

Grüße

lcer
Mitglied: lcer00
lcer00 17.01.2021 um 12:51:21 Uhr
Goto Top
Hallo,

die Sysmon-Variante führte schnell und sicher zum Ziel. Habe den schuldigen (fast) identifiziert. Es ist die PRTG-Probe die auf dem Rechner läuft. Warum die das macht, weiss ich noch nicht, aber das ist anderes Thema.

Danke für die sauber präsentierte Lösung. Ich habe nur noch den Ereignisanzeige-Filter etwas modifiziert.

Grüße

lcer
Mitglied: 117471
Lösung 117471 17.01.2021 aktualisiert um 12:59:51 Uhr
Goto Top
Hallo,

Zitat von @lcer00:

die Sysmon-Variante führte schnell und sicher zum Ziel.

Wie kann ich einen Beitrag als gelöst markieren? face-smile

Gruß,
Jörg