Welcher Prozess stellt "gewisse" DNS-Abfragen?

Hallo,

angeregt durch eine Anfrage hier im Forum habe ich gerade einen Artikel zum Thema DNS-Abfragen geschrieben.

Es geht letztendlich darum, Abfragen (nach bestimmten Hostnamen) Prozessen oder Diensten zuzuordnen. In meinem Beispiel sind das die wpad-Abfragen vom Proxydiscovery: Ursache für wpad DNS Abfragen ermitteln

Ob ich den Service deaktiviere, habe ich übrigens noch nicht entschieden. Mir war erst einmal wichtig zu wissen, wer mir da auf die Klötze geht. Vielleicht habt Ihr ja noch etwas Feedback / Anregungen zu dem Thema.

Gruß,
Jörg

Please also mark the comments that contributed to the solution of the article

Content-Key: 641013

Url: https://administrator.de/contentid/641013

Printed on: April 20, 2024 at 11:04 o'clock

2 Comments

Latest comment

Hallo,

funktioniert super.

ich habe noch den Filter für die Abfrage etwas eingeengt:

QueryList>
  <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">  
    <Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID=22)]] and (*[EventData[@Name="QueryStatus"]="9003"]])</Select>  
  </Query>
</QueryList>

Eine Liste der DNS-Statuscodes findet sich hier: https://docs.microsoft.com/en-us/windows/win32/debug/system-error-codes- ...

Die wesentlichen Codes sind sicher die folgenden.

(0x2329)	DNS_ERROR_RCODE_FORMAT_ERROR	DNS server unable to interpret format.
(0x232A)	DNS_ERROR_RCODE_SERVER_FAILURE	DNS server failure.
(0x232B)	DNS_ERROR_RCODE_NAME_ERROR	DNS name does not exist.
(0x232C)	DNS_ERROR_RCODE_NOT_IMPLEMENTED	DNS request not supported by name server.
(0x232D)	DNS_ERROR_RCODE_REFUSED	DNS operation refused.
(0x232E)	DNS_ERROR_RCODE_YXDOMAIN	DNS name that ought not exist, does exist.
(0x232F)	DNS_ERROR_RCODE_YXRRSET	DNS RR set that ought not exist, does exist.
(0x2330)	DNS_ERROR_RCODE_NXRRSET	DNS RR set that ought to exist, does not exist.
(0x2331)	DNS_ERROR_RCODE_NOTAUTH	DNS server not authoritative for zone.
(0x2332)	DNS_ERROR_RCODE_NOTZONE	DNS name in update or prereq is not in zone.
(0x2338)	DNS_ERROR_RCODE_BADSIG	DNS signature failed to verify.
(0x2339)	DNS_ERROR_RCODE_BADKEY	DNS bad key.
(0x233A)	DNS_ERROR_RCODE_BADTIME	DNS signature validity expired.

Grüße

lcer