我有一个NT4服务器,在过去两周开始产生太多奇怪的DNS查询到DNS服务器设置使用。 我已经从IPS系统得到警告,它已经阻止了从DNS服务器回到NT4服务器的响应。
它生成的查询不涉及networking中的任何计算机,它就像120624100088.xxxxxxx.net其中xxx是内部networking,数字在每个查询只是随机的。
我已经做了一些研究,如何得到生成查询的PID,我发现只有进程监视器可以给我这些信息,但是因为它是NT4系统进程监视器不起作用。
这是一个生产服务器,我只是不能停止服务,因为我想要的。
我想得到你的意见,我怎么能得到生成这些查询的PID?
谢谢。
netstat命令(命令行)也可以为您提供进程的PID。 您可能需要多次运行它,因为它会对networking连接状态进行快照。 那快照可能只是想念你实际上感兴趣的那个。
你可能不得不摆弄这个命令的选项。 绝对使用-n,因为这大大加快了处理速度。 (您正在寻找DNS,因此您可以过滤掉任何不涉及端口53和DNS服务器的IP地址的输出。
如果该过程变成svchost.exe,那么你将不得不使用进程监视器或类似的工具(我相信SysInternals的ProcesExplorer仍然在NT4中工作,你可能需要find它的旧版本),以确定哪些进程正在使用svchost作为中介。
只是一个问题,虽然…. NT4?…连接到互联网?….有人应该被枪杀。