6
Welcher Prozess fragt den DNS-Client
Hallo zusammen,
einer meiner Server fragt ständig generiert immer wieder DNS-Queries (vor allem Reverse-Anfragen), die von unserem Server (mit Forwarder 9.9.9.9 - eigentlich nur dieser! ) nicht beantwortet werden können (NXDOMAIN).
Wie bekomme ich heraus, welcher Prozess das auslöst (Server 2012R2).
Ich könnte raten (Prozess killen, und warten) aber die Queries sind nun auch nicht so häufig, da muss ich geschätzt 20 Minuten pro Prozess einplanen.
Auf dem Server läuft kein Mailserver und auch kein von außen verfügbarer Dienst.
Grüße
lcer
einer meiner Server fragt ständig generiert immer wieder DNS-Queries (vor allem Reverse-Anfragen), die von unserem Server (mit Forwarder 9.9.9.9 - eigentlich nur dieser! ) nicht beantwortet werden können (NXDOMAIN).
Jan 16, 2021 @ 18:25:48.000 216.239.36.10 202.187.194.173.in-addr.arpa
Jan 16, 2021 @ 18:25:48.000 9.9.9.9 202.187.194.173.in-addr.arpa
Jan 16, 2021 @ 18:25:43.000 9.9.9.9 242.137.97.52.in-addr.arpa
Jan 16, 2021 @ 18:25:43.000 9.9.9.9 123.53.124.51.in-addr.arpaWie bekomme ich heraus, welcher Prozess das auslöst (Server 2012R2).
Ich könnte raten (Prozess killen, und warten) aber die Queries sind nun auch nicht so häufig, da muss ich geschätzt 20 Minuten pro Prozess einplanen.
Auf dem Server läuft kein Mailserver und auch kein von außen verfügbarer Dienst.
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 641009
Url: https://administrator.de/forum/welcher-prozess-fragt-den-dns-client-641009.html
Ausgedruckt am: 11.04.2025 um 07:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @lcer00:
einer meiner Server fragt ständig generiert immer wieder DNS-Queries (vor allem Reverse-Anfragen), die von unserem Server (mit Forwarder 9.9.9.9 - eigentlich nur dieser! ) nicht beantwortet werden können (NXDOMAIN).
Keine Domäne oder warum 9.9.9.9?einer meiner Server fragt ständig generiert immer wieder DNS-Queries (vor allem Reverse-Anfragen), die von unserem Server (mit Forwarder 9.9.9.9 - eigentlich nur dieser! ) nicht beantwortet werden können (NXDOMAIN).
Auf dem Server läuft kein Mailserver und auch kein von außen verfügbarer Dienst.
ProcessMonitor und Co. oder TCPView usw.Gruß,
Peter
Wenn, dann netstat -b und dann mit einem Intervall in eine Textdatei schreiben lassen.
Die ersten beiden Anfragen, die du geliefert hast, landen bei Google, also stellt sich die Frage, ob du irgendeine Google oder Google-nahe Anwendung im Einsatz hast.
Die beiden anderen gehen in Microsoftnetze, also wird das ungleich schwieriger auf einem Microsoft Betriebssystem, weil ja schon alleine der MSFT NCSI ständig Anfragen stellt, um den Onlinestatus des Systems zu erfragen.
Die ersten beiden Anfragen, die du geliefert hast, landen bei Google, also stellt sich die Frage, ob du irgendeine Google oder Google-nahe Anwendung im Einsatz hast.
Die beiden anderen gehen in Microsoftnetze, also wird das ungleich schwieriger auf einem Microsoft Betriebssystem, weil ja schon alleine der MSFT NCSI ständig Anfragen stellt, um den Onlinestatus des Systems zu erfragen.
Hallo,
da hast Du aber echt Schwein gehabt. Ich habe mich vor einiger Zeit mit dem Thema beschäftigt und wollte da längst mal einen Artikel für meine Heimseite drüber schreiben.
Was ich jetzt gerade getan habe. Insofern - danke für die Motivation^^
Du findest den (frisch erstellten) Artikel hier: Ursache für wpad DNS Abfragen ermitteln
Geiler Service, oder?
Gruß,
Jörg
da hast Du aber echt Schwein gehabt. Ich habe mich vor einiger Zeit mit dem Thema beschäftigt und wollte da längst mal einen Artikel für meine Heimseite drüber schreiben.
Was ich jetzt gerade getan habe. Insofern - danke für die Motivation^^
Du findest den (frisch erstellten) Artikel hier: Ursache für wpad DNS Abfragen ermitteln
Geiler Service, oder?
Gruß,
Jörg
Hallo,
Netstat und tcpview fallen aus. Die DNS-Abfrage muss ja nicht vom unbekannten Prozess ausgelöst werden. Die kann ja über andere Protokolle weitergereicht werden. Tcpview hatte ich versucht, alle ausgehenden DNS-Verbindungen kamen von einem einzigen Systemprozess. Die Frage ist: wer fragt den DNS Client?
Procmon könnte das selbe Problem haben. Zumal es bei NXDOMAIN ja anschließend möglicherweise gar nicht zu einem Verbindungsaufbau kommt.
Die sysmon Variante klingt für mich am erfolgversprechendsten.
Das teste ich mal und werde berichten.
Grüße
lcer
Netstat und tcpview fallen aus. Die DNS-Abfrage muss ja nicht vom unbekannten Prozess ausgelöst werden. Die kann ja über andere Protokolle weitergereicht werden. Tcpview hatte ich versucht, alle ausgehenden DNS-Verbindungen kamen von einem einzigen Systemprozess. Die Frage ist: wer fragt den DNS Client?
Procmon könnte das selbe Problem haben. Zumal es bei NXDOMAIN ja anschließend möglicherweise gar nicht zu einem Verbindungsaufbau kommt.
Die sysmon Variante klingt für mich am erfolgversprechendsten.
Das teste ich mal und werde berichten.
Grüße
lcer
Hallo,
die Sysmon-Variante führte schnell und sicher zum Ziel. Habe den schuldigen (fast) identifiziert. Es ist die PRTG-Probe die auf dem Rechner läuft. Warum die das macht, weiss ich noch nicht, aber das ist anderes Thema.
Danke für die sauber präsentierte Lösung. Ich habe nur noch den Ereignisanzeige-Filter etwas modifiziert.
Grüße
lcer
die Sysmon-Variante führte schnell und sicher zum Ziel. Habe den schuldigen (fast) identifiziert. Es ist die PRTG-Probe die auf dem Rechner läuft. Warum die das macht, weiss ich noch nicht, aber das ist anderes Thema.
Danke für die sauber präsentierte Lösung. Ich habe nur noch den Ereignisanzeige-Filter etwas modifiziert.
Grüße
lcer
