117471
16.01.2021, aktualisiert am 17.01.2021
3869
2
0
Welcher Prozess stellt "gewisse" DNS-Abfragen?
Hallo,
angeregt durch eine Anfrage hier im Forum habe ich gerade einen Artikel zum Thema DNS-Abfragen geschrieben.
Es geht letztendlich darum, Abfragen (nach bestimmten Hostnamen) Prozessen oder Diensten zuzuordnen. In meinem Beispiel sind das die wpad-Abfragen vom Proxydiscovery: Ursache für wpad DNS Abfragen ermitteln
Ob ich den Service deaktiviere, habe ich übrigens noch nicht entschieden. Mir war erst einmal wichtig zu wissen, wer mir da auf die Klötze geht. Vielleicht habt Ihr ja noch etwas Feedback / Anregungen zu dem Thema.
Gruß,
Jörg
angeregt durch eine Anfrage hier im Forum habe ich gerade einen Artikel zum Thema DNS-Abfragen geschrieben.
Es geht letztendlich darum, Abfragen (nach bestimmten Hostnamen) Prozessen oder Diensten zuzuordnen. In meinem Beispiel sind das die wpad-Abfragen vom Proxydiscovery: Ursache für wpad DNS Abfragen ermitteln
Ob ich den Service deaktiviere, habe ich übrigens noch nicht entschieden. Mir war erst einmal wichtig zu wissen, wer mir da auf die Klötze geht. Vielleicht habt Ihr ja noch etwas Feedback / Anregungen zu dem Thema.
Gruß,
Jörg
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 641013
Url: https://administrator.de/knowledge/welcher-prozess-stellt-gewisse-dns-abfragen-641013.html
Ausgedruckt am: 20.04.2025 um 15:04 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
funktioniert super.
ich habe noch den Filter für die Abfrage etwas eingeengt:
Eine Liste der DNS-Statuscodes findet sich hier: https://docs.microsoft.com/en-us/windows/win32/debug/system-error-codes- ...
Die wesentlichen Codes sind sicher die folgenden.
Grüße
lcer
funktioniert super.
ich habe noch den Filter für die Abfrage etwas eingeengt:
QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID=22)]] and (*[EventData[@Name="QueryStatus"]="9003"]])</Select>
</Query>
</QueryList>Eine Liste der DNS-Statuscodes findet sich hier: https://docs.microsoft.com/en-us/windows/win32/debug/system-error-codes- ...
Die wesentlichen Codes sind sicher die folgenden.
9001 (0x2329) DNS_ERROR_RCODE_FORMAT_ERROR DNS server unable to interpret format.
9002 (0x232A) DNS_ERROR_RCODE_SERVER_FAILURE DNS server failure.
9003 (0x232B) DNS_ERROR_RCODE_NAME_ERROR DNS name does not exist.
9004 (0x232C) DNS_ERROR_RCODE_NOT_IMPLEMENTED DNS request not supported by name server.
9005 (0x232D) DNS_ERROR_RCODE_REFUSED DNS operation refused.
9006 (0x232E) DNS_ERROR_RCODE_YXDOMAIN DNS name that ought not exist, does exist.
9007 (0x232F) DNS_ERROR_RCODE_YXRRSET DNS RR set that ought not exist, does exist.
9008 (0x2330) DNS_ERROR_RCODE_NXRRSET DNS RR set that ought to exist, does not exist.
9009 (0x2331) DNS_ERROR_RCODE_NOTAUTH DNS server not authoritative for zone.
9010 (0x2332) DNS_ERROR_RCODE_NOTZONE DNS name in update or prereq is not in zone.
9016 (0x2338) DNS_ERROR_RCODE_BADSIG DNS signature failed to verify.
9017 (0x2339) DNS_ERROR_RCODE_BADKEY DNS bad key.
9018 (0x233A) DNS_ERROR_RCODE_BADTIME DNS signature validity expired.Grüße
lcer
Hallo,
freut mich. Wie gesagt - ich wollte das schon lange mal beschreiben, bin aber irgendwie nie dazu gekommen. Insofern: Danke für den Tritt!
Gruß,
Jörg
Übrigens: Wer war's denn?
freut mich. Wie gesagt - ich wollte das schon lange mal beschreiben, bin aber irgendwie nie dazu gekommen. Insofern: Danke für den Tritt!
Gruß,
Jörg
Übrigens: Wer war's denn?
