Perché il mio desktop di Windows utilizza un server DNS su localhost?

Naviga le tue risposte
6

Recentemente ho ereditato una rete aziendale e uno dei dispositivi continuava ad avere errori di connessione a unità di rete mappate con errori relativi all'ora del server diversi dall'ora del computer. Questo non era il caso, ma ho trovato un modulo in cui la gente lo ha attribuito all'utilizzo del server DNS sbagliato. Ho controllato le impostazioni DNS sul computer e con mia sorpresa il server DNS è stato impostato su loopback (127.0.0.1). Non mi ero reso conto che i computer Windows avevano server DNS installati su di loro.

La prima domanda è il comportamento predefinito di Windows?

Ho usato telnet per verificare che in realtà ci fosse un processo che accetta le connessioni su 127.0.0.1:53 e lo era.

Seconda domanda, dovrei preoccuparmi di qualcosa di simile dal punto di vista del malware?

    
posta MikeSchem 04.05.2018 - 18:13
fonte

2 risposte

4

Innanzitutto, no, questo non è il comportamento predefinito di Windows. I sistemi operativi client Windows non vengono forniti con un server DNS. (I sistemi operativi basati su Windows Server funzionano, ma non i sistemi operativi desktop / client.)

In secondo luogo, sì, probabilmente vorrai scoprire quale servizio è in ascolto su quella porta e dare un'occhiata più da vicino. Il primo passo è eseguire netstat -a -b da un prompt dei comandi o PowerShell. Questo elencherà tutte le attuali connessioni aperte e le porte di ascolto e le applicazioni ad esse associate. Questo dovrebbe consentire di capire quale applicazione o servizio è in ascolto su UDP 53.

Il fatto che l'esecuzione del proprio server DNS non sia necessariamente un'indicazione di malware, ma sicuramente potrebbe essere malware, quindi non lo ignorerei e vorrei indagare per capirlo meglio.

    
risposta data 04.05.2018 - 21:05
fonte
2

Potrebbe trattarsi di un servizio Windows chiamato " Condivisione connessione Internet ", che "include un resolver DNS locale", come afferma l'articolo di Wikipedia. Ho identificato che questo è stato il mio caso seguendo la risposta di Xander.

    
risposta data 03.01.2019 - 15:51
fonte

Leggi altre domande sui tag

Quote del disco dei requisiti di sicurezza Come distinguere tra la scansione della porta "normale internet" e la scansione della porta "seria" più preparando l'attacco?