Il mio firewall identifica una quantità insolita di traffico verso 8.8.4.4 dall'host 192.168.76.22 (un Mac OS X Server). All'interno di quel server, le connessioni di rete sono definite con un DNS primario che punta al server DNS del mio ISP e l'indirizzo secondario che punta al DNS pubblico di Google alla 8.8.8.8. Nessuna delle impostazioni in questo sistema è stata impostata per utilizzare 8.8.4.4.
Un altro post su Forensics - traccia l'origine della query DNS su host? suggerisce che potrei dover cambiare il resolver per trovare i processi colpevoli.
Ho controllato un domanda simile per assistenza, ma non ha trovato risposte utili in merito alla verifica dell'origine. Ho eseguito netstat e non ho identificato alcuna comunicazione a 8.8.4.4 elencata sull'output.
Mi chiedo:
1) Se esiste un registro di sistema che mi consente di identificare le informazioni necessarie
2) Se esiste un metodo più semplice rispetto alla sostituzione del resolver DNS del sistema
3) Come sostituire il resolver (se questo è assolutamente necessario)
Informazioni di sistema:
SO: Mac OS X 10.10.5
Versione dell'applicazione server: 5.0.3
Firewall: Watchguard XTM 505