我最近继承了一个公司网络,其中一个设备在连接到映射的网络驱动器时一直出错,并且与服务器时间有关的错误与计算机的时间不同。情况并非如此,但我发现了一个表格,人们将其归因于使用了错误的 DNS 服务器。我检查了计算机上的 DNS 设置,令我惊讶的是 DNS 服务器设置为环回 (127.0.0.1)。我没有意识到 Windows 计算机上安装了 DNS 服务器。
第一个问题,这是默认的 Windows 行为吗?
我使用 telnet 验证在 127.0.0.1:53 上确实有一个进程接受连接,并且确实如此。
第二个问题,我应该从恶意软件的角度关注这样的事情吗?
首先,不,这不是默认的 Windows 行为。Windows 客户端操作系统不附带 DNS 服务器。(基于 Windows Server 的操作系统可以,但桌面/客户端操作系统不可以。)
其次,是的,您可能想找出在该端口上侦听的服务并仔细查看它。第一步是netstat -a -b从命令提示符或 Powershell 运行。这将列出所有当前打开的连接和侦听端口,以及与它们关联的应用程序。这应该允许您确定哪个应用程序或服务正在侦听 UDP 53。
它运行自己的 DNS 服务器这一事实不一定表明存在恶意软件,但它肯定是恶意软件,因此我不会忽略它,并希望对其进行调查以更好地理解它。
正如维基百科文章所述,它可能是一个名为“ Internet 连接共享”的 Windows 服务,它“包括本地 DNS 解析器”。通过遵循 Xander 的回答,我发现这就是我的情况。