如何用app/process检测特定的dns请求?

分享于 

1分钟阅读

互联网

 

问题:

我们网络中有一台计算机,它不断地发送给8.8.8.8 dns请求,

我的问题是,如何在计算机上查找异常DNS请求?


答案1:

如果应用程序/进程持续运行,就可以使用以下命令:


netstat -tapvln | grep 8.8.8.8



它需要作为root运行,因为-p标志表示显示进程ID。


watch netstat -tapvln | grep 8.8.8.8




答案2:

Microsoft Sysmon有DNS日志。

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

可以使用配置文件启用它。

Sysmon.xml:


<Sysmon schemaversion="4.21">


 <EventFiltering>


 <DnsQuery onmatch="exclude" />


 </EventFiltering>


</Sysmon>



要安装:


sysmon.exe -accepteula -i sysmon.xml





MAKE  spec  Detect  Request  DNS  
相关文章