私は最近企業ネットワークを継承しましたが、デバイスの1つがマップされたネットワークドライブへの接続エラーを続け、サーバーの時刻がコンピューターの時刻と異なるというエラーが発生しました。これは事実ではありませんでしたが、人々が間違ったDNSサーバーを使用したことが原因であるというフォームを見つけました。コンピューターのDNS設定を確認したところ、驚いたことにDNSサーバーがループバック(127.0.0.1)に設定されていました。 WindowsコンピューターにDNSサーバーがインストールされていることに気づきませんでした。
最初の質問、これはデフォルトのウィンドウの動作ですか?
Telnetを使用して、実際に127.0.0.1:53で接続を受け入れるプロセスがあったことを確認しました。
2番目の質問、マルウェアの観点からこのようなことについて心配する必要がありますか?
まず、いいえ、これはデフォルトのWindowsの動作ではありません。 WindowsクライアントオペレーティングシステムにはDNSサーバーが付属していません。 (Windows Serverベースのオペレーティングシステムではサポートされていますが、デスクトップ/クライアントOSではサポートされていません。)
次に、はい、おそらくそのポートでどのサービスがリッスンしているかを調べて、それをより詳しく調べたいと思います。ステップ1は、コマンドプロンプトまたはPowershellからnetstat -a -b
を実行することです。これにより、現在開いているすべての接続とリスニングポート、およびそれらに関連付けられているアプリケーションが一覧表示されます。これにより、UDP 53でリッスンしているアプリケーションまたはサービスを特定できます。
独自のDNSサーバーを実行しているという事実は必ずしもマルウェアを示すものではありませんが、それは確かにマルウェアである可能性があるため、無視することはせず、詳しく理解するために調査したいと思います。
Wikipediaの記事にあるように、「 インターネット接続の共有 」と呼ばれるWindowsサービスで、「ローカルDNSリゾルバーが含まれている」可能性があります。 Xanderの回答に従うことで、これが私に当てはまることを確認しました。