¿Por qué mi escritorio de Windows usa un servidor DNS en localhost?

4

Recientemente heredé una red corporativa y uno de los dispositivos siguió teniendo errores al conectarse a las unidades de red asignadas y los errores relacionados con la hora del servidor son diferentes a los de la computadora. Este no fue el caso, pero encontré un formulario donde las personas lo atribuyeron al uso del servidor DNS incorrecto. Verifiqué la configuración de DNS en la computadora y, para mi sorpresa, el servidor DNS estaba configurado para el bucle de retorno (127.0.0.1). No me di cuenta de que las computadoras con Windows tenían servidores DNS instalados.

Primera pregunta, ¿es este comportamiento predeterminado de Windows?

Usé telnet para verificar que en realidad hubo un proceso que acepta conexiones en 127.0.0.1:53 y así fue.

Segunda pregunta, ¿debería preocuparme algo como esto desde una perspectiva de malware?

    
pregunta MikeSchem 04.05.2018 - 18:13
fuente

1 respuesta

3

Primero, no, este no es el comportamiento predeterminado de Windows. Los sistemas operativos de cliente de Windows no se envían con un servidor DNS. (Los sistemas operativos basados en Windows Server sí, pero no los sistemas operativos de escritorio / cliente).

En segundo lugar, sí, es probable que desee saber qué servicio está escuchando en ese puerto y analizarlo con mayor detenimiento. El primer paso es ejecutar netstat -a -b desde un símbolo del sistema o Powershell. Esto mostrará una lista de todas las conexiones abiertas y puertos de escucha actuales, y las aplicaciones asociadas con ellos. Esto debería permitirte averiguar qué aplicación o servicio está escuchando en UDP 53.

El hecho de que ejecute su propio servidor DNS no es necesariamente una indicación de malware, pero ciertamente podría ser malware, por lo que no lo ignoraría y me gustaría investigarlo para entenderlo mejor.

    
respondido por el Xander 04.05.2018 - 21:05
fuente

Lea otras preguntas en las etiquetas