¿Por qué mi escritorio de Windows usa un servidor DNS en localhost?

Question

¿Por qué mi escritorio de Windows usa un servidor DNS en localhost?

#1 de Xander (3 votos)

4

Recientemente heredé una red corporativa y uno de los dispositivos siguió teniendo errores al conectarse a las unidades de red asignadas y los errores relacionados con la hora del servidor son diferentes a los de la computadora. Este no fue el caso, pero encontré un formulario donde las personas lo atribuyeron al uso del servidor DNS incorrecto. Verifiqué la configuración de DNS en la computadora y, para mi sorpresa, el servidor DNS estaba configurado para el bucle de retorno (127.0.0.1). No me di cuenta de que las computadoras con Windows tenían servidores DNS instalados.

Primera pregunta, ¿es este comportamiento predeterminado de Windows?

Usé telnet para verificar que en realidad hubo un proceso que acepta conexiones en 127.0.0.1:53 y así fue.

Segunda pregunta, ¿debería preocuparme algo como esto desde una perspectiva de malware?

network malware windows dns virus

pregunta MikeSchem 04.05.2018 - 18:13

fuente

1 respuesta

Lea otras preguntas en las etiquetas network malware windows dns virus

Sin depurador, pero una tonelada de hilos “DbgUiRemoteBreakin” ¿Cuál sería una forma segura de manejar las solicitudes de contraseña en el shell?

score 3 · Accepted Answer

Primero, no, este no es el comportamiento predeterminado de Windows. Los sistemas operativos de cliente de Windows no se envían con un servidor DNS. (Los sistemas operativos basados en Windows Server sí, pero no los sistemas operativos de escritorio / cliente).

En segundo lugar, sí, es probable que desee saber qué servicio está escuchando en ese puerto y analizarlo con mayor detenimiento. El primer paso es ejecutar netstat -a -b desde un símbolo del sistema o Powershell. Esto mostrará una lista de todas las conexiones abiertas y puertos de escucha actuales, y las aplicaciones asociadas con ellos. Esto debería permitirte averiguar qué aplicación o servicio está escuchando en UDP 53.

El hecho de que ejecute su propio servidor DNS no es necesariamente una indicación de malware, pero ciertamente podría ser malware, por lo que no lo ignoraría y me gustaría investigarlo para entenderlo mejor.