iT邦幫忙

0

Windows 2008 R2 x64 之 dns.exe 產生大量UDP連線

dns
唬爛 2010-06-24 14:28:1917733 瀏覽

請問:
Windows 2008 R2 x64,有安裝DNS Service,日前以 netstat -a ,檢查連線,發現產生大量UDP連線
UDP 0.0.0.0:49647 *:*
:
UDP 0.0.0.0:52148 *:*
&
UDP [::]:52149 *:*
:
UDP [::]:54648 *:*
再以TcpView檢查,發現是dns.exe產生大量UDP連線
經Google搜尋,發現此問題在Windows 2000、2003、2008,都有此問題
有網友指出可下載下列更新解決
http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-008.mspx
但小弟下載後,發現此更新無法在Windows 2008 R2 x64執行
請教各位先進,是否有遇過類似問題 & 解決方法,謝謝
PS:Windows 2008 R2 x64的參考訊息好少喔,唉!!!

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

10
Ray
iT邦大神 1 級 ‧ 2010-06-24 16:16:56
最佳解答

MS09-008 並沒有針對 R2 推出更新檔, 您應該直接用 Windows Update 去取得 R2 的更新.

但其實, R2 不需要上 MS09-008 的更新, 即使你看到很多 UDP session, 由於 R2 並沒有這些弱點, 所以不會構成威脅. 如果你覺得看到很多 session 「會讓眼睛不舒服」, 可以考慮在外圍架設一個 UTM 防火牆, 來攔阻這些 DNS UDP 的攻擊.

登入發表回應
10
zyman2008
iT邦大師 6 級 ‧ 2010-06-24 21:51:43

Windows DNS server 產生大量 UDP socket 的原因, 是因為上了MS08-037 的 patch.
目的是為了抵擋 DNS Cache Poisoning 攻擊.
使用隨機的 socket 對外做 DNS query, 可以降低被 DNS cache poisoning 攻擊的偽
造回應封包命中的機率.

這是正常的現象不是 bug.

登入發表回應
4
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2010-06-29 19:15:04

你的大量連線,是外部進來?或是內部出去?
應該說,是外部要求你的DNS資料,或是內部對外要求DNS資料?

我最近碰到『假冒的真實IP』對我的DNS主機大量連線
連ISP也沒有辦法解決,只說會回報給電信警察去查

而我,只能『封鎖對方IP』

給您參考

唬爛 iT邦好手 1 級 ‧ 2010-06-29 19:23:58 檢舉

從 netstat -a 檢查,並不是連線產生,應該是Windows 2008 R2 x64自動產生的對外聆聽UDP Port

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙