各位學長學姊好久不見
樓下新增個懶人包
想詢問一下目前我手上有一間學校
大致的網路環境是在地ISP -> 80C WAN-> 縣網 -> 略
80C WAN-> 學術網路 -> ZXCEL L2 SWITCH -> 辦公室、伺服器
80C LAN-> (1)DLINK L2 SWITCH -> 電腦教室電腦
-> (堆疊2)DLINK L2 SWITCH -> 電腦教室電腦
應該是當初派送的時候一併把病毒給派送整間電腦教室了
只要該電腦教室上課 全部電腦一開機
全校網路就被電腦教室的瘋狂連線DNS給搞癱瘓
即使我透過80C將DNS流量管控在3M內 就會造成電腦教室某些電腦會突然無法上網 顯示找不到DNS位址 自己猜測是自己連線的DNS造成網路癱瘓
雖然我不確定我防火牆的規則是否設置正確
80C新建流量管控規則DNS 上限3072 並在防火牆規則新增一條ANY至ANY的DNS服務並套用此流量管制規則 排序在第一筆

詢問了同事表示說他之前遇過 就是中毒 但是是綁在系統檔內 無法完全清除只能重灌
我用內建掃描則是掃不到毒 因為時間與環境因素無法使用其餘掃毒則先作罷
dism /online /cleanup-image /scanhealth則是顯示有元件可以修復
restorehealth則表示需要使用source修復 礙於時間與環境則先跳過 雖然這只是死馬當活馬醫

網路上查找相關資料
通常都是DNS被當跳板與DNS主機相關問題 找不到相關資訊
目前我也是懷疑中毒 畢竟中間參雜一些北京 美國等等IP

目前打算將電腦教室電腦重灌重新派送解決
但麻煩的是有觀察到有其他行政電腦也有DNS大量連線的資訊
想詢問關於此問題是否是中毒問題以及是否有辦法掃毒解決

01/04
補充說明一下:
電腦的DNS都是設定168.95.1.1跟8.8.8.8
有更改縣網的DNS後改瘋狂連線縣網DNS 現場環境無DNS SERVER

順便上個懶人包:

電腦教室開機後 防火牆流量直接飆到滿(100M) 查看電腦教室IP的連線都是整排的8.8.8.8 168.192.1.1(電腦設定的DNS 更改DNS設定後也會一起變動)
現場環境無DNS SERVER