Windows注册表锁定DNS:修订间差异

来自三线的随记
(创建页面,内容为“症状:用户设备无论是通过DHCP服务获取的DNS服务器,还是自己手动在适配器指定的DNS服务器都无法生效,通过wireshark捕获流量…”)
 
无编辑摘要
 
(未显示同一用户的11个中间版本)
第1行: 第1行:
症状:用户设备无论是通过DHCP服务获取的DNS服务器,还是自己手动在适配器指定的DNS服务器都无法生效,通过wireshark捕获流量分析显示DNS请求均被发往了别处的DNS服务器
<blockquote>确诊是奇游加速器导致</blockquote>症状:用户设备无论是通过DHCP服务获取的DNS服务器,还是自己手动在适配器指定的DNS地址都无法生效,通过wireshark捕获流量分析显示ping命令的DNS请求均被发往了别处的DNS服务器,但是nslookup命令解析正常
[[文件:20180828DNS.jpg|700px|无框|无]]
 


排查用户安装的软件并无异常,检查arp -a , route print无异常
排查用户安装的软件并无异常,检查arp -a , route print无异常
第6行: 第8行:


全注册表值搜索
全注册表值搜索
发现个有趣的东西
计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dnscache\Parameters\DnsPolicyConfig
[[文件:Regedit dns.jpg|无|缩略图|500x500像素]]
对比wireshark结果,确定是此键值的锅
[[文件:20180828.jpg|无框|700x700像素]]
删除键值解决
引申:DNS深度劫持新骚操作?
[[文件:DnsRegedit.jpg|无框|700x700像素]]
[[分类:Windows]]

2018年9月17日 (一) 12:54的最新版本

确诊是奇游加速器导致

症状:用户设备无论是通过DHCP服务获取的DNS服务器,还是自己手动在适配器指定的DNS地址都无法生效,通过wireshark捕获流量分析显示ping命令的DNS请求均被发往了别处的DNS服务器,但是nslookup命令解析正常


排查用户安装的软件并无异常,检查arp -a , route print无异常

毫无头绪,开始死马当活马医, 打开注册表 regedit

全注册表值搜索

发现个有趣的东西

计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dnscache\Parameters\DnsPolicyConfig

对比wireshark结果,确定是此键值的锅

删除键值解决


引申:DNS深度劫持新骚操作?