DNS Client 서비스 중지

다음은 winlogbeat의 5156(네트워크 연결) 보안 이벤트 연동 설정.

'winlog.event_data.DestPort:53' 조건을 걸면 DNS 조회를 시도한 프로세스만을 확인할 수 있다. 그런데 전부 svchost.exe?

윈도우는 'DNS Client' 서비스가 모든 DNS 조회 시도를 네트워크 레벨에서 대행한다. 그래서 DNS 조회를 시도한 실제 프로세스 정보를 확인하려면 해당 서비스를 중지해야 함.

그런데 중지가 안 된다

윈도우 8은 물론 윈도우 10 초기에도 서비스 중지가 됐었는데? 사실 기억 안 남

중지하려면 레지스트리(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Start)를 건드려야 한다. 값을 4(사용 안 함)로 바꾸자. 참고로 2는 자동, 3은 수동. 근데 수동으로 바꿔도 중지는 안 되더라.

시스템을 재시작하면 'DNS Clinet' 서비스가 중지됨.

이제 DNS 조회를 시도한 실제 프로세스 정보를 확인할 수 있다.

관련 글

• WSL2와 DNS Client 서비스
• Sysmon을 이용한 DNS 트래픽 추적
• Windows Event Log 분석(DNS Request)