技术分享 系统开机有异常网络链接占用问题分析 [复制链接]

小痞子
三国LV9
技术中心 23260 0 2019-9-4 12:08:29
问题现象:近日收到技术反馈,为啥派网路由上显示网吧系统开机的时候有访问www.msftncsi.com以及dns.msftncsi.com这个网站?而在客户机上又抓不到是哪个程序访问的,刷的一下很快就没了。
排查方法:
通常遇到这类问题,首先需要反复开机测试该问题的几率,当实际测试是100%出现的时候,则需要首先在客户机ping或者用nslookup命令,取得该域名所对应的IP地址
2在获取IP地址后,那么则需要检查PC机器的应用程序网络监听状态,可以使用netstat -ao命令或者PChunter网络功能进行查看。PChunter可以直接查看到进程的ID(也叫PID、身份标识符),那么很快可以查到哪个程序访问
11.png
而netstat -ao命令中,第一列是协议、第二列本地地址、第三列远程地址、第四列状态、第五列进程PID
12.png
3如果程序启动非常快的消失了,可以试用ProcessMonitor功能开机完成抓取过程,可以试用命令行的方式静默启动。例如C:\Tool\ProcessMonitor.exe /Minimized /Quiet /Accepteula,三个参数分别是自动接受用户协议、不显示筛选器对话框、最小化方式启动。
13.png
我们通过日志发现是svchost.exe,访问的www.msftncsi.com。通过查阅相关资料发现这个域名发现是微软系统的NCSI网络判断机制时候所用的。微软的相关说法为:
14.png
解决方法:了解NCSI判断机制后,如果想要解决的话也比较简单,可以修改注册表禁用NCSI服务HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet,将EnableActiveProbing数值改成0,默认为1。重启计算机即可解决了解NCSI判断机制后,如果想要解决的话也比较简单,可以修改注册表禁用NCSI服务HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet,将EnableActiveProbing数值改成0,默认为1。重启计算机即可解决
您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29070 个
  • 话题数: 9636 篇
  • 巅峰数: 5500 人