最近遇到一个 dns 不通的问题,求助大家,请大家给一些思路:
windows11 在连续开机几天后,就会出现 dns 不通的问题。准确来说,是 53 端口的 udp 不通,导致所有 dns 查询失败。重启后能解决,但是几天后又会出现。
我排查了好久都没找到原因。
出现问题后:
-
有尝试过在另一台电脑上,打开一个 udp 程序在 53 端口侦听,本机使用一个 udp 程序发数据,收不到。但是 如果换在 52 、54 端口测试,又能收到——说明只影响了 53 端口。
-
本机 wireshark 抓包,发现网卡根本没有发送出去 udp 53 的任何包。
-
使用 windows 自带的 pktmon start --etw -m real-time 命令抓网络事件,发现了大量的:
[04]11898.FC4C::2025-12-19 16:31:25.226036300 [Microsoft-Windows-PktMon] 事件: 170, 级别: 4 信息 , 关键字: 0x10 Payload, 丢弃:PktGroupId 1125899906843333 、PktNumber 1 、外观 0 、方向 Tx 、类型 IP 、组件 241 、筛选 1 、DropReason Inspection absorb 、DropLocation 0xE0004170 、OriginalSize 68 、LoggedSize 68
删除:ip: (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto UDP (17), length 68)
192.168.11.144.49537 > 192.168.11.15.53: 40723+ A? cpgbackup.logitech.com. (40)
类似这样的 dns 查询被 DropReason Inspection absorb 的日志。
我个人偏向于在本机,可能存在一个 WFP 规则,或者驱动,在连续几天运行的情况下出 bug ,把这个 53 的 udp 包吃掉了。上面的日志的“组件 241”可能是一个线索,但是我不知道怎么找到“组件 241”。
AI 说可能是抓包工具、网络防护软件注册的规则,把包阻挡了。试过卸载这些软件,无效。
有使用 netsh wfp show filters 导出所有的 filters ,但是文件很大,用工具删选了一下,主要是对规则是 53 这个特征删选,发现所有的相关的规则都是 permit 。
我想问:
有没有办法找到这个组件 241 。AI 工具给出的命令都是错误的。
 |
1
superkkk 4 天前
你本机 53 端口起了个自己的 dns 服务,然后网络的 dns 改成 127.0.0.1 了?我也发现 windows11 有这个弱智操作了。把 ipv6 关了,然后 pwsh 执行忘了啥命令了就好了。好像和 WFP 有关
|
 |
2
birdvdsk 4 天前 via Android
这里是 wfp 浏览器,dump wfp 发出来给大家瞧瞧怎么样。
https://github.com/zodiacon/WFPExplorer |
 |
4
julyclyde 1 天前
作为客户端并不需要“从 53”发送数据啊
只是“发给 53”而已 为什么这种也会被干扰? |
Select Language