Имам инсталиран ESET Smart Security на един от моите компютри и наскоро получих предупредително съобщение, което казва следното:

Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall

Опа! Това определено не звучеше много добре. Атаката с отравяне на DNS кеша е по същество същото нещо като DNS спуфинг, което основно означава, че кешът на DNS сървъра за имена е бил компрометиран и когато се иска уеб страница, вместо да се получи истинският сървър, заявката се пренасочва към злонамерен компютър, който може да изтегля шпионски софтуер или вируси към компютъра.

Реших да извърша пълно антивирусно сканиране и също така изтеглих Malwarebytes и направих сканиране за злонамерен софтуер. Нито едно сканиране не даде нищо, така че тогава започнах да правя малко повече проучвания. Ако погледнете екранната снимка по-горе, ще видите, че „отдалеченият“ IP адрес всъщност е локален IP адрес (192.168.1.1). Този IP адрес всъщност е моят IP адрес на рутера! Значи моят рутер отравя моя DNS кеш?

Не точно! Според ESET понякога може случайно да открие вътрешен IP трафик от рутер или друго устройство като възможна заплаха. Това определено беше така за мен, защото IP адресът беше локален IP. Ако получите съобщението и вашият IP адрес попада в един от тези диапазони по-долу, тогава това е просто вътрешен трафик и няма защо да се притеснявате:

192.168.x.x

10.x.x.x

172.16.x.x to 172.31.x.x

Ако не е локален IP адрес, превъртете надолу за допълнителни инструкции. Първо^(First) , ще ви покажа какво да правите, ако е локален IP. Продължете и отворете програмата ESET Smart Security и отидете в диалоговия прозорец Разширени настройки^{(Advanced Settings)} . Разгънете Мрежа^(Network) , след това Лична защитна стена^{(Personal Firewall )} и щракнете върху Правила и зони^{(Rules and zones)} .

Щракнете върху бутона Настройка^(Setup) под Редактор на зони и правила^{(Zone and rule editor)} и щракнете върху раздела Зони^(Zones) . Сега щракнете върху Адрес, изключен от активна защита (IDS)^{(Address excluded from active protection (IDS) )} и щракнете върху Редактиране^(Edit) .

След това ще се появи диалогов прозорец за настройка на ^(setup)зона^(Zone) и тук искате да щракнете върху Добавяне на IPv4 адрес^{(Add IPv4 address)} .

Сега продължете и въведете IP адреса, който е посочил, когато ESET откри заплахата.

Щракнете върху OK^{(Click OK)} няколко пъти, за да се върнете обратно към основната програма. Вече не трябва да получавате никакви заплахи за атаки с отравяне на DNS , идващи от този локален IP адрес. Ако не е локален IP адрес, това означава, че всъщност може да сте жертва на DNS спуфинг! В този случай трябва да нулирате вашия Windows Hosts файл и да изчистите DNS кеша на вашата система.

Хората от ESET създадоха EXE файл, който можете просто да изтеглите и стартирате, за да възстановите оригиналния файл Hosts и да изчистите DNS кеша.

https://support.eset.com/kb2933/

Ако не искате да използвате техния EXE файл по каквато и да е причина, можете също да използвате следното Fix It изтегляне на Microsoft , за да възстановите файла Hosts:

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

За да изчистите ръчно DNS кеша на компютър с Windows , отворете командния ред и въведете следния ред:

ipconfig /flushdns

Обикновено повечето хора никога няма да бъдат жертви на DNS спуфинг и може да е добра идея да деактивирате защитната стена на ESET и просто да използвате защитната стена на Windows . Аз лично открих, че това предизвиква твърде много фалшиви положителни резултати и в крайна сметка плаши хората повече, отколкото всъщност ги защитава. Наслади се!

Fix Detected DNS Cache Poisoning Attack Message

I hаve ESΕT Smart Security installed on one of my PCs and I reсently got an alert message saying thе following:

Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall

Whoops! That definitely didn’t sound too good. A DNS cache poisoning attack is basically the same thing as DNS spoofing, which basically means the DNS name server cache has been compromised and when requesting a webpage, instead of getting the real server, the request is redirected to a malicious computer that can download spyware or viruses to the computer.

I decided to perform a full anti-virus scan and also downloaded Malwarebytes and did a scan for malware too. Neither scan came up with anything, so then I started doing a little bit more research. If you look at the screenshot above, you’ll see that the ‘remote’ IP address is actually a local IP address (192.168.1.1). That IP address actually happens to be my router IP address! So my router is poisoning my DNS cache?

Not really! According to ESET, it can sometimes accidentally detect internal IP traffic from a router or other device as a possible threat. This was definitely the case for me because the IP address was a local IP. If you get the message and your IP address falls in an of these ranges below, then it’s just internal traffic and there is no need to worry:

192.168.x.x

10.x.x.x

172.16.x.x to 172.31.x.x

If it’s not a local IP address, scroll down for further instructions. First, I’ll show you what to do if it’s a local IP. Go ahead and open up the ESET Smart Security program and go to the Advanced Settings dialog. Expand Network, then Personal Firewall and click on Rules and zones.

Click on the Setup button under Zone and rule editor and click on the Zones tab. Now click on Address excluded from active protection (IDS) and click Edit.

Next a Zone setup dialog will appear and here you want to click on Add IPv4 address.

Now go ahead and type in the IP address that it listed when ESET detected the threat.

Click OK a couple of times to go all the way back to the main program. You should no longer get any threat messages about DNS poisoning attacks coming from that local IP address. If it’s not a local IP address, that means you might actually be a victim of DNS spoofing! In that case, you need to reset your Windows Hosts file and clear the DNS cache on your system.

The folks at ESET created an EXE file that you can just download and run to restore the original Hosts file and flush the DNS cache.

https://support.eset.com/kb2933/

If you don’t want to use their EXE file for whatever reason, you can also use the following Fix It download Microsoft to restore the Hosts file:

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

To manually clear the DNS cache on a Windows PC, open the command prompt and type in the following line:

ipconfig /flushdns

Normally most people will never be victims of DNS spoofing and it may be a good idea to disable the ESET firewall and just use the Windows firewall. I personally have found that it brings up too many false positives and ends up scaring people more than actually protecting them. Enjoy!

Related posts

• Поправете „Настройката подготвя компютъра ви за първа употреба“ при всяко рестартиране

• Как да коригирате грешката „RPC сървърът не е наличен“ в Windows

• Как да коригирате грешката „Защитата на ресурсите на Windows не може да изпълни исканата операция“

• Как да коригирам кода за грешка при GeForce Experience 0x0003

• Как да коригирате Amazon Fire Tablet, който не се зарежда

• Как да коригирате Err_Too_Many_Redirects в Google Chrome

• Как да коригираме грешката „Не можахме да завършим актуализациите“ в Windows

• Поправете „Не можах да намеря този елемент“ при изтриване в Windows

• Как да коригирате „Няма достатъчно ресурси за USB контролер“ в Windows 10

• Как да коригирате грешката „Няма маршрут“ на Discord

• Как да коригирате сривовете на Flash в Internet Explorer 11

• Как да коригирате грешката „Открита е промяна в мрежата“ в Google Chrome

• Как да коригирате грешката „Spotify не може да играе това в момента“.

• 9 начина за коригиране на грешката на Gboard спря да работи на iPhone и Android

• Как да коригираме грешките, които не работят в Discord TTS

• Как да коригирате грешката „Вашият компютър се сблъска с проблем и трябва да се рестартира“.

• Как да поправите, че камерата не работи в MS Teams в Windows 10

• Поправете планираната задача, която не се изпълнява за .BAT файл

• Каква е разликата между VPN и Smart DNS?

• Как да коригирате грешката „Не можа да се създаде виртуалната машина на Java“.