На одном из моих компьютеров установлена программа ESET Smart Security, и недавно я получил предупреждающее сообщение следующего содержания:
Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall
Упс! Это определенно звучало не слишком хорошо. Атака отравления DNS-кэша по сути аналогична подмене DNS, что по сути означает, что кеш DNS-сервера имен был скомпрометирован, и при запросе веб-страницы вместо получения реального сервера запрос перенаправляется на вредоносный компьютер, который может загрузить шпионское ПО. или вирусы на компьютер.
Я решил выполнить полную антивирусную проверку, а также скачал Malwarebytes и тоже проверил на наличие вредоносных программ. Ни одно сканирование ничего не дало, поэтому я начал проводить дополнительные исследования. Если вы посмотрите на скриншот выше, вы увидите, что «удаленный» IP-адрес на самом деле является локальным IP-адресом (192.168.1.1). Этот IP-адрес на самом деле является IP-адресом моего маршрутизатора! Значит, мой маршрутизатор отравляет мой кэш DNS?
Не совсем! По данным ESET, иногда он может случайно обнаружить внутренний IP-трафик от маршрутизатора или другого устройства как возможную угрозу. Это определенно имело место для меня, потому что IP-адрес был локальным IP-адресом. Если вы получили сообщение и ваш IP-адрес попадает в один из следующих диапазонов, то это всего лишь внутренний трафик, и вам не о чем беспокоиться:
192.168.x.x
10.x.x.x
172.16.x.x to 172.31.x.x
Если это не локальный IP-адрес, прокрутите вниз для получения дальнейших инструкций. Сначала я покажу вам, что делать, если это локальный IP. Откройте программу ESET Smart Security и перейдите в диалоговое окно Дополнительные настройки . Разверните Сеть , затем Персональный брандмауэр и нажмите Правила и зоны .
Нажмите кнопку Настройка в разделе Редактор зон и правил и перейдите на вкладку Зоны . Теперь нажмите Адрес исключен из активной защиты (IDS) и нажмите Изменить .
Далее появится диалоговое окно Зона настройка , в котором вы хотите нажать Добавить IPv4-адрес .
Теперь введите IP-адрес, который был указан, когда ESET обнаружила угрозу.
Нажмите «ОК» пару раз, чтобы вернуться в основную программу. Вы больше не должны получать сообщения об угрозах об атаках по отравлению DNS, исходящие с этого локального IP-адреса. Если это не локальный IP-адрес, это означает, что вы действительно можете стать жертвой подмены DNS! В этом случае вам необходимо сбросить файл хостов Windows и очистить кэш DNS в вашей системе..
Сотрудники ESET создали EXE-файл, который можно просто загрузить и запустить, чтобы восстановить исходный файл Hosts и очистить кэш DNS.
https://support.eset.com/kb2933/
Если вы по какой-либо причине не хотите использовать EXE-файл, вы также можете использовать следующую загрузку Fix It Microsoft для восстановления файла Hosts:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Чтобы вручную очистить кэш DNS на ПК с Windows, откройте командную строку и введите следующую строку:
ipconfig /flushdns
Обычно большинство людей никогда не становятся жертвами подмены DNS, поэтому может быть хорошей идеей отключить брандмауэр ESET и просто использовать брандмауэр Windows. Лично я обнаружил, что это вызывает слишком много ложных срабатываний и в конечном итоге больше пугает людей, чем реально их защищает. Наслаждайтесь!.