Behebung einer erkannten DNS Cache Poisoning Attack Message


Ich habe ESET Smart Security auf einem meiner PCs installiert und habe kürzlich eine Warnmeldung erhalten, in der Folgendes steht:

Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall

detected dns cache attack

Hoppla! Das klang definitiv nicht gut. Ein DNS-Cache-Poisoning-Angriff ist im Grunde dasselbe wie DNS-Spoofing, was bedeutet, dass der DNS-Nameserver-Cache kompromittiert wurde. Wenn Sie eine Webseite anfordern, wird die Anfrage an einen bösartigen Computer weitergeleitet, der Spyware herunterladen kann oder Viren auf den Computer.

Ich entschied mich für eine vollständige Anti-Virus-Scan und heruntergeladen Malwarebytes und hat auch eine Suche nach Malware. Bei keinem der beiden Scans wurde etwas gefunden, also habe ich ein bisschen mehr geforscht. Wenn Sie sich den obigen Screenshot ansehen, sehen Sie, dass die "Remote" IP-Adresse tatsächlich eine lokale IP-Adresse (192.168.1.1) ist. Diese IP-Adresse ist tatsächlich meine Router-IP-Adresse! Also vergiftet mein Router meinen DNS-Cache?

Nicht wirklich! Laut ESET kann es gelegentlich vorkommen, dass interner IP-Verkehr von einem Router oder einem anderen Gerät als mögliche Bedrohung erkannt wird. Dies war definitiv der Fall für mich, weil die IP-Adresse eine lokale IP war. Wenn Sie die Nachricht erhalten und Ihre IP-Adresse in einen der folgenden Bereiche fällt, handelt es sich nur um internen Datenverkehr, und Sie müssen sich keine Sorgen machen:

192.168.x.x
10.x.x.x
172.16.x.x to 172.31.x.x

Wenn es sich nicht um eine lokale IP-Adresse handelt, scrollen Sie nach unten, um weitere Anweisungen zu erhalten. Zuerst zeige ich Ihnen, was zu tun ist, wenn es sich um eine lokale IP handelt. Öffnen Sie das ESET Smart Security-Programm und wechseln Sie zum Dialogfeld Erweiterte Einstellungen. Erweitern Sie Netzwerk, dann Personal Firewallund klicken Sie auf Regeln und Zonen.

Eset Regeln

Klicken Sie auf die Schaltfläche Einrichtenunter Zonen- und Regeleditorund klicken Sie auf die Registerkarte Zonen. Klicken Sie nun auf Vom aktiven Schutz (IDS) ausgeschlossene Adresseund klicken Sie auf Bearbeiten.

Eset Regeln Zonen

Als Nächstes wird ein ZoneSetup-Dialog angezeigt und hier klicken Sie auf IPv4-Adresse hinzufügen.

Zonen-IP-Adresse

Geben Sie nun die IP-Adresse ein, die bei der Erkennung der Bedrohung von ESET aufgelistet wurde.

Remote-IP-Adresse

Klicken Sie ein paar Mal auf OK, um zum Hauptprogramm zurückzukehren. Sie sollten keine Bedrohungsnachrichten mehr über DNS-Poisoning-Angriffe von dieser lokalen IP-Adresse erhalten. Wenn es sich nicht um eine lokale IP-Adresse handelt, bedeutet das, dass Sie möglicherweise Opfer von DNS-Spoofing geworden sind! In diesem Fall müssen Sie Ihre Windows-Hosts-Datei zurücksetzen und den DNS-Cache auf Ihrem System löschen.

Die Leute von ESET haben eine EXE-Datei erstellt, die Sie einfach herunterladen und ausführen können, um die ursprüngliche Hosts-Datei wiederherzustellen Leeren Sie den DNS-Cache.

https://support.eset.com/kb2933/

Wenn Sie die EXE-Datei aus irgendeinem Grund nicht verwenden möchten, können Sie auch das folgende Fix It verwenden Laden Sie Microsoft herunter, um die Host-Datei wiederherzustellen:

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

Um den DNS-Cache auf einem Windows-PC manuell zu löschen, öffnen Sie die Eingabeaufforderung und geben Sie Folgendes ein Linie:

ipconfig /flushdns

Normalerweise werden die meisten Leute niemals Opfer von DNS-Spoofing sein und es könnte eine gute Idee sein, die ESET-Firewall zu deaktivieren und einfach die Windows-Firewall zu verwenden. Ich persönlich habe herausgefunden, dass es zu viele falsche positive Ergebnisse bringt und die Leute mehr erschreckt, als sie tatsächlich zu schützen. Viel Spaß!

Zusammenhängende Posts:


11.10.2012