Tôi đã cài đặt ESET Smart Security trên một trong các PC của mình và gần đây tôi nhận được thông báo cảnh báo như sau:

Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall

Rất tiếc! Điều đó chắc chắn không quá tốt. Một cuộc tấn công đánh cắp bộ nhớ cache DNS về cơ bản cũng giống như giả mạo DNS , về cơ bản có nghĩa là bộ nhớ cache của máy chủ định danh ^(DNS)DNS đã bị xâm phạm và khi yêu cầu một trang web, thay vì nhận được máy chủ thực, yêu cầu được chuyển hướng đến một máy tính độc hại có thể tải xuống phần mềm gián điệp hoặc vi rút vào máy tính.

Tôi đã quyết định thực hiện quét toàn bộ phần mềm chống vi-rút, đồng thời tải xuống Malwarebytes và quét phần mềm độc hại nữa. Cả hai lần quét đều không tạo ra bất cứ điều gì, vì vậy sau đó tôi bắt đầu nghiên cứu thêm một chút. Nếu bạn nhìn vào ảnh chụp màn hình ở trên, bạn sẽ thấy rằng địa chỉ IP 'từ xa' thực sự là một địa chỉ IP cục bộ (192.168.1.1). Địa chỉ IP đó thực sự là địa chỉ IP bộ định tuyến của tôi! Vì vậy, bộ định tuyến của tôi đang đầu độc bộ nhớ cache DNS của tôi?^(DNS)

Không hẳn! Theo ESET , đôi khi nó có thể vô tình phát hiện lưu lượng IP nội bộ từ bộ định tuyến hoặc thiết bị khác như một mối đe dọa có thể xảy ra. Đây chắc chắn là trường hợp của tôi vì địa chỉ IP là IP cục bộ. Nếu bạn nhận được thông báo và địa chỉ IP của bạn nằm trong các phạm vi dưới đây, thì đó chỉ là lưu lượng truy cập nội bộ và không cần phải lo lắng:

192.168.x.x

10.x.x.x

172.16.x.x to 172.31.x.x

Nếu đó không phải là địa chỉ IP cục bộ, hãy cuộn xuống để được hướng dẫn thêm. Đầu tiên^(First) , tôi sẽ chỉ cho bạn những việc cần làm nếu đó là một IP cục bộ. Hãy tiếp tục và mở chương trình ESET Smart Security và đi tới hộp thoại Cài đặt nâng cao^{(Advanced Settings)} . Mở rộng Mạng^(Network) , sau đó là Tường lửa Cá nhân^{(Personal Firewall )} và nhấp vào Quy tắc và khu vực^{(Rules and zones)} .

Nhấp vào nút Thiết lập trong Trình chỉnh sửa ^(Setup)quy tắc và khu vực^{(Zone and rule editor)} và nhấp vào tab Khu vực^(Zones) . Bây giờ hãy nhấp vào Địa chỉ bị loại trừ khỏi bảo vệ tích cực (IDS)^{(Address excluded from active protection (IDS) )} và nhấp vào Chỉnh sửa^(Edit) .

Tiếp theo một hộp thoại Thiết lập ^(setup)vùng^(Zone) sẽ xuất hiện và tại đây bạn muốn nhấp vào Thêm địa chỉ IPv4^{(Add IPv4 address)} .

Bây giờ, hãy tiếp tục và nhập địa chỉ IP mà nó đã liệt kê khi ESET phát hiện ra mối đe dọa.

Bấm OK^{(Click OK)} một vài lần để quay lại chương trình chính. Bạn sẽ không còn nhận được bất kỳ thông báo đe dọa nào về các cuộc tấn công nhiễm độc DNS đến từ địa chỉ IP cục bộ đó. Nếu đó không phải là địa chỉ IP cục bộ, điều đó có nghĩa là bạn có thể thực sự là nạn nhân của việc giả mạo DNS ! Trong trường hợp đó, bạn cần đặt lại tệp Máy chủ ^(Hosts)Windows và xóa bộ nhớ cache DNS trên hệ thống của mình.^(DNS)

Các thành viên tại ESET đã tạo một tệp EXE mà bạn có thể tải xuống và chạy để khôi phục tệp Máy chủ ban đầu và xóa bộ nhớ cache DNS .

https://support.eset.com/kb2933/

Nếu bạn không muốn sử dụng tệp EXE của họ vì bất kỳ lý do gì, bạn cũng có thể sử dụng ^(EXE)Microsoft Fix It tải xuống sau để khôi phục tệp Máy chủ:

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

Để xóa thủ công bộ đệm DNS trên PC ^(DNS)Windows , hãy mở dấu nhắc lệnh và nhập vào dòng sau:

ipconfig /flushdns

Thông thường, hầu hết mọi người sẽ không bao giờ là nạn nhân của việc giả mạo DNS và có thể là một ý tưởng hay nếu bạn tắt tường lửa ESET và chỉ sử dụng tường lửa Windows . Cá nhân tôi nhận thấy rằng nó mang lại quá nhiều dương tính giả và cuối cùng khiến mọi người sợ hãi hơn là thực sự bảo vệ họ. Vui thích!

Fix Detected DNS Cache Poisoning Attack Message

I hаve ESET Smart Secυrity installed on one of my РCs and I rеcеntly got an alert message sаying the following:

Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall

Whoops! That definitely didn’t sound too good. A DNS cache poisoning attack is basically the same thing as DNS spoofing, which basically means the DNS name server cache has been compromised and when requesting a webpage, instead of getting the real server, the request is redirected to a malicious computer that can download spyware or viruses to the computer.

I decided to perform a full anti-virus scan and also downloaded Malwarebytes and did a scan for malware too. Neither scan came up with anything, so then I started doing a little bit more research. If you look at the screenshot above, you’ll see that the ‘remote’ IP address is actually a local IP address (192.168.1.1). That IP address actually happens to be my router IP address! So my router is poisoning my DNS cache?

Not really! According to ESET, it can sometimes accidentally detect internal IP traffic from a router or other device as a possible threat. This was definitely the case for me because the IP address was a local IP. If you get the message and your IP address falls in an of these ranges below, then it’s just internal traffic and there is no need to worry:

192.168.x.x

10.x.x.x

172.16.x.x to 172.31.x.x

If it’s not a local IP address, scroll down for further instructions. First, I’ll show you what to do if it’s a local IP. Go ahead and open up the ESET Smart Security program and go to the Advanced Settings dialog. Expand Network, then Personal Firewall and click on Rules and zones.

Click on the Setup button under Zone and rule editor and click on the Zones tab. Now click on Address excluded from active protection (IDS) and click Edit.

Next a Zone setup dialog will appear and here you want to click on Add IPv4 address.

Now go ahead and type in the IP address that it listed when ESET detected the threat.

Click OK a couple of times to go all the way back to the main program. You should no longer get any threat messages about DNS poisoning attacks coming from that local IP address. If it’s not a local IP address, that means you might actually be a victim of DNS spoofing! In that case, you need to reset your Windows Hosts file and clear the DNS cache on your system.

The folks at ESET created an EXE file that you can just download and run to restore the original Hosts file and flush the DNS cache.

https://support.eset.com/kb2933/

If you don’t want to use their EXE file for whatever reason, you can also use the following Fix It download Microsoft to restore the Hosts file:

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

To manually clear the DNS cache on a Windows PC, open the command prompt and type in the following line:

ipconfig /flushdns

Normally most people will never be victims of DNS spoofing and it may be a good idea to disable the ESET firewall and just use the Windows firewall. I personally have found that it brings up too many false positives and ends up scaring people more than actually protecting them. Enjoy!

Related posts

• Khắc phục sự cố “Thiết lập đang chuẩn bị cho máy tính của bạn để sử dụng lần đầu tiên” trên mỗi lần khởi động lại

• Cách khắc phục Lỗi 'Máy chủ RPC không khả dụng' trong Windows

• Cách khắc phục lỗi “Bảo vệ tài nguyên Windows không thể thực hiện thao tác được yêu cầu”

• Cách khắc phục Mã lỗi trải nghiệm GeForce 0x0003

• Cách khắc phục máy tính bảng Amazon Fire không sạc được

• 9 cách để khắc phục lỗi Gboard bị dừng hoạt động trên iPhone và Android

• Cách khắc phục lỗi “Không thể tạo máy ảo Java”

• Sửa tác vụ đã lên lịch không chạy cho tệp .BAT

• Cách khắc phục thông báo Instagram không hoạt động

• Khắc phục lỗi “Không thể đọc hướng dẫn tại bộ nhớ được tham chiếu”

• Cách khắc phục “Có vấn đề với giấy phép Office của bạn”

• Cách khắc phục Thanh tác vụ Windows 10 không hoạt động

• Cách sửa các phím bàn phím Windows ngừng hoạt động

• Cách khắc phục lỗi “Đã phát hiện thay đổi mạng” trong Google Chrome

• Cách sửa lỗi Status_access_violation trong Chrome hoặc Edge

• Khắc phục lỗi “Windows không thể giao tiếp với thiết bị hoặc tài nguyên”

• Cách vào chế độ an toàn trong Outlook để khắc phục sự cố

• Cách khắc phục Lỗi “Windows không thể hoàn thành định dạng”

• Cách sửa lỗi Cửa hàng Google Play

• Khắc phục lỗi “Không thể đọc từ tệp nguồn hoặc đĩa”