Ik heb ESET Smart Security op een van mijn pc's geïnstalleerd en ik kreeg onlangs een waarschuwingsbericht met het volgende:
Gedetecteerde DNS-cache Vergiftiging Aanval wordt gedetecteerd door de persoonlijke firewall van ESET
Whoops! Dat klonk zeker niet zo goed. Een DNS-cache-vergiftigingsaanval is in feite hetzelfde als DNS-spoofing, wat in feite betekent dat de cache voor de DNS-naamserver is aangetast en bij het aanvragen van een webpagina, in plaats van de echte server te krijgen, wordt het verzoek omgeleid naar een kwaadwillende computer die spyware kan downloaden of virussen naar de computer.
Ik besloot om een volledige antivirusscan uit te voeren en ook Malwarebytes te downloaden en ook een scan op malware uit te voeren. Geen van beide scanners kwam met iets, dus toen begon ik wat meer onderzoek te doen. Als u naar de bovenstaande schermafbeelding kijkt, ziet u dat het 'externe' IP-adres feitelijk een lokaal IP-adres is (192.168.1.1). Dat IP-adres is eigenlijk mijn router IP-adres! Dus mijn router vergiftigt mijn DNS-cache?
Niet echt! Volgens ESET kan het soms per ongeluk intern IP-verkeer van een router of een ander apparaat detecteren als een mogelijke bedreiging. Dit was absoluut het geval voor mij omdat het IP-adres een lokaal IP-adres was. Als u het bericht krijgt en uw IP-adres valt in een van onderstaande bereiken, dan is het alleen intern verkeer en hoeft u zich geen zorgen te maken:
192.168.xx
10.xxx
172.16.xx tot 172.31.xx
Als dit geen lokaal IP-adres is, scrollt u naar beneden voor verdere instructies. Eerst zal ik u laten zien wat u moet doen als het een lokaal IP-adres is. Ga je gang en open het ESET Smart Security-programma en ga naar het dialoogvenster Geavanceerde instellingen . Vouw Netwerk uit, dan Persoonlijke firewall en klik op Regels en zones .
Klik op de knop Instellingen onder Zone- en regeleditor en klik op het tabblad Zones . Klik nu op Adres uitgesloten van actieve bescherming (IDS) en klik op Bewerken .
Vervolgens verschijnt een dialoogvenster Zone- instellingen en hier wilt u klikken op IPv4-adres toevoegen .
Voer nu het IP-adres in dat is vermeld toen ESET de bedreiging detecteerde.
Klik een paar keer op OK om helemaal terug te gaan naar het hoofdprogramma. U zou geen bedreigingsberichten meer moeten ontvangen over DNS-aanvallen die afkomstig zijn van dat lokale IP-adres. Als het geen lokaal IP-adres is, betekent dit dat u mogelijk het slachtoffer bent van DNS-spoofing! In dat geval moet u uw Windows Hosts-bestand opnieuw instellen en de DNS-cache op uw systeem wissen.
De mensen bij ESET hebben een EXE-bestand gemaakt dat u kunt downloaden en uitvoeren om het oorspronkelijke Hosts-bestand te herstellen en de DNS-cache te wissen.
//support.eset.com/kb2933/
Als u hun EXE-bestand om welke reden dan ook niet wilt gebruiken, kunt u ook het volgende Fix It-download Microsoft gebruiken om het Hosts-bestand te herstellen:
//support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Om de DNS-cache op een Windows-pc handmatig te wissen, opent u de opdrachtprompt en typt u de volgende regel:
ipconfig / flushdns
Normaal gesproken zullen de meeste mensen nooit het slachtoffer worden van DNS-spoofing en het kan een goed idee zijn om de ESET-firewall uit te schakelen en gewoon de Windows-firewall te gebruiken. Ik heb persoonlijk ontdekt dat het te veel valse positieven oplevert en mensen bang maakt meer dan ze daadwerkelijk te beschermen. Genieten!
