Tôi đã cài đặt ESET Smart Security trên một trong các máy tính cá nhân của mình và gần đây tôi nhận được thông báo cảnh báo cho biết:
Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall
Rất tiếc! Điều đó chắc chắn không có vẻ quá tốt. Một tấn công DNS độc hại về cơ bản giống như DNS giả mạo, về cơ bản có nghĩa là bộ nhớ cache của máy chủ DNS đã bị xâm nhập và khi yêu cầu một trang web, thay vì nhận được máy chủ thực, yêu cầu được chuyển đến một máy tính độc hại có thể tải xuống phần mềm gián điệp hoặc vi-rút vào máy tính.
Tôi quyết định thực hiện quét vi-rút đầy đủ và cũng đã tải xuống Malwarebytes và cũng đã quét phần mềm độc hại. Không quét được gì cả, vì vậy tôi bắt đầu nghiên cứu thêm một chút. Nếu bạn nhìn vào ảnh chụp màn hình ở trên, bạn sẽ thấy địa chỉ IP ‘từ xa’ thực sự là địa chỉ IP cục bộ (192.168.1.1). Địa chỉ IP đó thực sự là địa chỉ IP của bộ định tuyến của tôi! Vì vậy, bộ định tuyến của tôi đang đầu độc bộ đệm DNS của tôi?
Không thực sự! Theo ESET, đôi khi nó có thể vô tình phát hiện lưu lượng IP nội bộ từ một bộ định tuyến hoặc thiết bị khác như một mối đe dọa có thể xảy ra. Đây chắc chắn là trường hợp của tôi vì địa chỉ IP là một IP cục bộ. Nếu bạn nhận được thông báo và địa chỉ IP của bạn thuộc một trong các phạm vi dưới đây, thì đó chỉ là lưu lượng truy cập nội bộ và không cần phải lo lắng:
192.168.x.x
10.x.x.x
172.16.x.x to 172.31.x.x
Nếu đó không phải là địa chỉ IP cục bộ, hãy cuộn xuống để biết thêm hướng dẫn. Trước tiên, tôi sẽ cho bạn biết phải làm gì nếu đó là IP địa phương. Hãy tiếp tục và mở chương trình ESET Smart Security và đi tới hộp thoại Cài đặt nâng cao. Mở rộng Mạng, sau đó nhấp Tường lửa cá nhânvà nhấp vào Quy tắc và vùng.
Nhấp vào nút Thiết lậptrong Trình chỉnh sửa vùng và quy tắcvà nhấp vào tab Khu vực. Giờ hãy nhấp vào Địa chỉ bị loại trừ khỏi bảo vệ hoạt động (IDS)và nhấp Chỉnh sửa.
Tiếp theo hộp thoại Vùngthiết lậpsẽ xuất hiện và tại đây bạn muốn nhấp vào Thêm địa chỉ IPv4.
Bây giờ hãy tiếp tục và nhập địa chỉ IP được liệt kê khi ESET phát hiện mối đe dọa.
Nhấp OK một vài lần để quay trở lại chương trình chính. Bạn sẽ không còn nhận được bất kỳ thông điệp đe dọa nào về các cuộc tấn công ngộ độc DNS đến từ địa chỉ IP cục bộ đó. Nếu đó không phải là địa chỉ IP cục bộ, điều đó có nghĩa là bạn thực sự có thể là nạn nhân của việc giả mạo DNS! Trong trường hợp đó, bạn cần phải đặt lại tệp Windows Hosts và xóa bộ nhớ cache DNS trên hệ thống của mình.
Những người ở ESET đã tạo tệp EXE mà bạn có thể tải xuống và chạy để khôi phục tệp Máy chủ gốc và xóa bộ nhớ cache DNS.
https://support.eset.com/kb2933/
Nếu bạn không muốn sử dụng tệp EXE của họ vì bất kỳ lý do nào, bạn cũng có thể sử dụng tính năng Khắc phục sự cố sau tải xuống Microsoft để khôi phục tệp Máy chủ lưu trữ:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Để xóa bộ nhớ cache DNS theo cách thủ công trên PC Windows, hãy mở dấu nhắc lệnh và nhập như sau dòng:
ipconfig /flushdns
Thông thường hầu hết mọi người sẽ không bao giờ là nạn nhân của giả mạo DNS và có thể là một ý tưởng tốt để vô hiệu hóa tường lửa ESET và chỉ sử dụng tường lửa của Windows. Cá nhân tôi đã phát hiện ra rằng nó có quá nhiều kết quả dương tính giả và kết quả là làm người ta sợ hãi hơn là thực sự bảo vệ họ. Hãy tận hưởng!