ESET Smart Security est installé sur l’un de mes ordinateurs et j’ai récemment reçu un message d’alerte indiquant ce qui suit:
Détection d'une attaque par empoisonnement dans le cache DNS détectée par le pare-feu personnel ESET
Oups! Cela ne sonne vraiment pas trop bien. Une attaque par empoisonnement de cache DNS est fondamentalement la même chose qu'une usurpation DNS, ce qui signifie essentiellement que le cache du serveur de noms DNS a été compromis et que, lors de la demande d'une page Web, la demande est redirigée vers un ordinateur malveillant capable de télécharger des logiciels espions. ou des virus à l'ordinateur.
J'ai décidé d'effectuer une analyse antivirus complète, de télécharger Malwarebytes et de rechercher les logiciels malveillants. Aucune analyse n'a abouti à quoi que ce soit, alors j'ai commencé à faire un peu plus de recherches. Si vous regardez la capture d'écran ci-dessus, vous verrez que l'adresse IP "distante" est en réalité une adresse IP locale (192.168.1.1). Cette adresse IP se trouve être mon adresse IP de routeur! Donc, mon routeur empoisonne mon cache DNS?
Pas vraiment! Selon ESET, il est parfois possible que le trafic IP interne d'un routeur ou d'un autre périphérique soit détecté accidentellement comme une menace. Ce fut certainement le cas pour moi car l'adresse IP était une adresse IP locale. Si vous recevez le message et que votre adresse IP se situe dans l'une des fourchettes ci-dessous, il ne s'agit que du trafic interne et vous n'avez pas à vous inquiéter:
192.168.xx
10.xxx
172.16.xx à 172.31.xx
Si ce n'est pas une adresse IP locale, faites défiler pour plus d'instructions. Premièrement, je vais vous montrer ce qu'il faut faire s'il s'agit d'une adresse IP locale. Allez-y et ouvrez le programme ESET Smart Security et accédez à la boîte de dialogue Paramètres avancés . Développez Réseau, puis Pare - feu personnel et cliquez sur Règles et zones .
Cliquez sur le bouton Configuration sous Editeur de zones et de règles et cliquez sur l'onglet Zones . Maintenant, cliquez sur Adresse exclue de la protection active (IDS) et cliquez sur Modifier .
Ensuite, une boîte de dialogue de configuration de zone apparaît et vous souhaitez cliquer sur Ajouter une adresse IPv4 .
Continuez maintenant et tapez l’adresse IP indiquée lors de la détection de la menace par ESET.
Cliquez plusieurs fois sur OK pour revenir au programme principal. Vous ne devriez plus recevoir de message de menace concernant les attaques par empoisonnement DNS provenant de cette adresse IP locale. Si ce n'est pas une adresse IP locale, cela signifie que vous pourriez en fait être victime d'usurpation DNS! Dans ce cas, vous devez réinitialiser votre fichier d'hôtes Windows et effacer le cache DNS sur votre système.
Les personnes chez ESET ont créé un fichier EXE que vous pouvez simplement télécharger et exécuter pour restaurer le fichier Hosts d'origine et vider le cache DNS.
//support.eset.com/kb2933/
Si vous ne souhaitez pas utiliser leur fichier EXE pour une raison quelconque, vous pouvez également utiliser le correctif suivant, téléchargez-le pour Microsoft pour restaurer le fichier Hosts:
//support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Pour effacer manuellement le cache DNS sur un PC Windows, ouvrez l'invite de commande et tapez la ligne suivante:
ipconfig / flushdns
Normalement, la plupart des gens ne seront jamais victimes d'usurpation DNS et il peut être judicieux de désactiver le pare-feu ESET et d'utiliser simplement le pare-feu Windows. J'ai personnellement constaté que cela suscitait trop de faux positifs et finissait par effrayer davantage les gens que de les protéger. Prendre plaisir!