ESET Smart Security est installé sur l’un de mes ordinateurs et j’ai récemment reçu un message d’alerte indiquant ce qui suit:
Détection d'empoisonnement dans le cache DNS détectée par le pare-feu personnel ESET
Oups! Cela ne sonne vraiment pas trop bien. Une attaque par empoisonnement de cache DNS est fondamentalement la même chose qu'une usurpation DNS, ce qui signifie essentiellement que le cache du serveur de noms DNS a été compromis. Lors de la demande d'une page Web, la demande est redirigée vers un ordinateur malveillant capable de télécharger un logiciel espion. ou des virus à l'ordinateur.
J'ai décidé de lancer une analyse antivirus complète, de télécharger Malwarebytes et de rechercher les logiciels malveillants. Aucune analyse n'a abouti à quoi que ce soit, alors j'ai commencé à faire un peu plus de recherches. Si vous regardez la capture d'écran ci-dessus, vous verrez que l'adresse IP "distante" est en réalité une adresse IP locale (192.168.1.1). Cette adresse IP se trouve être mon adresse IP de routeur! Donc, mon routeur empoisonne mon cache DNS?
Pas vraiment! Selon ESET, il est parfois possible que le trafic IP interne d'un routeur ou d'un autre périphérique soit détecté accidentellement comme une menace. Ce fut certainement le cas pour moi car l'adresse IP était une adresse IP locale. Si vous recevez le message et que votre adresse IP se situe dans l'une des fourchettes ci-dessous, il ne s'agit que du trafic interne et vous n'avez pas à vous inquiéter:
192.168.x.x
10.x.x.x
172.16.x.x à 172.31.x.x
Si ce n'est pas une adresse IP locale, faites défiler pour plus d'instructions. Tout d'abord, je vais vous montrer ce qu'il faut faire s'il s'agit d'une adresse IP locale. Allez-y et ouvrez le programme ESET Smart Security et allez à la Réglages avancés dialogue. Développer Réseau, puis Pare-feu personnel et cliquez sur Règles et zones.
Clique sur le Installer bouton sous Editeur de zones et de règles et cliquez sur le Zones languette. Maintenant, cliquez sur Adresse exclue de la protection active (IDS) et cliquez modifier.
Suivant un Zone installer Une boîte de dialogue apparaît et vous souhaitez cliquer sur Ajouter une adresse IPv4.
Continuez maintenant et tapez l’adresse IP indiquée lors de la détection de la menace par ESET.
Cliquez plusieurs fois sur OK pour revenir au programme principal. Vous ne devriez plus recevoir de message de menace concernant les attaques par empoisonnement DNS provenant de cette adresse IP locale. Si ce n'est pas une adresse IP locale, cela signifie que vous pourriez en fait être victime d'usurpation DNS! Dans ce cas, vous devez réinitialiser votre fichier d'hôtes Windows et effacer le cache DNS sur votre système.
Les personnes chez ESET ont créé un fichier EXE que vous pouvez simplement télécharger et exécuter pour restaurer le fichier Hosts d'origine et vider le cache DNS.
https://support.eset.com/kb2933/
Si vous ne souhaitez pas utiliser leur fichier EXE pour une raison quelconque, vous pouvez également utiliser le correctif suivant, téléchargez-le pour Microsoft pour restaurer le fichier Hosts:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Pour effacer manuellement le cache DNS sur un PC Windows, ouvrez l'invite de commande et tapez la ligne suivante:
ipconfig / flushdns
Normalement, la plupart des gens ne seront jamais victimes d'usurpation DNS et il peut être judicieux de désactiver le pare-feu ESET et d'utiliser simplement le pare-feu Windows. J'ai personnellement constaté que cela suscitait trop de faux positifs et finissait par effrayer davantage les gens que de les protéger. Prendre plaisir!