Tengo ESET Smart Security instalado en una de mis PC y recientemente recibí un mensaje de alerta que decía lo siguiente:
Detected DNS Cache Poisoning Attack is detected by the ESET personal firewall
¡Ups! Eso definitivamente no sonó muy bien. Un ataque de envenenamiento de la caché de DNS es básicamente lo mismo que la suplantación de DNS, lo que básicamente significa que la caché del servidor de nombres DNS se ha visto comprometida y, al solicitar una página web, en lugar de obtener el servidor real, la solicitud se redirige a una computadora maliciosa que puede descargar software espía. o virus a la computadora.
Decidí realizar un análisis antivirus completo y también descargué Malwarebytes e hice un análisis en busca de malware. Ninguno de los dos escaneos produjo nada, así que comencé a investigar un poco más. Si observa la captura de pantalla anterior, verá que la dirección IP ‘remota’ es en realidad una dirección IP local (192.168.1.1). ¡Esa dirección IP en realidad es la dirección IP de mi enrutador! ¿Entonces mi enrutador está envenenando mi caché de DNS?
¡Realmente no! Según ESET, a veces puede detectar accidentalmente el tráfico IP interno de un enrutador u otro dispositivo como una posible amenaza. Este fue definitivamente mi caso porque la dirección IP era una IP local. Si recibe el mensaje y su dirección IP se encuentra en uno de estos rangos a continuación, entonces es solo tráfico interno y no hay necesidad de preocuparse:
192.168.x.x
10.x.x.x
172.16.x.x to 172.31.x.x
Si no es una dirección IP local, desplácese hacia abajo para obtener más instrucciones. Primero, te mostraré qué hacer si es una IP local. Continúe, abra el programa ESET Smart Security y vaya al Ajustes avanzados diálogo. Expandir Red, entonces Cortafuegos personal y haga clic en Reglas y zonas.
Clickea en el Preparar botón debajo Editor de zona y reglas y haga clic en el Zonas lengüeta. Ahora haga clic en Dirección excluida de la protección activa (IDS) y haga clic en Editar.
Siguiente a Zona preparar aparecerá el cuadro de diálogo y aquí desea hacer clic en Agregar dirección IPv4.
Ahora continúe y escriba la dirección IP que incluyó cuando ESET detectó la amenaza.
Haga clic en Aceptar un par de veces para volver al programa principal. Ya no debería recibir ningún mensaje de amenaza sobre ataques de envenenamiento de DNS provenientes de esa dirección IP local. Si no es una dirección IP local, eso significa que podría ser víctima de la suplantación de DNS. En ese caso, debe restablecer su archivo de hosts de Windows y borrar la caché de DNS en su sistema.
La gente de ESET creó un archivo EXE que puede descargar y ejecutar para restaurar el archivo Hosts original y vaciar la caché de DNS.
https://support.eset.com/kb2933/
Si no desea usar su archivo EXE por cualquier motivo, también puede usar la siguiente descarga Fix It de Microsoft para restaurar el archivo Hosts:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Para borrar manualmente la caché de DNS en una PC con Windows, abra el símbolo del sistema y escriba la siguiente línea:
ipconfig /flushdns
Normalmente, la mayoría de las personas nunca serán víctimas de la suplantación de DNS y puede ser una buena idea deshabilitar el firewall de ESET y simplemente usar el firewall de Windows. Personalmente, he descubierto que genera demasiados falsos positivos y termina asustando a las personas más que protegiéndolas. ¡Disfrutar!