Атака ICMP, ARP или DNS-кэша, обнаруженная ESET | Корреляция False Positive

Eset обнаруживает атаку отравления кэша ARP от источника в сети.

 

Задача

  • «ICMP-атака» или «Атака отравления кэша DNS» обнаружена брандмауэром ESET
  • «Обнаруженная атака отравления кэша ARP» обнаружена брандмауэром ESET
  •  Техническая поддержка ESET направила ваc на статью, чтобы очистить ваш DNS-кеш и восстановить файл MS Hosts
  •  Предупреждение об угрозе межсетевого экрана, полученное в ESET Remote Administrator (ERA)

Решение

Если брандмауэр ESET обнаруживает угрозу для вашей системы, создайте исключение для внутреннего IP-трафика.

Запустите средство очистки DNS, если проблема не устранена.

Создание исключения для внутреннего IP-трафика

  1. Определите, обнаружен ли в уведомлении IP-адрес число, которое попадает в следующий диапазон (где «x» равно 0-255):
    172.16.x.x — 172.31.x.x
    192.168.x.x
    10.x.x.x
  2. Если обнаруженный IP-адрес находится в безопасном диапазоне, указанном выше, откройте главное окно программы вашего продукта ESET Windows. Перейдите к шагу 4.
  3. Если IP-адрес, обнаруженный как угроза, не входит в безопасный диапазон, указанный выше, или нет сетевых периферийных устройств, которые в настоящее время используются в вашей сети, устройство, обнаруженное брандмауэром, находится в общедоступной сети и может представлять угрозу для вашей системы. См. Раздел инструмента ESET DNS-Flush и используйте его для восстановления любых файлов, которые могут быть повреждены отравлением кеша DNS.
  4. Нажмите клавишу F5 на клавиатуре, чтобы получить доступ к расширенной настройке.
  5. Нажмите «Firewall », разверните «Advanced» и нажмите «Edit» рядом с «Zones».  Версия 8.x: Разверните Network → Personal Firewall, затем выберите Rules and zones/
    В области редактора зон и правил нажмите «Advanced». Нажмите, чтобы посмотреть снимок экрана.

     6. В окне зоны брандмауэра выберите «Trusted zone» и нажмите «Edit».

Если вы используете версию 8.x: перейдите на вкладку «Zones», выберите «Addresses excluded from active protection (IDS)», а затем нажмите «Edit».

      Нажмите, чтобы посмотреть снимок экрана.

В окне настройки зоны нажмите Add IPv4 address

7. Введите IP-адрес устройства, который неправильно обнаружен как угроза в поле Remote computer address (IPv4, IPv6, range, mask)

Если вы используете версию 8.x: выберите «Single address», а затем введите IP-адрес устройства, который неправильно обнаружен как угроза.

8.Нажмите «ОК» три раза, чтобы выйти из Расширенной настройки и сохранить изменения.

Вы больше не должны видеть сообщения об атаках, исходящих из внутреннего IP-адреса, который, как вы знаете, безопасен.

Если вы продолжаете испытывать эту проблему, перейдите к решению 2 ниже.

Если вы используете версию 8.x: нажмите «ОК» четыре раза, чтобы выйти из Дерева расширенной настройки и сохранить изменения.

Запустите средство очистки DNS (только DNS-отравление)

Вы можете использовать инструмент ESET DNS Flush, чтобы очистить ваш DNS-кеш.

Следуйте пошаговым инструкциям ниже, чтобы загрузить и запустить средство очистки DNS:

  • Загрузите инструмент DNS-Flush.exe и сохраните файл на рабочем столе.
  • Перейдите на рабочий стол и дважды щелкните DNS-Flush.exe (если вам будет предложено продолжить, нажмите «Да»). Инструмент автоматически очистит и зарегистрирует ваш DNS-кеш.
  • После перезагрузки компьютера откройте продукт ESET и запустите сканирование компьютера. Для получения помощи обратитесь к следующим статьям базы знаний:
    Сканирование вашего компьютера и экспорт журналов

Сканирование компьютера должно завершиться без обнаружения инфекции. Если никакой угрозы не обнаружено, то на этом все :).

Проверить IP-адрес источника на сервере DHCP

Откройте DHCP на сервере и найдите IP-адрес источника, обнаруженный в ESET

Используйте методы захвата баннеров, чтобы установить, какое устройство связано с IP-адресом источника.

Удалите запись иначе.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Атака ICMP, ARP или DNS-кэша, обнаруженная ESET | Корреляция False Positive: 2 комментария

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *