[KB2933] Ataque por envenenamiento de caché ARP, DNS o ICMP

Problema

  • "Un ataque de envenenamiento de caché DNS" o "Ataque ICMP" es detectado por el Firewall personal de ESET
  • "Un ataque de envenenamiento de caché ARP" es detectado por el Firewall personal de ESET
  • El Equipo de soporte de ESET le ha solicitado leer este artículo para limpiar su caché DNS y restaurar el archivo MS Hosts
  • Es recibida en ESET Remote Administrator (ERA) una advertencia de amenaza al Firewall

Detalles

Para obtener mayor información acerca de nombres de eventos en el registro del Firewall de ESET, lea el siguiente artículo:

Solución

Si el Firewall de ESET detecta una amenaza en su sistema de parte del envenenamiento de caché DNS, existen dos posibles soluciones que permitirán resolver el inconveniente. Ejecute la herramienta DNS Flush si el suceso no es resuelto.

Crear una excepción para el tráfico IP interno

  1. Determine si la dirección IP detectada en la notificación posee un número comprendido dentro del siguiente rango (en el cual "x" es 0-255):
  • 172.16.x.x - 172.31.x.x
  • 192.168.x.x
  • 10.x.x.x
  1. Si la dirección IP detectada se encuentra dentro del rango seguro especificado arriba abra la ventana principal del producto ESET. Continúe con el paso 4.
  1. Si la dirección IP que ha sido detectada como una amenaza no se encuentra dentro del rango seguro especificado arriba, o si actualmente no existen periféricos en uso dentro de su red, el dispositivo detectado por el firewall se localiza en una red pública y podría representar una amenaza para su sistema.
  1. Presione la tecla F5 de su teclado para acceder a la ventana de Configuración avanzada.
  1. Haga clic en Firewall, expanda Avanzado y aaceda a Editar junto a Zonas.

    Versión 8.x: Expanda Red Firewall personal y luego haga clic en Reglas y zonas.
    En el panel del  Editor de zonas y reglas, haga clic en Configurar. Haga clic para ver una captura de pantalla.

Figura 1-1

 

  1. ]En la ventana de Zonas de firewall, seleccione Zona de confianza y haga clic en Editar.

    Si posee la versión 8.x: haga clic en la solapa Zonas, seleccione Direcciones excluidas de la protección activa (IDS) y luego haga clic en Editar. Haga clic para ver una captura de pantalla
    .

    En la ventana Configuración de la zona, haga clic en Agregar dirección IPv4. Haga clic para ver una captura de pantalla.

    Figura 1-2

  1. Ingrese la dirección IP del dispositivo que ha sido incorrectamente detectado como una amenaza en el campo Dirección de equipo remoto (IPv4, IPv6, rango, máscara)..

    Si posee la versión 8.x: Seleccione el casillero Dirección única, y luego ingrese la dirección IP del dispositivo que ha sido incorrectamente detectado como una amenaza. Haga clic para ver una captura de pantalla.

Figura 1-3

  1. Presione Aceptar cuatro veces para salir del árbol de Configuración avanzada y guardar los cambios. Desde ese momento ya no debería visualizar ningún mensaje relacionado a ataques provenientes desde una dirección IP interna que usted reconoce como segura. Si continúa experimentando el problema, prosiga con los pasos detallados debajo.

    Si ejecuta la versión 8.x: Presione Aceptar cuatro veces para salir del árbol de Configuración avanzada y guardar los cambios.

    Figura 1-4

Ejecute la herramienta DNS Flush (solo en caso de envenenamiento DNS)

Usted puede utilizar la herramienta DNS Flush de ESET para eliminar el caché DNS y restaurar los archivos MS Hosts. Siga los pasos descriptos a continuación para descargar y ejecutar la herramienta DNS Flush:

  1. Haga clic en el enlace que se halla debajo para descargar la herramienta DNS-Flush.exe. Cuando se le solicite, presione Ejecutar.

    DNS-Flush.exe

  1. Luego de completar la descarga diríjase hasta el Escritorio, haga clic derecho sobre el archivo DNS-Flush.exe que acaba de descargar y seleccione la opción Ejecutar como administrador dentro del menú contextual.Esta herramienta automáticamente eliminará el caché DNS y restaurará los archivos necesarios.
     
  2. Luego de que el equipo se reinicie abra su producto de seguridad ESET y ejecute un Análisis completo. Acceda al siguiente artículo de nuestra Base de conocimiento para obtener asistencia:

Si luego de completar los pasos1-3 descriptos arriba, el análisis detecta una amenaza, haga clic en el próximo enlace para contactar al Equipo de soporte de ESET: 

Asistencia adicional