微点防火墙不能防御 DNS缓存攻击 吗？

iorikyox

平台：
个人电脑；
XP系统；
东方微点主动防御2.0，最新更新；
Windows自带pppoe链接网络。

问题描述：
登陆淘宝网官方链接（收藏夹中），正常情况下，应该登录到淘宝首页，但是我这里由于ISP的关系，会自动链接到“淘宝网特卖频道”。类似网页的情况还有很多

早知道ISP的域名劫持问题，于是更换了默认的DNS，并且专门ping了各大主要购物网站的真实ip，分别录入到本地Hosts中。

结果，还是不定期被劫持到指定广告页面。

目前在网上搜了一下，搜索到的结果是：

DNS缓存攻击

就是恶意程序修改你电脑上DNS缓存中的内容，一是让你不能正常上网，比如把www。sina.com.cn的IP地址修改为127.0.0.1，这样无论如何也不能找到新浪网了，二是将某些恶意IP地址放进DNS缓存，比如把www。sina.com.cn对应的IP地址修改为恶意网站地址，当你在地址栏输入www。sina.com.cn的时候，访问的却是恶意网站。由于操作系统在进行DNS解析的时候首先查询DNS缓存，如果在缓存中能查到，就不会再找DNS服务器了。这样一旦dns缓存被修改，你去修改DNS服务器之类的网络参数也是无效的。

用ipconfig /displaydns命令栏查看当前dns缓存里的内容。
用ipconfig /flushdns命令刷新dns缓存中的内容。

若要防止dns缓存攻击，应禁用dns缓存，方法：
禁用客户端 DNS 缓存

1. 启动注册表编辑器 (Regedit.exe)。
2. 在以下注册表项中找到 MaxCacheEntryTtlLimit 值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters  
3. 在编辑菜单上，单击修改。键入 1，然后单击确定。
4. 退出注册表编辑器。

#
不用管它，没事，这是运营商搞的DNS劫持一类的东东，在用ESET原来的版本时候是不拦截的，你打开某些网页时候就是直接被劫持到其他网页了，而新的5.0版本能拦截，就显示了现在的DNS缓存攻击，你可以注意一下是不是只有打开某个网站的链接时候才出现这个情况。我的是只有打开网易邮箱里的链接时候出现。这其实是运营商搞鬼,强制性推广广告以扭转盈利下滑的局面,所以被ESS检测为DNS缓存投毒，有了ESS5.0运营商奸计失效了！

请教各位，网上的方法有效吗？具体应该怎么做呢？

小柯安全

不知道楼主说的DNS缓存攻击是不是俗称的DNS挟持 如果是可以用金山急救箱 360急救箱解决 这两个软件与微点完全兼容

iorikyox

应该就是DNS劫持吧，问微点客服，也是介绍的金山。但我不太喜欢安装一堆软件，最好有单机设置的指导，我想应该有办法解决的。

我刚刚清理了DNS缓存，关闭了DNS服务，尝试了几次，目前还没问题。

潘中医

用360安全卫士扫一下

iorikyox

潘中医 发表于 2012-7-27 18:13
用360安全卫士扫一下

个人不是很喜欢360，谢谢回复。

iorikyox

有windows7系统的手动防御方法也好啊，就是单单设置windows来避免劫持。

估计很多人都不用XP了吧

-oAo-

好像国内区见过这帖http://bbs.kafan.cn/thread-1340152-1-1.html

iorikyox

最新反馈，在关闭了本地DNS服务的情况下，刚才又被劫持了

小柯安全

iorikyox 发表于 2012-7-27 19:47
最新反馈，在关闭了本地DNS服务的情况下，刚才又被劫持了

可能是你电脑里有那种病毒 但是病毒的行为还没有达到微点的触发标准 还是建议你使用金山急救箱扫描一遍

iorikyox

小柯安全 发表于 2012-7-27 20:44
可能是你电脑里有那种病毒 但是病毒的行为还没有达到微点的触发标准 还是建议你使用金山急救箱扫描一遍

感谢版主一再的回复。

我的问题是这样的，请看这个链接：
http://hi.baidu.com/mintn/item/b3cef52ef736000843634ae2

按照这个网友提供的命令，我自己得到了如下结果：

Tracing route to taobao.com [115.238.23.241]
over a maximum of 30 hops:

  1     3 ms     2 ms     2 ms  1.108.53.119.adsl-pool.jlccptt.net.cn [119.53.108.1]
  2     2 ms     2 ms     1 ms  224.8.32.125.adsl-pool.jlccptt.net.cn [125.32.8.224]
  3     6 ms     1 ms     2 ms  217.67.139.122.adsl-pool.jlccptt.net.cn [122.139.67.217]
  4    28 ms    27 ms    28 ms  217.220.48.119.adsl-pool.jlccptt.net.cn [119.48.220.217]
  5    27 ms    27 ms    29 ms  219.158.17.169
  6    21 ms    22 ms    22 ms  219.158.13.18
  7   213 ms     *      214 ms  219.158.32.94
  8   218 ms   218 ms   217 ms  202.97.50.189
  9   215 ms   216 ms   215 ms  202.97.55.22
10   212 ms   212 ms   212 ms  61.164.13.142
11   219 ms   224 ms     *     220.191.142.62
12     *        *        *     Request timed out.
13   212 ms   212 ms   211 ms  115.238.23.241

Trace complete.

我已经把前4个网址，加入Hosts中了，这次试试看，能否拦得住。

PS：目前已改DNS为ISP默认提供，刚才试了几次淘宝网主页，没有错误发生。