检测到DNS缓存投毒攻击？

w2w1

昨天晚上网络很卡（这几天都这样），各种折腾毫无效果
搞到1点多网速突然变流畅了。
改了个DNS地址——8.8.8.8
浏览网页的时候，eset右下角竟然破天荒的出现弹窗（一年不见几次）
dns投毒攻击！？
在卡饭查看了一些帖子，基本都是说无视就好？
昨晚1点后，在浏览特定网页A的时候，总会弹出dns投毒攻击，这是为什么捏？
刚才网络又卡了，突然想起来，又去打开网页A，竟然没有弹窗？
附上图：

日志显示来源8.8.8.8，目标192.168.0.101
难道是我自己给自己投毒？
这究竟是怎么回事。

————————————————————
3月8日 0点16分追加内容
                                                                   最近资源管理器出现的这两个东西不知道是怎么回事
点击右键——打开文件位置——（如图）

eset扫描没有问题，但是突然发现，
这个不是和上图的DNS投毒攻击里的应用程序是一个名字吗？？
在任务管理器点击结束这两个不明的进程
不过10秒，打开资源管理器一看，又发现这不明进程（不过只有一个了）
又结束它，后又发现复活一个，再结束
过了十几分钟，目前没有再见到
这到底是

飞碟1234

看看是不是用迅雷一类的P2P软件吧，一般用了迅雷的，在下载的时候都会有类似的弹窗

w2w1

飞碟1234 发表于 2018-3-8 00:09
看看是不是用迅雷一类的P2P软件吧，一般用了迅雷的，在下载的时候都会有类似的弹窗

电脑装了迅雷（大概2个月前），最近一直没有在用
（百度云也好久没用了）

fireherman

不，DNS缓存投毒攻击，指的是：DNS已经发生了改变，与ESET（防火墙版本：ESS/EIS/ESSP）第一次设置的区域不一致，有可能被篡改，导致防火墙出现这种警报。

这种改变，并不一定和迅雷，百度客户端有关（当然，这些流氓软件，能不用就不要用了）；

以楼主的情况，是因为你手动改变了DNS，而“没有通知ESET”（和ESET的DNS区域不同）导致。

消除提示方法：

1，进入ESET【高级设置】-【个人防火墙】：




2，进入【区域】，点击【添加】，输入你设置的DNS即可：




3，svchost.exe是系统核心进程，DNS剖析必须由它完成（使用UDP协议，53端口），所以不要强制关闭（它是服务的一部分），而实际上，ESET防火墙内部规则已经制定好其（svchost.exe）的各种通信出入口，楼主不需要担心。

w2w1

fireherman 发表于 2018-3-8 00:38
不，DNS缓存投毒攻击，指的是：DNS已经发生了改变，与ESET（防火墙版本：ESS/EIS/ESSP）第一次设置的区 ...

感谢回复
eset从昨晚到现在未做过手动改动，刚才进去看了一下，如图：
这样ok？

这样啊，那为什么任务管理器会显示有两个进程呢，而且不显示名字？
防火墙规则一片空白？

总之没有什么问题吧

fireherman

w2w1 发表于 2018-3-8 00:53
感谢回复
eset从昨晚到现在未做过手动改动，刚才进去看了一下，如图：
这样ok？

嗯……而且……你没设置本机地址？

w2w1

fireherman 发表于 2018-3-8 01:00
嗯……而且……你没设置本机地址？

本机地址
那是什么东西
是DNS服务器下面那个“本地地址”吗？
这边显示有两个IP地址
一个是路由器给的ip，另一个是光猫给的ip，还需要怎么设置吗？

fireherman

w2w1 发表于 2018-3-8 01:06
本机地址
那是什么东西
是DNS服务器下面那个“本地地址”吗？

就是本地IP啊，管你是直连，光猫，还是路由，本机IP（localhost）

看你的IP，应该是电信吧？



其实搞不懂你为何要用8.8.8.8；

如果你是国内用户，那么8.8.8.8相当于你要绕一个大圈出国（不知道你是否用了梯子），再剖析回来。

如果你是国外用户，那么也不应该使用114……

所以我觉得你的DNS设置好奇怪。


and............................

防火墙规则一片空白？

需要勾选左下角的【显示内置】

w2w1

fireherman 发表于 2018-3-8 01:15
就是本地IP啊，管你是直连，光猫，还是路由，本机IP（localhost）

看你的IP，应该是电信吧？
...

ip选的是自动获取（如果你是说ipv4里的设定）
以前查看网页的时候，记得有说8.8.8.8和114.114.114.114的dns好
所以就这样设置了（看到规则了，原来要打勾）

fhls

w2w1 发表于 2018-3-8 01:35
ip选的是自动获取（如果你是说ipv4里的设定）
以前查看网页的时候，记得有说8.8.8.8和114.114.114.114的 ...

海外DNS里面，8.8.8.8的解析确实不错，谷歌有ECS(edns-client-subnet)协议，会针对区域优化，不会把部分国内网站解析到海外IP去，opendns 解析B站，有时候到香港，有时候去日本，这就是海外DNS最大的劣势，没有CDN优化，不能根据区域匹配最优线路。
而且海外DNS还有被抢答的现象。

国内公共DNS对国内网站优化比较好（针对CDN方面），大部分情况下选用国内DNS就是了，比如腾讯的DNSPOD，阿里DNS。（119.29.29.29（主）182.254.116.116（辅）和 223.5.5.5（主）223.6.6.6（辅））。理论上腾讯DNS比较好，支持谷歌ECS(edns-client-subnet)协议，前提是dns不宕机。