Offene mDNS-Server schließen

Heute lag noch eine Nachricht von CERT-Bund Reports also dem Computer Emergency Response Team der Bundesverwaltung www.cert-bund.de bei mir im Postfach, die mich darauf aufmerksam gemacht haben, dass auf einem unserer Server ein offener Multicast DNS-Server läuft.

Warum ein offener mDNS-Service nachteilig sein kann

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen. Implementierungen von mDNS sind z.B. Apple ‚Bonjour‘ oder ‚Avahi‘ bzw. ’nss-mdns‘ unter Linux/BSD. mDNS verwendet Port 5353/udp [1].

Neben der Preisgabe von Informationen über das System/Netzwerk können offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection/Amplification-Angriffe gegen Dritte missbraucht werden [2][3].

Im Rahmen des Shadowserver ‚Open mDNS Scanning Projects‘ werden Systeme identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und dadurch für DDoS-Angriffe missbraucht werden können, sofern keine anderen Gegenmaßnahmen implementiert wurden.

CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können.

Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [4].

Schließen eines mDNS-Services unter Linux

Um herauszufinden, welcher der Services hier verantwortlich ist, filtert man den eingehenden Traffic auf dem UDP-Port 5353:


# netstat -anp|grep 5353
udp     0    0    0.0.0.0:5353    0.0.0.0:*   2013/avahi-daemon:
udp     0    0:::5353    :::*    2013/avahi-daemon:

Die folgenden Befehle können den Service deaktivieren:


# service avahi-daemon stop
# chkconfig avahi-daemon off
# chkconfig --del avahi-daemon

Referenzen:
[1] Wikipedia: Multicast DNS en.wikipedia.org/wiki/Multicast_DNS
[2] US-CERT: UDP-based Amplification Attacks www.us-cert.gov/ncas/alerts/TA14-017A
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to unicast queries originating outside the local link http://www.kb.cert.org/vuls/id/550620
[4] Shadowserver: Open mDNS Scanning Project mdns.shadowserver.org

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere spannende Posts zu digitalen Themen

PHP max_input_vars in Plesk einstellen

Solltest Du dich fragen: „Wie setze ich die PHP-Variable max_input_vars unter Linux in Plesk?“, dann habe ich hier die Antwort für Dich. Wofür ist die

Wordpress Kommentare
Wordpress

WordPress Kommentare deaktivieren

Willst Du die Kommentarfunktion in WordPress deaktivieren geht das vielfach sehr einfach und ist in wenigen Schritten erledigt: Klicken Sie auf „Speichern„, um die Änderungen

Willst du dein Unternehmen digital nach vorne bringen?

Kontaktiere uns jetzt

Bestelle für Deine Webseite das

Soforthilfe-Paket

Wir schauen uns das Problem direkt unverbindlich an und melden uns bei Dir. Wir teilen dir mit was wir benötigen und gehen an die Arbeit. Je 15 Minuten berechnen wir 30,- Euro netto, egal wie viel Uhr es ist.