Offene mDNS-Server schließen
Heute lag noch eine Nachricht von CERT-Bund Reports also dem Computer Emergency Response Team der Bundesverwaltung www.cert-bund.de bei mir im Postfach, die mich darauf aufmerksam gemacht haben, dass auf einem unserer Server ein offener Multicast DNS-Server läuft.
Warum ein offener mDNS-Service nachteilig sein kann
Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen. Implementierungen von mDNS sind z.B. Apple ‚Bonjour‘ oder ‚Avahi‘ bzw. ’nss-mdns‘ unter Linux/BSD. mDNS verwendet Port 5353/udp [1].
Neben der Preisgabe von Informationen über das System/Netzwerk können offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection/Amplification-Angriffe gegen Dritte missbraucht werden [2][3].
Im Rahmen des Shadowserver ‚Open mDNS Scanning Projects‘ werden Systeme identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und dadurch für DDoS-Angriffe missbraucht werden können, sofern keine anderen Gegenmaßnahmen implementiert wurden.
CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können.
Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [4].
Schließen eines mDNS-Services unter Linux
Um herauszufinden, welcher der Services hier verantwortlich ist, filtert man den eingehenden Traffic auf dem UDP-Port 5353:
# netstat -anp|grep 5353
udp 0 0 0.0.0.0:5353 0.0.0.0:* 2013/avahi-daemon:
udp 0 0:::5353 :::* 2013/avahi-daemon:
Die folgenden Befehle können den Service deaktivieren:
# service avahi-daemon stop
# chkconfig avahi-daemon off
# chkconfig --del avahi-daemon
Referenzen:
[1] Wikipedia: Multicast DNS en.wikipedia.org/wiki/Multicast_DNS
[2] US-CERT: UDP-based Amplification Attacks www.us-cert.gov/ncas/alerts/TA14-017A
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to unicast queries originating outside the local link http://www.kb.cert.org/vuls/id/550620
[4] Shadowserver: Open mDNS Scanning Project mdns.shadowserver.org