7. April 2018

#DNS Server

#schließen

Offene mDNS-Server schließen

Heute lag noch eine Nachricht von CERT-Bund Reports also dem Computer Emergency Response Team der Bundesverwaltung www.cert-bund.de bei mir im Postfach, die mich darauf aufmerksam gemacht haben, dass auf einem unserer Server ein offener Multicast DNS-Server läuft.

Warum ein offener mDNS-Service nachteilig sein kann

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen. Implementierungen von mDNS sind z.B. Apple ‚Bonjour‘ oder ‚Avahi‘ bzw. ’nss-mdns‘ unter Linux/BSD. mDNS verwendet Port 5353/udp [1].

Neben der Preisgabe von Informationen über das System/Netzwerk können offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection/Amplification-Angriffe gegen Dritte missbraucht werden [2][3].

Im Rahmen des Shadowserver ‚Open mDNS Scanning Projects‘ werden Systeme identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und dadurch für DDoS-Angriffe missbraucht werden können, sofern keine anderen Gegenmaßnahmen implementiert wurden.

CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können.

Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [4].

Schließen eines mDNS-Services unter Linux

Um herauszufinden, welcher der Services hier verantwortlich ist, filtert man den eingehenden Traffic auf dem UDP-Port 5353:


# netstat -anp|grep 5353
udp     0    0    0.0.0.0:5353    0.0.0.0:*   2013/avahi-daemon:
udp     0    0:::5353    :::*    2013/avahi-daemon:

Die folgenden Befehle können den Service deaktivieren:


# service avahi-daemon stop
# chkconfig avahi-daemon off
# chkconfig --del avahi-daemon

Referenzen:
[1] Wikipedia: Multicast DNS en.wikipedia.org/wiki/Multicast_DNS
[2] US-CERT: UDP-based Amplification Attacks www.us-cert.gov/ncas/alerts/TA14-017A
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to unicast queries originating outside the local link http://www.kb.cert.org/vuls/id/550620
[4] Shadowserver: Open mDNS Scanning Project mdns.shadowserver.org