CERT-Bund Reports:
Offene mDNS-Dienste
Multicast DNS (mDNS) wird zur Auflösung von Hostnamen zu IP-Adressen in kleinen Netzwerken verwendet, welche über keinen lokalen DNS-Server verfügen. Implementierungen von mDNS sind zum Beispiel 'Bonjour' auf Apple-Betriebssystemen oder 'Avahi' unter Linux/BSD. mDNS verwendet Port 5353/udp.
Problem
Offen aus dem Internet erreichbare mDNS-Dienste können für DDoS -Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Darüber hinaus können Angreifer den Dienst potenziell nutzen, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen.
Prüfung
Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.
Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer mDNS-Dienst befindet, kann zum Beispiel das Programm 'dig' wie folgt verwendet werden:
$ dig +short -p 5353 -t ptr _services._dns-sd._udp.local @192.168.45.67
Ein offen erreichbarer mDNS-Dienst liefert eine Antwort wie die folgende zurück:
_workstation._tcp.local.
_udisks-ssh._tcp.local.
Ist unter der IP-Adresse kein offener mDNS-Server erreichbar, läuft die Anfrage in einen Timeout:
;; connection timed out; no servers could be reachedLösung
Wenn der mDNS-Dienst nicht benötigt wird, sollte er deaktiviert bzw. deinstalliert werden. Andernfalls sollte der Zugriff auf vertrauenswürdige Clients beschränkt werden, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 5353/udp auf der Firewall.
Auf Debian/Ubuntu-basierten Linux-Systemen kann ein nicht benötigter mDNS-Dienst mit folgendem Kommando entfernt werden:
# apt-get remove avahi-daemonWeitere Informationen
- Wikipedia: Multicast DNS
- CERT.org: Multicast DNS (mDNS) implementations may respond to unicast queries originating outside the local link (VU#550620)
- Kurz-URL:
- https://www.bsi.bund.de/dok/8379012