Zum Inhalt springen

Offene mDNS-Server schließen

Wenn das CERT-Bund dir eine E-Mail schickt, ist das selten eine gute Nachricht. In meinem Fall: Ein offener mDNS-Service, der für DDoS-Angriffe missbraucht werden kann.

Was ist mDNS?

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen in lokalen Netzwerken – ohne eigenständigen DNS-Server. Bekannte Implementierungen:

  • Apple Bonjour
  • Avahi (Linux/BSD)
  • nss-mdns

Der Service nutzt Port 5353/udp.

Das Sicherheitsrisiko

Ein offener mDNS-Server im Internet ist problematisch:

  • Informationspreisgabe – System- und Netzwerkinformationen werden sichtbar
  • DDoS-Amplification – Der Server kann für Angriffe auf Dritte missbraucht werden
  • Shadowserver und andere Organisationen scannen regelmäßig nach solchen Systemen

So findest du den Übeltäter

Mit netstat identifizierst du, welcher Dienst Port 5353 verwendet:

netstat -anp | grep 5353

Typische Ausgabe:

udp    0    0 0.0.0.0:5353    0.0.0.0:*    1234/avahi-daemon

In diesem Fall ist es der avahi-daemon.

Avahi deaktivieren

Wenn du mDNS auf deinem Server nicht benötigst (was bei den meisten Webservern der Fall ist):

# Dienst stoppen
service avahi-daemon stop

# Autostart deaktivieren
chkconfig avahi-daemon off

Auf neueren Systemen mit systemd:

# Dienst stoppen
systemctl stop avahi-daemon

# Autostart deaktivieren
systemctl disable avahi-daemon

Prüfen ob der Port geschlossen ist

Nach dem Deaktivieren prüfen:

netstat -anp | grep 5353

Keine Ausgabe = Problem gelöst.

Fazit

Offene mDNS-Server auf öffentlich erreichbaren Servern sind ein Sicherheitsrisiko. Wenn du den Dienst nicht brauchst, deaktiviere ihn. Das CERT-Bund wird es dir danken.

Du hast eine Warnung vom CERT-Bund erhalten? Kontaktiere mich – ich helfe dir, dein System abzusichern.