Hallo zusammen,
ich habe vom BSI eine Mail erhalten, dass ich angeblich einen offenen mDNS-Server habe. Verstehe jedoch nicht, wieso, weshalb & warum. Bind9 ist nicht installiert und sonst habe ich auch keinen alternativen DNS-Server auf meinem Root laufen.
Das ist die Mail. Vielleicht kann mir ja jemand helfen, was zu tun ist:
Quote from BSIDisplay MoreSehr geehrte Damen und Herren,
Multicast DNS (mDNS) dient der Auflsung von Hostnamen zu IP-Adressen
in lokalen Netzwerken, welche nicht ber einen DNS-Server verfgen.
Implementierungen von mDNS sind z.B. Apple 'Bonjour' oder 'Avahi' bzw.
'nss-mdns' unter Linux/BSD. mDNS verwendet Port 5353/udp [1].
Neben der Preisgabe von Informationen ber das System/Netzwerk knnen
offen aus dem Internet erreichbare mDNS-Dienste fr DDoS-Reflection/
Amplification-Angriffe gegen Dritte missbraucht werden [2][3].
Im Rahmen des Shadowserver 'Open mDNS Scanning Projects' werden Systeme
identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und
dadurch fr DDoS-Angriffe missbraucht werden knnen, sofern keine anderen
Gegenmanahmen implementiert wurden.
CERT-Bund erhlt von Shadowserver die Testergebnisse fr IP-Adressen in
Deutschland, um betroffene Systembetreiber benachrichtigen zu knnen.
Weitere Informationen zu den von Shadowserver durchgefhrten Tests
finden Sie unter [4].
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel gibt an, wann das System geprft wurde
und mDNS-Anfragen aus dem Internet beantwortet hat.
Wir mchten Sie bitten, den Sachverhalt zu prfen und Manahmen zur
Absicherung der mDNS-Dienste auf den betroffenen Systemen zu ergreifen
bzw. Ihre Kunden entsprechend zu informieren.
Falls Sie krzlich bereits Gegenmanahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmanahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Referenzen:
[1] Wikipedia: Multicast DNS
<https://en.wikipedia.org/wiki/Multicast_DNS>
[2] US-CERT: UDP-based Amplification Attacks
<https://www.us-cert.gov/ncas/alerts/TA14-017A>
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to
unicast queries originating outside the local link
<http://www.kb.cert.org/vuls/id/550620>
[4] Shadowserver: Open mDNS Scanning Project
<https://mdns.shadowserver.org/>
Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlssel finden Sie auf unserer Webseite unter:
<https://www.cert-bund.de/reports-sig>
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rckfragen wenden Sie sich bitte an unter Beibehaltung der
Ticketnummer im Betreff an <[email protected]>.
======================================================================
Betroffene Systeme in Ihrem Netzbereich:
Format: ASN | IP address | Timestamp (UTC) | Workstation info
24940 | 111.111.111.111 | 2016-09-17 08:03:53 | huhu [00:11:22:33:44:55]._workstation._tcp.local.
Mit freundlichen Gren / Kind regards
Team CERT-Bund
Bundesamt fr Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat CK22 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany
Danke.
