Отключаем mDNS по абузе Hetzner
02 Aug 2017 | Автор: dd |С недавнего времени Hetzner начал слать письма счастья с кляузами от абуз отдела. Зовется оно как Abuse Message: AbuseBSI но в самом письме грится, что можно забить болтяру, т.ч особо не озадачивался.
Падало оно в среднем раз в неделю-две, т.ч как то не обращал внимания, а буквально на днях стало падать ежедневно, что стало несколько раздражать.
We received a security alert from the German Federal Office for Information Security (BSI).
Please see the original report included below for details.
Please investigate and solve the reported issue.
It is not required that you reply to either us or the BSI.
If the issue has been fixed successfully, you should not receive any further notifications.
Additional information is provided with the HOWTOs referenced in the report.
In case of further questions, please contact certbund@bsi.bund.de and keep the ticket number of the original report [CB-Report#...] in the subject line.
Do not reply <reports@reports.cert-bund.de> as this is just the sender address for the reports and messages sent to this address will not be read.
Kind regards, Abuse team
Multicast DNS (mDNS) is used for resolving host names to IP addresses within small networks that do not include a local DNS server. It is implemented for example by the Apple ‘Bonjour’ and Linux/BSD ‘Avahi’ (nss-mdns) services. mDNS uses port 5353/udp.
In addition to disclosing information about the system/network, mDNS services openly accessible from anywhere on the Internet can be abused for DDoS reflection attacks against third parties.
Please find below a list of affected systems hosted on your network. The timestamp (timezone UTC) indicates when the openly accessible mDNS service was identified.
We would like to ask you to check this issue and take appropriate steps to close the openly accessible mDNS services on the affected systems or notify your customers accordingly.
Собственно граждане просят загасить сервис Multicast DNS ибо с его помощью можно дудосить сторонние хосты. Сама служба служит для обнаружения в локальной сети различных сервисов, вроде принтерочков и шар и известна как Bonjour основанный на технологии Apple Zeroconf. Вполне себе такой аналог нетбиоса для ленивых макодрочеров. И в мирной жизни особенно не мешает, если нет зоны local, где могут начаться проблемы с разрешением имен.
Но раз просят, то надо гасить. Как описано в письме, в Линухе за поддержку Multicast DNS отвечает демон Avahi, который ставится по умолчанию при установке системы.
В Центосе он гасится и отрубается из автозагрузки следующими командами:
# service avahi-daemon stop
# chkconfig avahi-daemon off
Если Центос 7 версии, то таким образом:
# systemctl stop avahi-daemon
# systemctl disable avahi-daemon