mDNS

Descripción del problema:

Este problema se dá normalmente en servidores Linux que tienen el servicio de avahi-daemon (mDNS) expuesto a internet corriendo en el puerto 5353/UDP

Este servicio puede ser malutilizado para realizar ataques de negación de servicio por inundación de paquetes a través de amplificación de peticiones a terceros consumiéndonos ancho de banda. Además puede ser utilizado para, potencialmente, obtener información sensible de nuestro equipo.

Este servicio se utiliza, mayormente, si es que se tiene un servidor de mDNS activo en el equipo. No es común encontrarse con servidores de mDNS expuestos a internet. Normalmente este servicio está abierto sin ningún tipo de uso, porque se instaló un servidor por defecto y este servicio quedó abierto  sin protección ninguna.

Cómo proceder:

Normalmente es seguro apagarle ejecutando:

service avahi-daemon stop

chkconfig avahi-daemon off

En las versiones modernas de CentOS Linux (7 y superiores) se ejecuta:

systemctl stop avahi-daemon

systemctl disable avahi-daemon

 

También se puede bloquear desde su firewall las conexiones entrantes haciael puerto 5353/UDP. Este puerto normalmente no debe estar expuesto a internet y puede hacerse esta labor para todos los equipos de nuestra red.