Os ciberataques evoluem constantemente, e entre as variedades nocivas, os Ataques DDoS de Reflexão por mDNS têm se destacado como uma ameaça crescente e complexa. Neste post, exploraremos o que são esses ataques, como funcionam e quais medidas de proteção podem ser adotadas para mitigar seus efeitos prejudiciais.
O que é o serviço mDNS (5353/udp)?
O mDNS é um protocolo DNS Multicast. Um “multicast” repassa a mesma mensagem para vários pontos em uma rede. O mDNS é um método para descoberta de vizinhos de uma rede, indicado para redes pequenas sem servidores DNS próprios. Por padrão usa a porta 5353/UDP. É um protocolo de rede utilizado para a resolução de nomes em redes locais que não possuem um servidor DNS próprio. Por se tratar de um serviço utilizado apenas dentro de redes locais, não é necessário que o serviço mDNS esteja exposto à Internet.
Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com mDNS retorna uma resposta muito maior que a requisição.
O que são Ataques DDoS de Reflexão por mDNS?
Os Ataques DDoS de Reflexão por mDNS (Multicast DNS) exploram a vulnerabilidade em dispositivos configurados com o mDNS ativado. Nesse tipo de ataque, os invasores enviam solicitações falsificadas ao mDNS, fazendo com que múltiplos dispositivos na rede respondam à vítima designada. Isso resulta em uma sobrecarga da rede, levando à indisponibilidade dos serviços para a vítima, caracterizando um ataque DDoS.
Como Funcionam esses Ataques?
Os atacantes geralmente usam técnicas de falsificação de IP para enviar solicitações mDNS manipuladas para uma rede local. Essas solicitações são enviadas de tal forma que parecem originar-se da vítima, direcionando as respostas para ela. Assim, os dispositivos na rede respondem em massa à vítima, sobrecarregando sua largura de banda e capacidade de processamento.
Mitigando os Ataques DDoS de Reflexão por mDNS
- Desativar o mDNS, se possível: Para dispositivos que não precisam do mDNS, desativá-lo é uma solução eficaz para evitar esse tipo de ataque.
- Configurações de Rede Seguras: Certifique-se de que sua rede está configurada de forma a não permitir tráfego mDNS não autorizado, evitando assim a amplificação desse ataque.
- Filtragem de Tráfego: Implemente medidas para filtrar ou limitar o tráfego suspeito, identificando e bloqueando pacotes mDNS maliciosos.
- Atualizações e Patches: Mantenha seus dispositivos e sistemas atualizados com as últimas correções de segurança, pois muitas vezes elas abordam vulnerabilidades conhecidas.
Por que devo me preocupar com isso?
O serviço mDNS pode ser usado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.
Informações adicionais sobre como evitar que sua rede seja abusada para este e outros ataques DDoS podem ser encontradas aqui:
https://cert.br/docs/whitepapers/ddos/
Onde posso obter informações adicionais sobre o abuso do protocolo mDNS para ataques DDoS?
- UDP-Based Amplification Attacks https://www.us-cert.gov/ncas/alerts/TA14-017A
Como o CERT.br sabe que este é um dispositivo vulnerável?
O CERT.br está recebendo notificações com listas de dispositivos que usam mDNS que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de servidos (DDoS). O CERT.br está notificando os responsáveis pelos dispositivos brasileiros presentes nestas listas.
Como posso ter certeza que resolvi o problema?
Você pode verificar seu dispositivo através do seguinte comando: (preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao dispositivo).
$ dig @ENDERECO_IP -p 5353 ptr _services._dns-sd._udp.local
Onde ENDERECO_IP é o IP do dispositivo usando mDNS a ser testado. Antes de executar o comando acima certifique-se que você tem a ferramenta dig instalada em seu computador.
Em um cenário em que a segurança cibernética é mais vital do que nunca, estar informado sobre esses ataques e tomar medidas proativas para proteger nossa infraestrutura é essencial. Ao entender as ameaças emergentes, como os Ataques DDoS de Reflexão por mDNS, estamos melhor posicionados para fortalecer nossas defesas e garantir a segurança de nossos sistemas e dados.
Master da Web, sua solução em Cloud! ☁️
Referências:
https://segurancadainformacao.furg.br/monitoramento/protocolos-vulneraveis/138-mdns