Одминский блог

Блог о технологиях, технократии и методиках борьбы с граблями

Отключаем mDNS по абузе Hetzner

С недавнего времени Hetzner начал слать письма счастья с кляузами от абуз отдела. Зовется оно как Abuse Message: AbuseBSI но в самом письме грится, что можно забить болтяру, т.ч особо не озадачивался.

Падало оно в среднем раз в неделю-две, т.ч как то не обращал внимания, а буквально на днях стало падать ежедневно, что стало несколько раздражать.

We received a security alert from the German Federal Office for Information Security (BSI).
Please see the original report included below for details.
Please investigate and solve the reported issue.
It is not required that you reply to either us or the BSI.
If the issue has been fixed successfully, you should not receive any further notifications.
Additional information is provided with the HOWTOs referenced in the report.
In case of further questions, please contact certbund@bsi.bund.de and keep the ticket number of the original report [CB-Report#. ] in the subject line.
Do not reply as this is just the sender address for the reports and messages sent to this address will not be read.
Kind regards, Abuse team

Multicast DNS (mDNS) is used for resolving host names to IP addresses within small networks that do not include a local DNS server. It is implemented for example by the Apple ‘Bonjour’ and Linux/BSD ‘Avahi’ (nss-mdns) services. mDNS uses port 5353/udp.
In addition to disclosing information about the system/network, mDNS services openly accessible from anywhere on the Internet can be abused for DDoS reflection attacks against third parties.
Please find below a list of affected systems hosted on your network. The timestamp (timezone UTC) indicates when the openly accessible mDNS service was identified.
We would like to ask you to check this issue and take appropriate steps to close the openly accessible mDNS services on the affected systems or notify your customers accordingly.

Собственно граждане просят загасить сервис Multicast DNS ибо с его помощью можно дудосить сторонние хосты. Сама служба служит для обнаружения в локальной сети различных сервисов, вроде принтерочков и шар и известна как Bonjour основанный на технологии Apple Zeroconf. Вполне себе такой аналог нетбиоса для ленивых макодрочеров. И в мирной жизни особенно не мешает, если нет зоны local, где могут начаться проблемы с разрешением имен.

Но раз просят, то надо гасить. Как описано в письме, в Линухе за поддержку Multicast DNS отвечает демон Avahi, который ставится по умолчанию при установке системы.

В Центосе он гасится и отрубается из автозагрузки следующими командами:
# service avahi-daemon stop
# chkconfig avahi-daemon off

Если Центос 7 версии, то таким образом:
# systemctl stop avahi-daemon
# systemctl disable avahi-daemon

Как включить DNS over HTTPS в инсайдерских сборках Windows 10

DNS over HTTPS (DoH) позволяет улучшить приватность, безопасность и надежность соединения за счет шифрования DNS запросов, которые обычно передаются в текстовом виде.

DNS over HTTPS в последнее время стал очень популярным. В браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Opera уже реализована поддержка этого стандарта. Поддержка DoH в приложениях, в частности в браузерах, означает, что DNS-запросы, инициируемые программой, зашифровываются. Однако, запросы от других браузеров, которые не поддерживают DNS over HTTPS, будут совершаться в открытом текстовом виде.

Microsoft собирается это изменить, внедрив поддержку DNS over HTTPS в операционную систему Windows 10. В инсайдерской сборке Windows 10 Build 19628 была добавлена начальная поддержка DNS over HTTPS, а в Windows 10 Build 20185 (Dev) появилась возможность настраивать шифрование DNS over HTTPS в приложении «Параметры». После успешного тестирования технология станет доступна в стабильных сборках ОС.

Нативная поддержка DNS over HTTPS в Windows 10

Убедитесь, что ваша учетная запись Microsoft является частью Программы предварительной оценки Windows 10. Если вы знаете, что уже являетесь инсайдером Windows, убедитесь, что находитесь на канале обновления Dev и перейдите к настройке DNS over HTTPS. Если нет, то следуйте нашим инструкциям, чтобы получить последнюю версию сборки Windows 10 Insider Preview на Канале Dev.

После этого запустите Центр обновления Windows, установите последнюю доступную сборку и убедитесь, что вы используете Windows 10 Build 20185 или выше. Для проверки версии Windows 10 запустите окно команды Выполнить (Win+R) и введите команду winver .

Как включить нативный DoH-клиент в Windows 10

Как только вы узнаете, что у вашей версии Windows 10 есть поддержка нативного DoH-клиента, вы сможете включить шифрование DNS over HTTPS в приложении «Параметры». Для этого выполните следующие действия:

• Для Ethernet-соединений: Перейдите в меню Параметры > Сеть и Интернет > Состояние. Щелкните Свойства, затем выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне.
• Для Wi-Fi-подключений: Перейдите в Перейдите в меню Параметры > Сеть и Интернет» > Wi-Fi. Щелкните ссылку «Свойства адаптера», затем выберите выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне. В настоящее время вы не увидите опции шифрования, если перейдете на страницу свойств отдельной сети.

Для настройки шифрования DNS–запросов доступны следующие опции в выпадающем меню Предпочтительное шифрование DNS:

• Только незашифрованные
• Только зашифрованные (DNS поверх HTTPS)
• Зашифрованный предпочтительный, незашифрованный

Чтобы разблокировать выпадающее меню и выбрать использование шифрования DNS over HTTPS, вы должны добавить IP-адрес, указанный ниже в таблице. В данный момент Microsoft поддерживает только безопасные серверы Cloudflare DNS, Google Public DNS и Quad9 DNS:

Провайдер	IP-адреса серверов
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Примечание

Если вы хотите использовать другие DoH-серверы, которые Microsoft еще не поддерживает, вы можете настроить IP-адрес для распознавания в качестве DoH-сервера с помощью команды netsh по данной инструкции.

Убедитесь, что шифрование включено, посмотрев на применяемые DNS-серверы в свойствах сети – вы должны увидеть, что используемые серверы помечены как (зашифровано).

Как проверить работу DNS over HTTPS в Windows 10

Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Откройте Командную строку или PowerShell от имени администратора. Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:

Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).

Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.

Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 10

Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.

Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды от имени администратора:

Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды, которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:

Теперь, если настроить Windows 10 на использование IP-адресов Comss.one DNS (93.115.24.204 и 93.115.24.205) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS:

Выполните проверку работы добавленного DoH-сервера.

Mdns windows 10 disable

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

How do I disable the windows 10 DNS client service (DNS local Cache).

C:\WINDOWS\system32>net stop dnscache
The requested pause, continue, or stop is not valid for this service.

Answers

Disable DNS Client through registry:

Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache,
Locate the Start registry key and change its value from 2 (Automatic) to 4 (Disabled)

Disable DNS client through command line:

REG add «HKLM\SYSTEM\CurrentControlSet\services\Dnscache» /v Start /t REG_DWORD /d 4 /f

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

All replies

You’ll have to use the PsExec tools from SysInternals.

That way you can start your CMD as NETWORK SERVICE (the account that manages the dnscache service).

You can afterwards run the same command, and it should be able to stop the service.

Please remember to mark the post(s), which answered your question.

Disable DNS Client through registry:

Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache,
Locate the Start registry key and change its value from 2 (Automatic) to 4 (Disabled)

Disable DNS client through command line:

REG add «HKLM\SYSTEM\CurrentControlSet\services\Dnscache» /v Start /t REG_DWORD /d 4 /f

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

Disable DNS Client through registry:

Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache,
Locate the Start registry key and change its value from 2 (Automatic) to 4 (Disabled)

Disable DNS client through command line:

REG add «HKLM\SYSTEM\CurrentControlSet\services\Dnscache» /v Start /t REG_DWORD /d 4 /f

Question: Q: How to disable MDNS

Hello,
I have a MAC OS NB. When I link its ethernet to the LAN of my router modem, it will send MDNS to cause my another NB on the same LAN of the router modem not to access internet because another NB can’t get its DNS response packets. My question is why MAC OS NB doesn’t send pure DNS packets and send MDNS. Because it causes my NB can’t access internet, I need to know how to disable MDNS. This is my mail address, **@**.com. You can also send the solution to me. Thanks in advanced.

Message was edited by: JackyYeh

MAC NB, Mac OS X (10.6), MAC NB

Posted on Feb 9, 2011 12:03 AM

All replies

Loading page content

Page content loaded

mDNS doesn’t affect regular DNS, so that’s not the problem.

OS X does send DNS requests and replies like any other OS. For that matter, most modern OS’s also have mDNS services. Bonjour (Apple’s implementation) is available for OS X and Windows, and there’s Avahi for Linux and NetBSD systems. Windows CE has a similar function.

When a machine in a network needs to resolve a host name, it sends a DNS request to the list of DNS servers manually configured or provided by DHCP from the local network’s DHCP service. If a machine wants to perform local service discovery on the LAN, it instead sends out a multicast DNS request and a system on the LAN replies. Fundamentally, the requests are handled differently and don’t interfere with one another. mDNS doesn’t respond to regular DNS requests (which your switch or router shouldn’t even make visible to the other systems on the LAN), and systems with mDNS do not use it to replace standard DNS requests.

On Windows systems, you can disable mDNS by disabling the Bonjour (if present) and ZeroConf services in the services administration panel. In Linux, you disable it by logging in as root and typing

In OS X, you can disable it by opening terminal and typing the following:

. this is unlikely to resolve your problem as mDNS is not likely the cause. Disabling mDNS will disable service discovery on your local network, so file shares, printer shares, photo and music sharing, screen sharing, etc. can all be affected.

Mdns windows 10 disable

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

General discussion

Windows 10, in its default configuration, will spam its local networks by responding to all mDNS requests with null response packets.
This appears to be in violation of RFC 6762 Section 6, which states:
«A Multicast DNS responder MUST only respond when it has a positive, non-null response to send, or it authoritatively knows that a particular record does not exist.»

It is becomming an increasing problem on our networks, where compliant non-Microsoft equipment will often respond to an invalid mDNS packet by generating an error message, cluttering system logs and wasting ressources.
As Windows 10 adoption rises, so does the need to filter out these error-generating packets. Just a handful of Windows 10 PCs on a subnet may broadcast hundreds of invalid packets per minute, causing an equal number of error messages to be generated on some devices, particularly those running an Avahi-based zeroconf implementation.

I have not been able to find a way to report this bug directly to Microsoft, but if it isn’t going to be fixed anytime soon, corporations might be forced to start filtering these erroneous mDNS packets from Windows 10.

Does anybody know how to properly report this?

All replies

We just ran in to this the other day as well. Noticed all of my physical switches up 10-20% CPU as well as it hurting my wireless network with the Apple IOS devices hurting the most as they respond to this traffic. (Queue up conspiracy)

We are a college so we had hundreds of student windows 10 devices. I had to shut off all multicast traffic on the wireless to get it straightened out.

I do have the same problem, avahi-daemon on linux computers or servers reports a lot of invalid response packet, only from Windows 10 computers.

There’s obviously a problem with both systems, but I would appreciate a solution from Microsoft. I don’t like to sea spammy multicasts for «nothing».

Same problem here.

I make a report in «Windows Feedback».

This has now been addressed by Avahi. These invalid mDNS entries will not be logged starting with Avahi version 0.6.32 IPv6 have been enabled by default in the same release.

Microsoft should still fix the actual issue on their end, but at least the log harassment can be stopped.

And this issue has now been fixed in Windows 10 Insider.

Update: Should be deploying over Windows Update to all Windows 10 users now.

I wanted to circle back around on this issue and let you know this issue was fixed in Windows 10 1511 (10586) and higher builds. If you are seeing the issue on newer builds after 10586, please let me know.

Adam Rudell | Windows Networking Beta | Microsoft Corporation

I also have stil this problem

With kind regards, Bas van den Dikkenberg

I also have this issue? Any sign of a Fix on the Windows 10 side?
Thanks

I’m still needing a fix for this as well. Found floods of mDNS «Standard query response 0x0000» packets on our switches. One Extreme Networks switch was giving me CPU Utilization errors multiple times a day. Just found, every single device that was sending this data was a Windows 10 machine.

I’d like to be able to shut down whatever in Windows 10 is doing this with a GPO so that I don’t have to block all mDNS/Bonjour traffic.

I’m still seeing this problem does anyone know if there is a practical fix for this.

I wanted to circle back around on this issue and let you know this issue was fixed in Windows 10 1511 (10586) and higher builds. If you are seeing the issue on newer builds after 10586, please let me know.

Adam Rudell | Windows Networking Beta | Microsoft Corporation

Adam, we can assure you this issue still exists in version 1909, build 18363.693. We just experienced enough traffic over this issue to take down an entire edge stack of switches. Not excited about that. or the lack of resolution/response from Microsoft. It would be great if there was a way to control this new behavior with Group Policy, or for it to simply be resolved by Microsoft.

wjohnsonky, Extreme GTAC is always awesome and gave us this ACL for us to bandaid this problem from Microsoft:

entry mdns <
if <
destination-address 224.0.0.251/32;
> then <
count mdns;
deny-cpu;
>
>

entry llmnr <
if <
destination-address 224.0.0.251/32;
> then <
count llmnr;
deny-cpu;
>
>

Hope it helps someone.

I apologize for not responding on this forum sooner. I have switched roles in the company and my alert notifications were buried in an old email rule that I recently removed. I still have some contacts with my old team and I will pass along the information to them.

If anything else, I would suggest opening a support ticket with Microsoft so that we can collect network traces and other data points from your environment for investigation.

I will let you know what I hear in the meantime.

UPDATE: I reached out to some of my old colleagues and we have seen instances of these where mDNS is being sent out. It could be an application that is generating the mDNS traffic that is installed on your Windows workstations. For example, Apple’s Bonjour uses mDNS and is known to send a lot of traffic on the wire. I am not saying in your instance it’s Apple Bonjour service, but could be a different application installed on your workstations.

My colleagues recommended to open a support ticket with Microsoft so we can investigate further with you to isolate where the traffic is originating from.

If you do not want to pursue further investigation, then our recommendation is to apply firewall ACLs on your network equipment to block the traffic.

Adam Rudell | Azure Stack Hub | Microsoft Corporation