MDNS DDoS 反射放大攻击——攻击者假冒被攻击者IP向网络发送DNS请求，域名为“_services._dns-sd._udp.local”，这将引起本地网络中所有提供服务的主机都向被攻击者IP发送DNS响应，列举网络中所有服务

MDNS Reflection DDoS

2015年3月，有报告叙述了mDNS 成为反射式和放大式 DDoS 攻击中所用媒介的可能性，并详述了 mDNS 反射式攻击的原理和相应防御方式。Q3，Akamai SIRT开始观测现网是否存在mDNS反射放大攻击。

攻击威胁

2015年9月，第一次在现网观测到mDNS反射放大攻击。

攻击中，抓到攻击者假冒被攻击者IP向网络发送DNS请求，域名为“_services._dns-sd._udp.local”，这将引起本地网络中所有提供服务的主机都向被攻击者IP发送DNS响应，列举网络中所有服务。一般来说请求报文payload只有46字节，而响应报文一般在100至200字节，当响应报文payload为200字节时达到4.35倍的放大效果。至今为止现网观察到的响应报文payload最大达到428字节。

 

防御现状

配置自定义过滤器后，可检测及防御mDNS反射放大攻击。但用户对该攻击不了解，一般不会在攻击前配置自定义过滤器，且有些用户即使抓包查看到该攻击报文也不了解该种攻击，导致现网不能及时检测和防御该类攻击。

防御改进

增加预定义过滤器，过滤UDP源端口为5353的报文。

因该协议主要用于没有常规DNS服务器的网络中来实现类似的DNS服务，DDoS防御的汇聚层或网关位置不会出现该协议，所以可通过过滤器把UDP源端口为5353的报文过滤掉。同时，在手册中要说明，如果用户防御对象中有无配置网络流量不能配置该过滤器。