Definition

Was ist LLMNR (Link-Local Multicast Name Resolution)?

| Autor / Redakteur: Stefan Luber / Andreas Donner

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - stock.adobe.com)

Link-Local Multicast Name Resolution ist ein im RFC 4795 spezifiziertes Protokoll zur Namensauflösung. Es ist für lokale Netzwerke vorgesehen und basiert auf dem Paketformat des Domain Name Systems. Microsoft hat das Protokoll in den Windows-Betriebssystemen seit Windows Vista integriert. Auch unter Linux kann es verwendet werden.

Die Abkürzung LLMNR steht für Link-Local Multicast Name Resolution. Es handelt sich um ein Protokoll zur Namensauflösung in lokalen Netzwerken. LLMNR basiert auf dem Paketformat des DNS (Domain Name System) und ist sowohl für IPv4 als auch IPv6 nutzbar. Spezifiziert ist das Protokoll im RFC 4795.

Microsoft hat Link-Local Multicast Name Resolution ab Windows Vista in den nachfolgenden Versionen wie Windows 7, Windows 8 oder Windows 10 implementiert. Auf Linux-basierten Systemen lässt es sich über den Systemservice systemd-resolved nutzen. Link-Local Multicast Name Resolution ist neben DNS und NetBIOS Name Service (NBNS) eine weitere Methode, um IP-Adressen zu einem gegebenen Domainnamen aufzulösen. Im TCP/IP-Referenzmodell ist das Protokoll auf der Anwendungsebene (Layer 5, 6 und 7 des IOS/OSI-Referenzmodells) angesiedelt. Für Anfragen nutzt es nutzt IP-Multicast-Adressen sowie den Port 5355 (UDP und TCP).

Ablauf einer Namensauflösung mit LLMNR

Möchte ein Rechner die IP-Adresse eines Domain-Namens auflösen, läuft dies in der Regel in mehreren Schritten ab. Auf einem Windows-System wird zunächst die lokale Hosts-Datei geprüft, ob dort der Name eingetragen ist. Ist dies nicht der Fall, sendet der Rechner eine DNS-Anfrage an den zuständigen DNS-Server. Erhält er von dort keine Antwort, beginnt der Windows-Rechner im lokalen Netz nach dem Namen zu suchen. Hierfür kommen der NetBIOS Name Service (NBNS) und Link-Local Multicast Name Resolution zum Einsatz. Im Folgenden kurz zusammengefasst ein möglicher Ablauf einer LLMNR-Namensauflösung:

  • 1. Prüfung der lokalen Hosts-Datei
  • 2. DNS-Anfrage an den zuständigen DNS-Server
  • 3. falls keine DNS-Antwort: Multicast im lokalen Subnetz mit LLMNR-Anfrage
  • 4. LLMNR-Antwort eines Hosts als Unicast mit dem Inhalt der gewünschten IP-Adresse

In einem IPv4-Netz lautet die verwendete Multicast-Adresse 224.0.0.252, die zugehörige MAC-Adresse ist 01-00-5E-00-00-FC. In einem IPv6-Netz ist die Multicast-Adresse FF02::1:3. Die zugehörige MAC-Adresse lautet 33-33-00-01-00-03. Das Format der Anfragen und Antworten basiert auf dem DNS-Paketformat. Es werden je nach IP-Adresstyp, ob IPv4- oder IPv6-Adresse, A Resource Records oder AAAA Resource Records genutzt.

Mögliche Sicherheitsrisiken bei der Verwendung von Link-Local Multicast Name Resolution

Für Link-Local Multicast Name Resolution gilt es, einige Sicherheitsaspekte zu beachten. Bei Windows-Rechnern ist das Protokoll genau wie NetBIOS Name Service (NBNS) prinzipiell aktiviert. Zwar kommt Link-Local Multicast Name Resolution nur im lokalen Netz zum Einsatz, doch gelangt ein Angreifer beispielsweise über einen per Trojaner infizierten Rechner in das lokale Netzwerk, kann er mithilfe des Protokolls versuchen, den Verkehr zu sich umzulenken oder einen Denial-of-Service-Angriff zu starten. Vor allem in öffentlichen WLANs könnten Angreifer diese Angriffsmethode ausnutzen, da das WLAN prinzipiell für jeden offen steht. In einem kabelbasierten LAN ist es schwieriger, denn ein Angreifer benötigt hier Zugriff auf eine Station im LAN oder physischen Zugriff auf das LAN selbst. Ein möglicher Angriff könnte vereinfacht beschrieben folgendermaßen ablaufen:

Fragt ein Rechner im lokalen Netzwerk per LLMNR nach der IP-Adresse einer bestimmten Ressource, antwortet der Angreifer auf die Anfrage mit seiner IP-Adresse. Akzeptiert der anfragende Rechner diese Antwort, schickt er anschließend den Datenverkehr, der für die zuvor angefragte Ressource vorgesehen ist, an den Rechner des Angreifers. Diese Methode wird auch als LLMNR-Spoofing bezeichnet. Auch verschiedene Szenarien für Denial-of-Service-Angriffe (DoS-Angriffe) mithilfe des Protokolls sind denkbar. Um die Namensauflösung auf die übliche DNS-Methode zu beschränken und mögliche Sicherheitsrisiken auszuschließen, kann Link-Local Multicast Name Resolution auf Windows-Rechnern deaktiviert werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46375213 / Definitionen)