[ab FW xx.04.78-15559 gelöst] - "Netzwerkstürme" durch LLMNR

B

Benares

Guest
Microsoft nutzt in Windows7 neben DNS auch das Protokoll Link-local Multicast Name Resolution (LLMNR) zur Namensauflösung im lokalen Netzwerk. Dies ermöglicht es, auch Hosts mit Namen anzusprechen, die nicht über DNS aufgelöst werden. Das Protokoll ist erkennbar an UDP-Pakete an IP 224.0.0.252 mit Ziel-Port 5355 und ist eigentlich für Netze gedacht, in denen kein DNS-Server existiert.

Das Protokoll ist recht simpel. Der Fragende schickt einen LLMNR-Request per UDP an die o.g. Multicast-Adresse. Gibt es einen Rechner mit dem geforderten Namen, so antwortet dieser mit einem Unicast-LLMNR-Response an den Fragenden und teilt diesem seine Adresse mit.

Nun hat AVM bei seinen neuen Firmwaren >76 (also z.B. bei der 54.04.97-15195 für die 7270) einen netten kleinen Fehler eingebaut:
Jeder aufgeschnappte LLMNR-Request wird von der Fritzbox wiederholt, d.h. nochmal von ihr gesendet (warum auch immer). Vermutlich soll dies helfen, die LAN-Tabelle zu füllen. Hat man mehr als eine Fritzbox im lokalen Netz, entsteht ein wahres PingPong-Spiel zwischen den Fritzboxen, das sich mit jedem weiteren LLMNR-Request eines Windows7-Clients weiter aufschaukelt. Es entsteht ein regelrechter "Sturm" im lokalen Netz, der nur durch Reboot einer der Boxen beendet werden kann. Das Verhalten lässt sich mit Programmen wie "Wireshark" recht gut verfolgen.

Achtet bitte mal darauf, wenn ihr demnächst Windows7 in einem Netz mit mehreren Fritzboxen einsetzt und eine der neueren Firmwaren verwendet.

Ich habe das Problem an AVM gemeldet. Die konnten das Problem auch nachvollziehen. Die Lösungsvorschläge haben sich allerdings leider darauf beschränkt, LLMNR per Group-Policy in Windows7 abzuschalten, was wohl nicht die Lösung sein kann.

Gruß
Gerhard
 
Zuletzt bearbeitet von einem Moderator:
Eine Lösung ist es wirklich nicht besonders da erst Win 7 Pro überhaupt Group-Policy unterstützt und die nutzung nichts für laien ist...

auch regisrty Fummeleien sollte nicht notwenidg sein.
 
Eine Lösung ist es wirklich nicht besonders da erst Win 7 Pro überhaupt Group-Policy unterstützt und die nutzung nichts für laien ist

..und wohl <1% der Anwender mehr als eine Fritzbox in ihrem lokalen Netzwerk haben.
 
WDS-Repeater, WLAn-N Repeater, also AccesPoint,...
Also Gründe für mehrere Fritten gibts genug.

Das sidn nicht nur die Super-Profis, die mehrere Fritten im Einsatz haben...
 
Mich betrifft das auch, hab zwei PCs mit Win 7 Pro und zwei 7270. Hatte bisher selten beide Rechner gleichzeitig an, werde das dann wohl vermeiden.
 
...werde das dann wohl vermeiden.

Äh...warum? Bist jetzt wurde doch nur festgestellt, dass da Anfragen durch's "Hausnetz" geistern. Ich bin da zwar nicht firm drin, aber für mich wären hier die elementaren Fragen (u.a. an den Threadersteller):

a) Wie fällt einem sowas auf?
b) Welche Beeinträchtigungen entstehen dadurch?
c) Wie "messe" ich das bei mir (Mitschnitt von der Fritte, wenn ja, welcher)????
d) Was genau muss denn für ein Faktor gegeben sein, dass diese Anfragen nicht beantwortet werden (denn das scheint mir eher das Problem zu sein)???
e) Was genau hat die FRITZ!Box damit zu tun, denn 224.0.0.252 finde ich nirgends in den Daten der Box, lediglich folgendes:

udp 0 0 0.0.0.0:5355 0.0.0.0:*

f) Was genau deutet hier auf einen "netten kleinen Fehler" in der Firmware hin?
g) Kann man das nicht unterbinden, indem man einfach die IP bzw. den Port auf dem OS sperrt?

Wäre schön, wenn jemand Antworten auf diese Fragen hätte!
 
Hallo persson6,

da kann ich dir gerne antworten (in rot)
Äh...warum? Bist jetzt wurde doch nur festgestellt, dass da Anfragen durch's "Hausnetz" geistern. Ich bin da zwar nicht firm drin, aber für mich wären hier die elementaren Fragen (u.a. an den Threadersteller):

a) Wie fällt einem sowas auf?
z.B. wenn die Switches wild synchron blinken obwohl kaum was los ist.

b) Welche Beeinträchtigungen entstehen dadurch?
unnötige Netzwerklast und die Performance der Boxen geht in die Knie. Das ganze schaukelt sich auf.

c) Wie "messe" ich das bei mir (Mitschnitt von der Fritte, wenn ja, welcher)????
Entweder mit http://<ip>/html/capture.html, "Paketmitschnitt auf Interface" oder besser auf dem PC mit "Wireshark"

d) Was genau muss denn für ein Faktor gegeben sein, dass diese Anfragen nicht beantwortet werden (denn das scheint mir eher das Problem zu sein)???
Egal, ob ne Antwort kommt oder nicht. Ein Win7-PC fragt beim Booten nach dem eigenen Namen (so ist das bei LLMNR spezifiziert um doppelte Namen zu erkennen/vermeiden), das ist der Auslöser. Dieser Request wird von der 1. Box aufgeschnappt und wiederholt (da liegt der Fehler), dieser wird von der 2. Box aufgeschnappt und wiederholt, dieser wiederum von der 1. Box usw, endlos. Das geht auch so weiter, wenn der Win7-PC längst wieder aus ist

e) Was genau hat die FRITZ!Box damit zu tun, denn 224.0.0.252 finde ich nirgends in den Daten der Box, lediglich folgendes:
udp 0 0 0.0.0.0:5355 0.0.0.0:*
siehe unter d) 224.0.0.252 ist eine Multicast-Adresse

f) Was genau deutet hier auf einen "netten kleinen Fehler" in der Firmware hin?
Dieses Verhalten eben. Auf LLMNR-Requests darf nur der "Namesinhaber" antworten. Dass jemand den Request aufschnappt und daraus selbst wieder einen Request erzeugt, ist nicht Sinn der Sache. Daraus entsteht das beschriebene Verhalten, wenn mehr als einer dies tut.

g) Kann man das nicht unterbinden, indem man einfach die IP bzw. den Port auf dem OS sperrt?
Bei Win7 kann man LLMNR über eine Group-Policy unterbinden (gpedit.msc), aber Group Policies kann man mit den kleineren Win7-Versionen nicht bearbeiten (s. #2). Und was machst du, wenn im Netz mehr als ein Win7-PC existiert und nicht alle unter deiner Kontrolle sind?

Einen sehr guten Artikel zu LLMNR findet man z.B. hier.

Gruß
Gerhard
 
Zuletzt bearbeitet von einem Moderator:
Mich betrifft das auch, hab zwei PCs mit Win 7 Pro und zwei 7270. Hatte bisher selten beide Rechner gleichzeitig an, werde das dann wohl vermeiden.
Es kommt eher darauf an, ob die beiden Fritzboxen gleichzeitig an sind.

Gruß
Gerhard
 
2 Fragen habe ich da noch:

1. Wie sind die beiden FB verbunden, in welchem Modus läuft die 2.?

2. Meinst Du wirklich erst ab FW>.76 oder auch schon ab .76?
 
2 Fragen habe ich da noch:

1. Wie sind die beiden FB verbunden, in welchem Modus läuft die 2.?
Ich habe 3 Boxen im LAN:
a) eine 7270 als Router (.76) im Keller
b) eine 7270 als WLAN-AP, DECT-Basis, WDS-Basis (54.04.97-15195) im Arbeitszimmer (Internet über LAN1)
c) eine 7170 als WDS-Repeater (.76) im Wohnzimmer


2. Meinst Du wirklich erst ab FW>.76 oder auch schon ab .76?
Das weiss ich eben nicht genau.
Sind alle an, und ein Win7-PC bootet, spielen alle 3 PingPong (bis ich b boote).
Ist b) aus (dadurch ist natürlich auch c nicht erreichbar), passiert nichts.
Eine Kombination aus 2 x .76 kann ich im Moment schlecht nachstellen.

Wäre schön, wenn das mal jemand probieren könnte, der 2 Boxen mit .76 hat

Gruß
Gerhard
 
Zuletzt bearbeitet von einem Moderator:
Und in welcher Betriebsart läuft die "b)" ?
Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
oder
Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)


Na wenn Deine FB7270 im Keller die FW .76 und das "nette Spiel" mit macht, dann ist der Fehler ja schon ab der .76 drin. Da könntest Du nur mal versuchen eine FB7270 auf die FW .70 zu nehmen, vieleicht ist dann der PingPong weg.
 
Ich hätte hier auch die Gelegenheit, das zu testen, bzw. hab ich das grade:
Ich habe hier zwei Boxen:
Box A: Eine 7270 V2 mit 76er Firmware (mit Freetz erweitert)
Box B: Eine 7170 ebenfalls mit 76er Firmware (nicht modifiziert, eigentlich als WLAN-Repeater für meine Thonson IP; zum testen dieses "Netzwerksturms" aber via LAN-Kabel über einen Switch direkt verkabelt, WLAN deaktiviert).

So, jetzt meine Frage:
Wie soll sich der "Sturm" den Bemerkbar machen? Ein Neustart meines PC's (Windows7 Ultimate - RC1) brachte keine Veränderung des gelegentlichen blinken am Switch. Kann man diese LLMNR-Abfrage auch manuell auslösen?
 
Und in welcher Betriebsart läuft die "b)" ?
Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
oder
Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)
Die b) läuft als IP-Client

Na wenn Deine FB7270 im Keller die FW .76 und das "nette Spiel" mit macht, dann ist der Fehler ja schon ab der .76 drin. Da könntest Du nur mal versuchen eine FB7270 auf die FW .70 zu nehmen, vieleicht ist dann der PingPong weg.
Vermutlich ist der Fehler auch schon bei der .76 drin, genaues kann nur AVM sagen.
Ich will ja nicht downgraden, sondern dass AVM das Problem behebt. Und dass geht nur, wenn noch mehr Anwender sich melden.

Ein richtiger "Fehler" ist es ja noch nicht einmal. Die Idee, damit die LAN-Tabelle (Vermutung) zu füllen, ist auf den ersten Blick sogar recht originell. Lediglich der "Denkfehler", welche Nebenwirkungen damit bei mehr als einer Box auftreten, ist zu gemängeln.

Gruß
Gerhard
 
Kann man diese LLMNR-Abfrage auch manuell auslösen?

Mit dem originalen "Sniffer" kann man ein gesniffertes Packet (oder auch mherere) auch wieder aussenden, ob das bei anderen z.B. wireshark geht weiß ich nicht.
 
So, jetzt meine Frage:
Wie soll sich der "Sturm" den Bemerkbar machen? Ein Neustart meines PC's (Windows7 Ultimate - RC1) brachte keine Veränderung des gelegentlichen blinken am Switch. Kann man diese LLMNR-Abfrage auch manuell auslösen?

Wäre schön, wenn du das mal testen könntest.

Ich weiss nicht, ob der RC1 auch schon LLMNR-Requests beim Booten absetzt, die Ultimate Final tut es auf jeden Fall. Das kannst du aber mit "Wireshark" sehen.

Wenn du möchtest, kannst du mit dem angehängten Programm auch manuell ein paar Requests ins Netz pusten und sehen was passiert (benötigt allerdings .Net-Framework)

Gruß
Gerhard
 

Anhänge

  • LLMNR_Test.zip
    9.7 KB · Aufrufe: 14
@gmeyer: Na wenn das wirklich schon ab der .76 so ist, dann wundern mich hier in den Foren einige Probleme nicht mehr. Stell Dir jetzt bloß noch mal vor, Du hast nicht 2 sondern 3 solche FB in einem LAN, dann ist es kein PingPong mehr sondern dann hast Du im nu einen richtigen Netzwerksturm und Deine CPU ist in kürze auf 100%.

Kannst Du nicht mal einen Trace von Deinem PingPong hier reinstellen oder mir per PN zukommen lassen?
 
Habe mir dein kleines Testprogramm grad mal herunter geladen. Muss ich da irgendwas einstellen, oder nur auf "senden" klicken?
Also jedenfalls mit Prefix "ADR" und "100 Requests" ist jedenfalls nur ganz kurz Traffic am Switch erkennbar, danach ist wieder ruhe.

EDIT:
Ja, wenn das bei der 76er so sein sollte (ich kann es Momentan noch nicht reproduzieren), dann wird ja bei mehr als zwei Boxen der Request jedesmal um die Anzahl der Boxen multiplziert. Dass führt natürlich dann zu einem massiven Netzwerksturm. Ich habe leider keine dritte Box mit 76er Firmware mehr zum testen.
 
Zuletzt bearbeitet:
Habe mir dein kleines Testprogramm grad mal herunter geladen. Muss ich da irgendwas einstellen, oder nur auf "senden" klicken?
Also jedenfalls mit Prefix "ADR" und "100 Requests" ist jedenfalls nur ganz kurz Traffic am Switch erkennbar, danach ist wieder ruhe.
Einfach nur "senden" drücken. Per Default werden 100 Requests für die Hosts "ADR1" bis "ADR100" ins Netz geschickt.

Ich häng euch mal einen Trace von einem Lauf bei mir an. .10 ist mein (XP-)PC, .3, .5, .8 sind die Fritzboxen. Ausgangslage war ein "ruhiges" Netz (b) gebootet). Ab Paket 103 geht PingPong los.

Gruß
Gerhard
 

Anhänge

  • trace_2009.10.14.zip
    296.9 KB · Aufrufe: 13
Also ich kann keinen "Netzwerksturm" auslösen!?
Wenn mir noch einer sagen kann, was ich als Filter wählen muss, damit in Wireshark nur die LLMNR-Geschichte angezeigt wird, dann kann ich auch einen Trace hochladen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.