LLMNR und IPv6: Was es ist, Risiken in öffentlichen WLAN-Netzen und wie man es deaktiviert

Letzte Aktualisierung: 28/10/2025
Autor: Holger
  • LLMNR- und IPv6-Datenverkehr (DHCPv6, ICMPv6) treten in lokalen Netzwerken auf und können in öffentlichen WLANs ausgenutzt werden, wenn sie nicht kontrolliert werden.
  • IPv6 hat Vorrang vor IPv4: RA, SLAAC und Tunnel (6to4, ISATAP, Teredo) vergrößern die Angriffsfläche, wenn sie nicht entsprechend verwaltet werden.
  • Durch die Deaktivierung von IPv6 bei Nichtgebrauch und die Begrenzung von LLMNR werden MITM-Angriffe und Identitätsdiebstahl reduziert; VPN In nicht vertrauenswürdigen Netzwerken ist es von entscheidender Bedeutung.

So erfahren Sie, wie viele Geräte in Windows 11 mit meinem Wi-Fi-Netzwerk verbunden sind

In offenen Netzwerken wie in Cafés oder Flughäfen kommuniziert Ihr Computer üblicherweise im Hintergrund, um Dienste zu finden und Namen aufzulösen. Einer dieser Mechanismen ist LLMNR. Wenn auf Ihrem System auch IPv6 aktiviert ist, werden Sie ebenfalls Pakete sehen, die mit diesem Protokoll zusammenhängen. Beide können zu Toren werden für opportunistische Angriffe, wenn sie nicht überwacht oder ordnungsgemäß konfiguriert sind.

Ziel ist es, zu erklären, was LLMNR mit Ihrem Netzwerk zu tun hat, wie es mit IPv6 zusammenhängt und warum es ratsam ist, den Gefahrenbereich zu reduzieren, wenn Sie sich mit einem öffentlichen WLAN verbinden. Sie werden Vorteile, reale Risiken und praktische Schritte kennenlernen. Um IPv6 zu überprüfen und zu deaktivieren, wenn es nicht verwendet wird, sowie um zu verstehen, warum LLMNR in Verkehrsaufzeichnungen auftaucht und wie man verhindern kann, dass es Probleme verursacht.

LLMNR kurz zusammengefasst und seine Beziehung zum Verkehr, den Sie sehen

LLMNR (Link-Local Multicast Name Resolution) ist eine Methode, die hauptsächlich von Geräten verwendet wird. Windows Zur Namensauflösung im lokalen Netzwerk, wenn der DNS-Server nicht reagiert. Er arbeitet im Multicast-Modus über die lokale Verbindung, sodass jeder Host in der Nähe antworten kann. In öffentlichen Netzwerken kann jeder ein Angreifer sein. Es wird versucht, Antworten zu fälschen und Ihren Datenverkehr umzuleiten. In Wireshark-Aufzeichnungen sind häufig LLMNR-Nachrichten neben DHCPv6- und ICMPv6-Nachrichten zu sehen: Dies sind „Erkennungs“-Kommunikationen, die, wenn sie nicht kontrolliert werden, Dritten ermöglichen, Ihre Verbindungen abzufangen.

Kompliziert wird es, wenn Ihr System IPv6 gegenüber IPv4 priorisiert, da es zuerst versucht, die Adresse mithilfe von AAAA-Einträgen und IPv6-Routen aufzulösen. Wenn Sie IPv6 nicht verwenden, es aber aktiviert ist und nicht überwacht wirdSie fügen unbemerkt weitere Angriffsvektoren hinzu, und LLMNR kann eines der Rauschsignale sein, die auf Probleme in unzuverlässigen Netzwerken hinweisen.

IPv6: Priorität durch Design und was das für die Sicherheit bedeutet

Aktuelle Systeme priorisieren IPv6, wenn möglich. Unter Windows können Sie dies mit folgendem Befehl überprüfen: netsh interface ipv6 show prefixpolicies, wo man sehen kann, dass IPv6 hat eine höhere Priorität. zu IPv4. Darüber hinaus versucht der Browser beim Eingeben einer URL zunächst, AAAA-Einträge aufzulösen, und erst wenn dies fehlschlägt, geht er zu A über, was zusätzliche Abfragen und Prüfungen mit sich bringt.

Um zu überprüfen, ob IPv6 in Windows aktiviert ist, klicken Sie auf die Schaltfläche „Start“, dann auf „Systemsteuerung“ und anschließend auf „Netzwerk- und Freigabecenter“. Dort können Sie Ihre LAN-Verbindung aufrufen und auf „Eigenschaften“ klicken. Sie können auch eine Konsole öffnen und Folgendes ausführen: ipconfigUnter den Daten finden Sie die Angabe „Link: lokale IPv6-Adresse“ (link-local). Dies ist die IP-Adresse FE80::, die automatisch für den Betrieb mit diesem Protokoll konfiguriert wird.

Weitgehende Kompatibilität, aber uneinheitliche Konfiguration

Abgesehen vom PC unterstützt praktisch alles, was mit dem Netzwerk verbunden ist, IPv6: Firewalls, IDS, Sniffer, Mobiltelefone, Tablets und Netzwerkgeräte verschiedener Hersteller; zum Beispiel Cisco-Geräte bieten umfassende Unterstützung von seiner iOS 15. Die eigentliche Schwierigkeit liegt in der Regel nicht in der technischen Kompatibilität, sondern im Fehlen einer spezifischen Konfiguration und Überwachung des IPv6-Verkehrs. Dadurch entstehen ausnutzbare Sicherheitslücken selbst in Netzwerken, die "nur IPv4 verwenden".

  Was ist das Bonjour-Programm und wozu dient es? Alles was Sie wissen müssen

Die bloße Tatsache, dass ein Gerät "IPv6-Unterstützung" ohne korrekte Konfiguration Dies erhöht die Anzahl der Angriffsvektoren drastisch, und viele bleiben von Administratoren und Benutzern unbemerkt. Daher ist es ratsam, zu überprüfen, welche IPv6-Funktionen aktiv sind und welchen Status sie aktuell haben.

Echte Vorteile von IPv6

IPv6 wurde entwickelt, um dem Internet einen praktisch unbegrenzten Adressraum zur Verfügung zu stellen. Zu seinen Vorteilen zählt insbesondere, dass es … eine öffentliche IP-Adresse pro GerätDadurch werden NAT-Übersetzungen vermieden; außerdem integriert es flexiblere Selbstkonfigurationsmethoden (DHCPv6 und SLAAC) als IPv4, was die Bereitstellung beschleunigt.

Dieses Protokoll sieht außerdem vor, dass verbesserte Mobilität und native Unterstützung Für Geräte wie Smartphones ermöglicht dies nahtlosere Netzwerkübergänge und ortsunabhängige Benachrichtigungen. Die Sicherheit lässt sich mit IPsec auf natürliche Weise erhöhen, und der vereinfachte Header optimiert die Paketverarbeitung. Dank Plug-and-Play-Funktionalität wird die Geräteintegration ins Netzwerk vereinfacht.

Warum hat er noch nicht die Verantwortung übernommen?

Eines der Hindernisse ist, dass IPv6 ist nicht direkt mit IPv4 kompatibel.Daher erfordert die Koexistenz Dual-Stack-Architekturen, Übersetzungsmechanismen oder Tunneling. Obwohl die Idee einer Migration mit beiden Protokollen parallel sinnvoll erschien, hat der vollständige Übergang noch nicht stattgefunden und ist kurzfristig auch nicht zu erwarten.

Obwohl die Akzeptanz anfangs stark zunahm, Das Tempo verlangsamte sich und erreichte nicht das erwartete Niveau.Erschwerend kommt hinzu, dass IPv4-Adressen in der Praxis immer noch über den Sekundärmarkt (von Brokern, die sie an Organisationen weiterverkaufen) erhältlich sind, was den Anreiz zur vollständigen Einführung von IPv6 verzögert.

Unterdessen modernisieren Betreiber und Organisationen weiterhin ihre Infrastruktur, und der Aufstieg von IoT Es drängt auf IPv6 hin. Aber während IPv4 funktioniert weiterhin „gut genug“.Es ist angemessen, dass eine unvollständige Übernahme zunächst zu erwarten ist.

Gründe, IPv6 zu deaktivieren, wenn man es nicht benötigt.

Wenn Ihr Anbieter IPv6 nicht im Einsatz hat oder wenn Manche Sicherheitsprogramme kommen damit nicht gut zurecht.Es können Inkompatibilitäten, Fehler oder Leistungseinbußen auftreten. In Umgebungen, in denen das Netzwerk IPv6 nicht unterstützt, ist es mitunter ratsam, IPv6 zu deaktivieren, um unerwartete Probleme zu vermeiden.

Wenn Sie an der Notwendigkeit zweifeln oder Unterbrechungen und seltsames Verhalten feststellen, ist die Deaktivierung eine sinnvolle Option. Denken Sie daran, dass Sie es jederzeit wieder aktivieren können.Es handelt sich also nicht um eine endgültige Entscheidung. Bedenken Sie jedoch, dass Sie es möglicherweise in Zukunft für bestimmte Dienstleistungen benötigen.

Nachteile der Deaktivierung von IPv6

  • IPv4-MangelAuch wenn es Sie heute vielleicht nicht betrifft, könnte die Deaktivierung von IPv6 ein Rückschlag sein, falls sich das Problem der IP-Adressknappheit verschärft.
  • NetzwerkeffizienzIPv6 wurde entwickelt, um das Routing und bestimmte Vorgänge zu vereinfachen; die Deaktivierung könnte in bestimmten Szenarien die Leistung beeinträchtigen.
  • Neue TechnologienViele moderne Produkte sind IPv6-orientiert; dies zu ignorieren, kann die Funktionalität einschränken oder dazu führen, dass Funktionen ungenutzt bleiben.
  • Sicherheit und NATIPv6 integriert Verbesserungen (wie die natürliche Nutzung von IPsec) und vermeidet starke Abhängigkeiten von NAT. IPv4 hingegen basiert stärker auf Übersetzungen. um die Adressbeschränkung zu überstehen.

„Geistertunnel“ und Priorität von Protokollen

So greifen Sie über den Windows Explorer auf den Speicher Ihres Telefons zu

Wenn Sie in Windows die Computerverwaltung öffnen und auf „Geräte-Manager“ (ausgeblendete Geräte anzeigen) gehen, sehen Sie beim Erweitern von „Netzwerkadapter“ die Einträge 6to4, ISATAP und Teredo. Diese erzeugen IPv6-Tunnel über IPv4 „hinter Ihrem Rücken“.Es könnte einen bestehenden Tunnel geben, ohne dass Sie es bemerken.

  KeePass: AES-256-verschlüsselte Datenbank und Schlüsseldatei-Setup

Die Protokollpräferenz spielt ebenfalls eine Rolle. Überprüfen Sie dies mit netsh interface ipv6 show prefixpolicies: Das System priorisiert IPv6. Beim Schreiben einer URL wird zunächst versucht, AAAA aufzulösen, bevor A aufgelöst wird. Dieser „vorläufige Versuch“ verbraucht Zeit und Ressourcen und eröffnet vor allem Angriffsmöglichkeiten, falls jemand die IPv6-Umgebung manipuliert.

Automatische Konfiguration: SLAAC, RA und Adressen

Selbstkonfiguration tritt in zwei Formen auf: Stateful (DHCPv6)wobei ein Server die Parameter liefert, Staatenlos (SLAAC), in dem die Router Das Netzwerk wird angekündigt und die Geräte konfigurieren sich selbst. Ein Gerät mit einer Link-Local-Adresse FE80:: kann ohne eine globale oder standortbezogene IPv6-Adresse keine Verbindungen herstellen. Aus diesem Grund senden Router Router Advertisement (RA)-Nachrichten, um Präfix und Gateway anzugeben.

Wenn ein Gerät eine AR mit einem Präfix empfängt (z. B. 2001:2000:a:b::/64), generiert es eine IPv6-Adresse; dies kann es mit EUI-64 (abgeleitet von der MACoder, wie in den meisten modernen Systemen, mit einer zufälligen Kennung für Verbesserung der PrivatsphäreTatsächlich kann dieselbe Schnittstelle gleichzeitig über mehrere öffentliche IPv6-Adressen verfügen: eine zufällige zum Surfen und eine weitere stabile für den kontrollierten Zugriff.

Es gibt keine strikte Begrenzung für die Anzahl der Adressen, die Sie pro RA ansammeln können (abgesehen von Präfixen). Dies ermöglicht Denial-of-Service-Angriffe Dies geschieht durch das Überfluten der Adresstabelle mit schädlichen Werbebotschaften. Außerdem sendet ein Knoten beim ersten Verbindungsaufbau eine Multicast-Router-Anfrage (Router Solicitation) mit diesen Parametern, und jeder Router, der IPv6 aktiviert hat, antwortet darauf.

Um die Sichtbarkeit unter Windows zu reduzieren, können Sie die Routererkennung deaktivieren mit netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled. Es ist auch nützlich zu sehen, wer sich in der Nähe befindet. mit netsh interface ipv6 show neighborsIn gemeinsam genutzten Umgebungen sind oft Dutzende von Geräten anzutreffen. Die Screenshots zeigen DHCPv6, LLMNR und ICMPv6: „störenden“ Datenverkehr, der in nicht vertrauenswürdigen Netzwerken gefiltert werden sollte.

Spezifische Risiken, wenn IPv6 ohne Kontrolle aktiviert bleibt

Es gibt IPv6-Angriffe, die Sie auch dann betreffen können, wenn Sie es „nicht nutzen“. Zum Beispiel: Nachbarschaftsanzeigen-Spoofing (entspricht ARP-Spoofing in IPv4) ermöglicht es einem Angreifer, sich in die Mitte zu schalten und Ihren laufenden Datenverkehr zu lesen oder zu verändern.

Ein anderer Fall ist der SLAAC-Spoofingwodurch das Team dazu verleitet wird, den Angreifer zu überlisten. Und auch die DHCPv6-SchurkeBei diesem Angriff liefert ein gefälschter Server das Gateway des Angreifers. Obwohl die IPv4-Version des Gateways bekannt ist, Die Nutzung eines VPNs ist in öffentlichen WLAN-Netzen unerlässlich. und verhindern, dass diese Einstellungen Sie beeinflussen, ohne dass Sie es merken.

Segmentierung: Warum FE80:: Sie auf separaten Netzwerken abspielt

In IPv4 definiert die Subnetzmaske, welche Hosts sich im selben Netzwerk befinden. Beispielsweise teilen sich die Hosts 192.168.1.10 und 192.168.1.254 mit der Subnetzmaske 255.255.255.0 ein Netzwerk. während 192.168.1.10 und 192.168.66.254 dies nicht tatenDaher können sie ohne einen Router nicht "gesehen" werden.

IPv6 verändert alles: selbst bei unterschiedlichen Subnetzen, die Link-Local-Adressen FE80:: Sie ermöglichen es zwei Geräten, einander auf Verbindungsebene zu erreichen, wenn sie sich im selben physischen Segment befinden. Dies bricht einige Erwartungen an die Isolation, wenn man nur „in IPv4“ denkt.

  Scraping strukturierter Daten mit PowerShell und HTML Agility Pack

Betrachten wir bei IPv6-Subnetzen folgendes Beispiel: 2001:A:B:C:D:E:F:1234/126 und 2001:A:B:C:D:E:F:1235/126 befinden sich im selben Netzwerk (die ersten 126 Bits stimmen überein), aber 2001:A:B:C:D:E:F:1238/126 liegt in einem anderen. Trotzdem, ein Ping an FE80:: zwischen verbundenen Schnittstellen Es funktioniert, weil es außerhalb des globalen Subnetzes operiert und auf die lokale Verbindung angewiesen ist.

Wie man IPv6 über das Betriebssystem deaktiviert

Windows

Gehen Sie zu „Einstellungen > Netzwerk & Internet > Erweiterte Netzwerkeinstellungen > Weitere Netzwerkadapteroptionen“. Öffnen Sie für den verwendeten Netzwerkadapter die „Eigenschaften“ und deaktivieren Sie „Internetprotokoll Version 6 (TCP/IPv6)“. Drücken Sie OK, und fertig.Falls Sie es später benötigen, wählen Sie es einfach erneut aus.

macOS

Öffnen Terminal und ausführen: networksetup -listallnetworkservices Um den Dienst zu identifizieren, überprüfen Sie seinen Status mit networksetup -getv6networkserviceenabled 'Wi‑Fi'. Deaktivieren Sie es mit networksetup -setv6off 'Wi‑Fi'Vergewissern Sie sich, dass es im Aus-Modus bleibt und aktivieren Sie es bei Bedarf wieder mit networksetup -setv6automatic 'Wi‑Fi'.

Linux

Bearbeiten Sie sysctl mit sudo nano /etc/sysctl.conf und fügt hinzu: net.ipv6.conf.all.disable_ipv6 = 1 y net.ipv6.conf.default.disable_ipv6 = 1. Änderungen anwenden mit sudo sysctl -p und überprüfen Sie den Status in /proc/sys/net/ipv6/conf/all/disable_ipv6.

Nützliche Prüfungen und „Bereinigungen“ in Windows

Um die Kontrolle zu erlangen, öffnen Sie „Computerverwaltung > Geräte-Manager“, aktivieren Sie „Ansicht > Ausgeblendete Geräte anzeigen“ und erweitern Sie „Netzwerkadapter“. Deaktivieren Sie gegebenenfalls 6to4, ISATAP und Teredo. Wenn Sie sie nicht benötigen. Dadurch wird verhindert, dass unerwartete Tunnel über IPv4 aufgebaut werden.

Denken Sie auch an den Befehl zum Deaktivieren der Routererkennung: netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled. Dies verhindert unerwartete AR in öffentlichen Netzwerken, wo jeder sie ausstrahlen könnte, wenn die Switches Multicast ohne Kontrollen zulassen.

Bewährte Verfahren für öffentliche WLAN-Netze

In gemeinsam genutzten Umgebungen sollten Sie stets ein zuverlässiges VPN verwenden und unnötige Erkennungsdienste blockieren. Wenn Sie IPv6 nicht nutzen, schalten Sie es vorübergehend ab. Wie wir Ihnen gezeigt haben, sollten Sie den Datenverkehr mit einem Sniffer überwachen, wenn Sie anomale Aktivitäten vermuten; übermäßige Nutzung von LLMNR, DHCPv6 und ICMPv6 kann ein Hinweis darauf sein, dass es "Rauschen" gibt, das Angreifer ausnutzen können.

Wenn Sie Windows-Computer in einer Domäne oder lokal verwalten, verringert die Deaktivierung der Namensmulticastauflösung (LLMNR) das Risiko der Identitätsfälschung in offenen Netzwerken erheblich. Es kombiniert die Deaktivierung von LLMNR mit der Härtung von IPv6. (keine AR, keine Tunnel, keine automatische Konfiguration, wo sie nicht erforderlich ist), um die Angriffsvektoren zu minimieren.

Dokumentation und Ressourcen

Wir haben einige Links eingefügt, ähnlich denen, die man üblicherweise in Handbüchern und technischen Datenblättern findet. Obwohl sie nicht speziell auf LLMNR ausgerichtet sind, Dies sind typische Beispiele für Dokumentation PDF Verknüpft in technischen Supportumgebungen:

Wenn Sie sich mit einem öffentlichen WLAN-Netzwerk verbinden, ist es zu Ihrem Vorteil für Ihre Sicherheit, die „Störungen“ durch Erkennung und automatische Konfiguration zu reduzieren: Schalten Sie IPv6 aus, wenn Sie es nicht benötigen, und beschränken oder deaktivieren Sie LLMNR. Und verhindern Sie, dass RA, gefälschte DHCPv6-Anfragen oder manipulierte Nachbaranzeigen Ihnen Probleme bereiten; wenn Sie IPv6 tatsächlich verwenden wollen, aktivieren und verwalten Sie es mit der gleichen Ernsthaftigkeit wie IPv4.