프로토콜 - LLMNR 프로토콜

LLMNR(Link local multicast name resolution)

 

DNS 패킷 포맷 형태로 로컬 링크상에서 호스트들의 이름을 조회하는데 이용되는 프로토콜이다. 윈도우 비스트, 윈도우 7, 윈도우 서버 2008에 기본으로 포함되어 있다.

 

그렇기 때문에 같은 서브넷 상에 이런 호스트가 존재하면 LLMNR 프로토콜이 많이 나타난다.

 

LLMNR은 UDP 5355 포토를 사용하며 멀티캐스트 주소이다. IP주소로 224.0.0.252이고 맥 주소는 01-00-5E-00-00-FC이다.

 

 

IPv4 호스트에서는 네트워크 상 주변에 있는 컴퓨터 이름을 Resolving 하기 위해서 NetBios를 이용하여 네임쿼리를 요청하는 메시지를 브로드캐스팅한다. 이 때 노드상에 요청한 쿼리에 해당하는 호스트가 있다면 네임쿼리를 응답하게 된다. 이런 형태가 일반적인 네트워크 상에서 많이 보는 형태이다. 그런데 NetBios가 Ipv4 환경에서만 동작한다. 그러므로 양 환경에서 모두 이용될 수 있는 LLMNR 프로토콜이 요구되었다.

 

실 환경에서는 LLMNR로 인한 네트워크 트래픽 폭주를 경험했다는 사례를 들었다. IPv4, IPv6로 함께 요청되다 보니 Request 되는게 NetBios보다 많은 경우가 있다. 만약 악성코드에 감염되었는데 이것이 name query 가 많은 형태라면 아무래도 영향을 미칠 수 있다. 만약, LLMNR을 중지하기 위해서는 다므과 같은 방법을 사용한다.

 

제어판 - 네트워크 및 인터넷 - 네트워크 및 공유센터 - 고급공유 설정 - 네트워크 검색 끄기