IGMP-Snooping: Das Abhörverfahren für Multicast-Traffic

Multicast-Verbindungen stellen eine hervorragende Möglichkeit dar, um ein und dasselbe Datenpaket in IP-Netzwerken an viele verschiedene Empfängergeräte zu verschicken, ohne jedes dieser Geräte separat adressieren und beliefern zu müssen. Der Sender des Pakets verteilt diese Aufgabe auf die diversen Knoten der involvierten Subnetze und spart dadurch wertvolle Ressourcen. Insbesondere Internet-Echtzeitanwendungen, die von zahlreichen Nutzern verwendet werden, profitieren von dieser Form von Mehrpunktverbindungen, die mithilfe spezieller Multicast-Gruppen geschaffen werden.

Einen großen Anteil an der Organisation dieser Gruppen hat das Protokoll IGMP, das Grundstein für die reibungslose IPv4-Multicast-Kommunikation zwischen Sender, Routern und Empfängern ist. Darüber hinaus lässt sich der Multicast-Verkehr über IGMP-Nachrichten filtern, um die einzelnen Zielnetzwerke zu entlasten. Man spricht in diesem Fall auch von sogenanntem IGMP-Snooping.

Multicast-Pakete durchlaufen auf ihrem Weg zu den Ziel-Hosts häufig mehrere Stationen. Router verwenden dabei das Verfahren Protocol Independent Multicast (PIM), um die optimale Route zu errechnen und so den Datenstrom möglichst effizient weiterzuleiten. Netzwerk-Switches oder die multifunktionalen Internet-Router in Privathaushalten tun sich bei der Übermittlung von Multicast-Paketen hingegen deutlich schwerer: Da der Versuch scheitert, die Pakete wie gewohnt anhand der ausgewiesenen MAC-Adresse zuzuordnen (funktioniert nur bei Unicast-Verbindungen), leiten die Geräte die ankommenden Pakete mangels Alternativen an alle verfügbaren Geräte im jeweiligen Subnetz weiter.

An dieser Stelle kommt IGMP-Snooping (manchmal auch als „Multicast-Snooping“ bezeichnet) ins Spiel: Dieses Verfahren, das frei übersetzt so viel wie „IGMP-Schnüffeln“ heißt, macht seinem Namen alle Ehre und belauscht sämtlichen IGMP-Traffic, der zwischen Multicast-Routern und Hosts ausgetauscht wird. Switches oder Internet-Router, die IGMP-Snooping beherrschen und aktiviert haben, sind also in der Lage, die Multicast-Aktivitäten der einzelnen Netzwerk-Teilnehmer zu überwachen. Konkret bedeutet dies, dass die Geräte erfahren, wenn ein Host einer Multicast-Gruppe beitritt („Multicast-Query“) oder diese verlässt („Leave-Message“; erst ab IGMPv2). Auf Basis dieser Informationen kann dann in der MAC-Adresstabelle ein Eintrag für die mit dem Host verbundene Netzwerk-Schnittstelle angelegt bzw. entfernt werden.

Multicast-Snooping hilft Switches und Internet-Routern dabei, Multicast-Datenströme besonders effizient an das gewünschte Ziel bzw. die gewünschten Ziele zu bringen. Wie wertvoll diese Unterstützung ist, wird deutlich, wenn eine derartige Filterungsmethode von Mehrpunktübertragungen fehlt: Die ankommenden Multicast-Pakete werden dann an alle Hosts des Netzwerks geschickt, die der Switch bzw. Internet-Router erreicht. Insbesondere in größeren Netzen sorgt diese Vorgehensweise für unnötig hohen Traffic, der sogar zu einer Überlastung des Netzes führen kann. Kriminelle können sich diesen Umstand sogar zunutze machen und einzelne Hosts oder das gesamte Netzwerk gezielt mit Multicast-Paketen überfluten, um diese wie bei einer klassischen DoS-/DDoS-Attacke in die Knie zu zwingen.

Mit eingeschaltetem IGMP-Snooping lassen sich derartige Überlastungsprobleme und Angriffsszenarien ausschließen. Alle Hosts des Netzwerks erhalten lediglich Multicast-Traffic, für den sie sich zuvor per Gruppenanfrage angemeldet haben. Der Einsatz der „Lausch“-Technik lohnt sich also überall dort, wo auf Applikationen zurückgegriffen wird, die sehr viel Bandbreite für sich beanspruchen. Beispiele hierfür sind IPTV- und andere Streaming-Services sowie Webkonferenz-Lösungen. Netzwerke, in denen nur wenige Teilnehmer und kaum Multicast-Verkehr vorhanden sind, profitieren allerdings nicht von dem Filter-Verfahren. Selbst wenn der Switch bzw. Router das Multicast-Snooping-Feature bietet, sollte es in diesem Fall ausgeschaltet bleiben, um unnötige Abhöraktivitäten zu unterbinden.