Deutsches Zwischennetz mit Schluckauf
Den gestrigen Mittwoch könnte man sich schon fast rot im Kalender anstreichen. Es gibt sie also doch — Firmen, die das Internet, zumindest große Teile davon, »kaputt« machen können. So ähnlich sah es jedenfalls für viele Nutzer beim Zugriff auf Domains mit der Endung .de aus. Um aber zu verstehen, was genau an besagtem 12. Mai 2010 schief gelaufen ist, hier ein paar Hintergrundinformationen und meine Sicht der Dinge.
Das Internet ist ein wahnsinnig großer Haufen untereinander vernetzter Computer, die sich munter miteinander unterhalten. Da Computer aber wenig Wert auf wohlklingende, gut zu merkende Namen legen, reichen ihnen schnöde Zahlenfolgen, um sich zu identifizieren und »anzusprechen«. Für die meisten Menschen sind nackte Zahlen aber meist schlecht zu merken, da man sie eher selten mit passenden Assoziationen verknüpfen kann. Kölner Duftwässerchen sind hier die Ausnahme und Betreiber von Telefonauskünften geben regelmässig viel Geld aus, damit man sich ihre Nummer einprägt. Wie war das noch gleich mit den elf Milliarden Millionen Griechen die 88 Milliarden Euro erhalten und Null zurückzahlen? Aber Spass beiseite — wer sich eine Telefonnummer nicht merken kann wirft einen Blick ins Telefonbuch.
Und genau so ein Nummernverzeichnis gibt es auch im Internet. Da hier die so genannten Domainnamen in für Computer verständlichere Zahlenfolgen aufgeschlüsselt werden trägt dieser Dienst den Namen »Domain Name System« — oder kurz: DNS. Dieses System ist ein hierarchisch aufgebautes Netzwerk aus Verzeichnisservern, die jeder für sich einen Teil der Domainnamen bzw. Domainzonen verwaltet. Ganz oben in der Hierarchie stehen 13 Root Nameserver, die zum größten Teil in den USA betrieben werden. Diese Haupt-Nameserver wiederum kennen die für die einzelnen Topleveldomains zuständigen Systeme. Topleveldomains sind zum Beispiel generische Endungen wie .com, .net oder .org. Außerdem den Topleveldomains zugehörig sind die Länderdomains wie .us, .fr oder .de für Deutschland.
Jeder dieser Topleveldomains wird von einer Registrierungsstelle verwaltet, die die technische Infrastruktur stellt, um DNS-Anfragen zu beantworten. Die für die deutschen .de-Domains zuständige Organisation heißt DeNIC mit Sitz in Berlin. Und genau diese Firma DeNIC hatte gestern ein Problem beim Beantworten von Anfragen — mit der Folge, dass Namensauflösungen für .de-Domains mit einem »Domain existiert nicht«-Fehler beantwortet wurden. Also eine Art »kein Anschluss unter dieser Nummer« beim Versuch, eine Webseite mit Domainendung .de aufzurufen.
Das eigentlich problematische an der ganzen Situation war aber nicht, dass die DeNIC-Server fehlerhaft arbeiteten, sondern dass dieser Fehler anfangs scheinbar nur sporadisch und nicht bei jeder Domain auftrat. Viele Nutzer hatten anfangs wahrscheinlich gar keine Probleme beim Aufruf von Webseiten oder dem Versenden von E-Mails. Erst mit andauern des Problems wurde die Erreichbarkeit von vielen Webseiten immer schlechter. Grund für dieses Verhalten liegt in den so genannten DNS-Caches — Zwischenspeichern für Domain-Anfragen, die von den Providern für ihre Kunden zur Verfügung gestellt werden. Jeder Domaineintrag hat ein Verfallsdatum, das heißt also, die hinter einem Domainnamen steckenden Adressinformationen haben nur eine begrenzte Lebensdauer, die meist im Bereich von Stunden oder wenigen Tagen liegt. Ein DNS-Zwischenspeicher merkt sich erfolgreiche Adressauflösungen für genau diese Zeitspanne bevor wieder eine erneute Anfrage an die Registrierungsstelle der Domain weitergeleitet wird. Sehr viele häufig genutzte Adressen aus dem .de-Bereich, wie zum Beispiel ebay.de oder google.de waren in den Zwischenspeichern der Provider eingelagert und es kam daher nicht dazu, vom DeNIC die falsche Antwort zu erhalten. Allerdings leerten sich die Caches mit der Zeit, erneute Anfragen wurden mit dem vorher erwähnten »Domain existiert nicht« quittiert und die Webseite war von da an nicht mehr erreichbar. So wuchs das Problem und die Anzahl der Betroffenen nach und nach immer weiter.
Leider hatte dies zur Folge, dass viele Nutzer die eigentliche Ursache nicht erkannten und bei Nichterreichbarkeit der eigenen Webseite erst den Provider oder den Zugangsanbieter verantwortlich machten. Mein Telefon jedenfalls stand am gestrigen Nachmittag nicht mehr still und den Sachverhalt zu erklären gestaltete sich mitunter manchmal schwierig.
Auch wimmelte es auf Twitter schnell von eher zweifelhaften Tipps und Tricks, wie man das Problem umgehen könnte. Ein ganz heißer Tipp, der schnell die Runde machte war der, dass man einfach die Google-Nameserver nutzen solle — dann wären alle Webseiten weiter erreichbar. Ein Hinweis, der anfangs für viele sicher gut klang, das Problem aber in keinster Weise lösen konnte — ganz im Gegenteil. Gerade die Google-Nameserver gehören zu der Sorte DNS-Zwischenspeicher, die sich um die vom Domainbetreiber vorgeschlagenen Verfallszeiten der Adressinformationen nicht kümmern, sondern wesentlich kürzere Zeiten nutzen. Dies hatte dann zur Folge, dass Informationen zu .de-Domains aus den Google-Caches sehr viel schneller verschwanden, die Erreichbarkeit von Webseiten also schneller schlechter wurde. In Wahrheit gab es für den Nutzer gar keine Lösung, um das Problem zu beheben oder zu umgehen. Nur die DeNIC selbst war in der Lage, den Ausfall wieder in den Griff zu bekommen. Immerhin hat es ja auch die zentrale Verwaltung aller .de-Domains getroffen — eine Rückfallebene gibt es eben nicht und keine andere Stelle im Netz hat die benötigten Informationen über die .de-Zone.
Auch häufig auf Twitter zu lesen waren Aussagen wie »Unsere Webseite xyz.de ist noch online!« oder »abc.de geht noch«. In Wahrheit waren alle Webseiten noch online und »gingen« noch — es hat nur niemand mehr den Weg dorthin gefunden. Wenn für den einen Nutzer xyz.de noch erreichbar war, hieß das nicht, dass die Seite automatisch auch für alle anderen noch zu erreichen war. Gerade im Ausland, wo die DNS-Caches eher wenige .de-Domains in den Zwischenspeichern hatten, waren Webseiten in der .de-Zone sehr wahrscheinlich für einige Stunden gar nicht mehr aufrufbar.
Selbst nach Behebung des Problems gegen 16:00 Uhr durch DeNIC-Techniker waren die Auswirkungen noch für einige Stunden spürbar, da die Nameserver der Provider weiterhin falsche Informationen auslieferten. Auch war das Problem nicht nur auf das Aufrufen von Webseiten beschränkt. Jede Kommunikation im Netz, die das Domain Name System verwendet, wird unter dem Ausfall der .de-Zone gelitten haben. Besonders der E-Mail-Verkehr wird hier in Mitleidenschaft gezogen worden sein. Viele E-Mails die als »unzustellbar« zurückkamen oder sogar spurlos von Mailservern geschluckt wurden, weil sie vermeintlich als Spam erkannt und aussortiert wurden. Die Auswirkungen des gestrigen .de-Blackouts werden sich wohl erst in den nächsten Tagen in Gänze zeigen.
Dieser eigentlich nur kurze Ausfall der mit knapp 14 Millionen registrierten Domains zweitgrößten Domain-Zone sorgte für einigen Wirbel und zeigt deutlich, dass die Internetkommunikation an manchen Stellen trotz aller Dezentralisierungsbestrebungen doch sehr verletzlich ist. Gerade solche essentiellen Dienste wie das DNS sind Systeme, die mit äußerster Vorsicht behandelt werden müssen. Das es hier nur so selten zu so großen Problemen wie gestern kommt, ist eigentlich sehr verwunderlich.
Bestrebungen von Regierungen, in dieses fragile System einzugreifen, sollten, gerade im Hinblick auf das blaue Auge, mit dem das Netz gestern davongekommen ist, äußerst kritisch betrachtet werden. An dieser Stelle möchte ich nur nochmals die Zensurbestrebungen von Frau von der Leyen und ihrem Zugangserschwerungsgesetz aus dem letzten Jahr in Erinnerung rufen. Denn die technische Umsetzung dieses mittlerweile in Kraft getretenen Gesetzes sieht eben genau diesen Eingriff in das Domain Name System vor — ohne das meines Wissens nach eine Gefahren– und Risikoabschätzung gemacht wurde. Die Möglichkeit, Nameserver in Deutschland noch anfälliger für Probleme und Ausfälle in der gestrigen Größenordnung zu machen, sollte man nicht einfach so abtun.
Ähnliche Artikel
Tags: Ausfall, DeNIC, DNS, Domain, Internet, Nameserver, Probleme
Kommentar schreiben Trackback
[…] This post was mentioned on Twitter by andreas. andreas said: byteorder’s weblog: Deutsches Zwischennetz mit Schluckauf http://burls.de/32f […]