Dumm gelaufen ist es heute bei der Denic. Heute haben einige ihrer Nameserver derart verrückt gespielt, dass viele .de-Domains nicht erreichbar waren. Interessant ist die Sache deswegen, weil es eben manchmal ging und manchmal nicht. Umkreist werden konnte wohl, dass Domains bis zum Buchstaben G tadellos funktionierten, aber die anderen von manchen DNS-Server der Denic falsch beantwortet wurden.
Die wahren Gründe wird man wohl nicht erfahren. So wie auch bei einem Ausfall eines deutschen eMailanbieters offiziell gesagt wurde, dass es dieses und jenes Problem sei, aber ich aus erster Hand weiss, dass es im Hintergrund eine andere Art der Panne war. Auf jeden Fall hat die Denic nach ca. 1,5h offiziell Entwarnung gegeben.
Im Netz kursieren schon die ersten “Gerüchte” (vielleicht sind sie auch ironisch gemeint), dass es eine Aktion des BMI wars. Ernst gemeint war die Frage, ob es nicht die Amis waren, die auch schon mal die irakische Top-Leveldomain hat abschalten lassen, weil sie ja die Übermacht bei Fragen der Topleveldomains zu sein scheinen. So einfach ist es nicht. Aber vielleicht kommt auch bald das Gerücht auf, dass es die Chinesen oder der Mossad war.
Nur kurzfristig konnte man auf der Denic-Domain erkennen, wieviele Domains tatsächlich noch erreichbar waren. Ich habe es mit der Hilfe von Firebug dokumentiert http://twitter.com/danielefrijia/status/13850756920
Ich frage mich, ob in diesem Buch etwas zur Sache drin steht, wie man das so macht mit Redundanz etc. Ansonsten freu mich mich schon auf die baldige Neuerscheinung: Denic e.G. (Hrsg.): Redundanz und andere Mechanismen zur Absicherung des DNS. Frankfurt 2012.
Und ja, “das Internet” überlebt den Atomkrieg nicht ohne weiteres, auch wenn es ab und zu mal so behauptet wird. Nur weil man auf unterer Protokollebene dafür sorgen kann, das schnell etwas umgeroutet wird, heisst es noch lange nicht, dass trotzdem nicht der meiste Verkehr über zentrale Orte geht, die angreifbar sind. Der Ausfall bei de-cix (Link) oder die Attentate auf das WTC haben gezeigt, wie empfindlich “das Internet” sein kann.
Erreichbar waren viele Server während des Denic-Ausfalls, zumindest wenn sie nicht auf namebased Virtualhosting basierten, da geht ohne DNS (oder Hosteintrag o.ä.) nichts. Und es ist auch kein “dunkler Tag für Deutschland”, sondern ein dunkler Tag für die Denic, die immernoch eine Genossenschaft verschiedener Unternehmen sind, nicht nur deutscher. Ich hoffe nicht, dass es einen “nationalen Plan” gibt solche Dinge in Zukunft zu verhindern.
Die Unternehmen, die intern ihre Infrastruktur so ausrichten, dass sie von aussen durch einen Denic-Ausfall gestört werden kann tun mir natürlich gar nicht Leid, das ist die erste Abhängigkeit, die man auszuschalten hat. Interessant wäre zu wissen, was für weitere Dienste noch so ausgefallen sind. Ich denke bspw. an VOIP, weil die Infrastruktur unbedingt solche DNS-Querys macht, die von aussen gestört werden können.
Presse:
http://www.heise.de/newsticker/meldung/DNS-Fehler-legen-Domain-de-lahm-999068.html
http://www.golem.de/1005/75090.html
Update: Die Stellungnahme der Denic ist äusserst ausführlich und nachvollziehbar http://www.denic.de/denic-im-dialog/news/2733.html