DENIC zieht den Stecker? (Bildquelle: denic.de)
Im Folgenden möchten wir Ihnen kurz darstellen, was nach unseren Beobachtungen am Mittwoch, den 12.5.2010 ca. 13:30 – 15:30 Uhr MESZ / CEST zu den Ausfällen und Problemen im Internet führte.
DNS, Domainnamen und IP-Adressen sind das Rückgrat des Internets
Im Internet basiert ein Großteil der Kommunikation auf Domainnamen (z.B. IhrName.de) , die immer erst in IP-Adressen umgewandelt werden müssen. Erst hinter den IP-Adressen verbergen sich dann i.d.R. die Server, auf denen Webseiten, Videos und E-Mails liegen und verarbeitet werden können. Sehr anschaulich erklärt haben dieses System der Umwandlung von Domainnamen in IP-Adressen die Macher der Sendung mit der Maus, wie man im folgenden Video sehen kann: Wie funktionier
t das Internet (Quelle: WDR.de)
Bei der Störung heute war die Umwandlung von Domainnamen in IP-Adressen gestört, somit konnten viele Webseiten nicht aufgerufen und E-Mails nicht zugestellt werden.
Was genau hat nicht funktioniert?
Wenn Sie in Ihrem Browser die Domain google.de eingeben, fragt Ihr Computer Ihren Internetprovider nach der IP-Adresse von google.de. Sollte dieser die Antwort gerade nicht parat haben, schaut der Nameserver Ihres Internetproviders für Sie die IP-Adresse nach. Dabei wird zuerst nach der Endung .de gesucht und die Nameserver für diese Endung ermittelt. Wenn diese Nameserver bekannt sind (u.a.: a.nic.de f.nic.de … z.nic.de) kann man einen dieser .de-Nameserver nach dem Namen „google“ unterhalb von .de fragen. Als Antwort bekommt man dann die Nameserver von google.de (ns1.google.com … ns4.google.com) und von denen bekommt dann eine oder mehrere IP-Adressen für google.de bzw. www.google.de (209.85.229.104 …)
Auf die richtige Antwort der DENIC Nameserver kommt es an!
Die richtigen Antworten (d.h. die gesuchten Nameserver) zu google.de wie auch vielen anderen Domains haben DENIC Nameserver (z.B.: a.nic.de und z.nic.de) heute am 12. Mai 2010 für ca. 2 Stunden nicht gegeben. Statt der gewünschten Nameserver für google lautete die Antwort das es die entsprechende Domain nicht gibt (Stichwort: „NXDOMAIN“).
Die DENIC Nameserver sind sehr wichtig für ein korrektes Funktionieren der .de Domains im Internet. Daher sind diese weltweit verteilt und mehrfach redundant. Die Aufgabe der DENIC ist es alle diese Nameserver zu betreiben und und so zu Warten, das diese immer die korrekte Antwort zu einer Anfrage nach einer .de Domain geben.
Fehler und Fehlerbehebung führten vermutlich zur Auslastung und Überlastung einzelner DENIC Nameserver (Standorte)
Alle Nameserver der DENIC werden rund um die Uhr überwacht und sind sehr großzügig dimensioniert. Nach Eintritt des Fehlers konnten wir Beobachten das nicht mehr alle Fragen nach .de Domainnamen von allen DENIC Nameservern beantwortet wurden (evtl. Überlastung). Hier gibt es zwei mögliche Begründungen, aufgrund der falschen Antwort NXDOMAIN (= Domain existiert nicht) für so wichtige Domains wie google.de kam es zu einer Flut von Anfragen, zum anderen wurde vermutlich im Zuge der Reparaturarbeiten von Seiten der DENIC einzelne Systeme abgeschaltet / gewartet um diese mit korrekten Daten zu versorgen bzw. Anfragen auf noch bzw. wieder korrekt arbeitende Nameserver umgelegt.
Darstellung zum Antwortverhalten der DENIC Nameserver
RIPE überwacht alle wichtigen Nameserver, die Auswertung für die DENIC Nameserver zum fraglichen Zeitpunkt finden Sie hier: DNSMON.RIPE,NET
Der Fehler konkret am Beispiel von google.de
Statt mit den richtigen Nameservern antworteten heute einige Nameserver der DENIC mit NXDOMAIN (Domain nicht vorhanden):
dig -t NS google.de @z.nic.de ; <<>> DiG 9.6.1-P2 <<>> -t NS google.de @z.nic.de;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 61213;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0;; WARNING: recursion requested but not available ;; QUESTION SECTION:;google.de. IN NS ;; AUTHORITY SECTION:de. 7200 IN SOA f.nic.de. its.denic.de. 2010051253 7200 7200 3600000 7200 ;; Query time: 215 msec;; SERVER: 194.246.96.1#53(194.246.96.1);; WHEN: Wed May 12 15:12:06 2010;; MSG SIZE rcvd: 79
Die korrekte Antwort eines DENIC-Nameservers auf die Frage nach google.de, sieht wie folgt aus:
dig @f.nic.de A google.de; <<>> DiG 9.6.1-P2 <<>> @f.nic.de A google.de ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7106 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 0 ;; WARNING: recursion requested but not available;; QUESTION SECTION: ;google.de. IN A;; AUTHORITY SECTION:google.de. 86400 IN NS ns4.google.com. google.de. 86400 IN NS ns2.google.com. google.de. 86400 IN NS ns1.google.com. google.de. 86400 IN NS ns3.google.com.
;; Query time: 62 msec ;; SERVER: 81.91.164.5#53(81.91.164.5) ;; WHEN: Wed May 12 15:04:50 2010 ;; MSG SIZE rcvd: 109
Aussagen der DENIC zu dem Problem (Update)
Bisher liegt nur eine knappe Meldung der DENIC zu dem Problem vor das dieses bzw. unsere Beobachtungen bestätigt. Informationen wie es zu dem Fehler kam, wie der Fehler genau aussah liegen leider derzeit noch nicht vor.
Nach einem Tag veröffentlicht die DENIC genauere Informationen zu dem Ausfall. Es waren nicht alle Domainnamen (a-z) betroffen, die Anzahl der gestörten Nameservern deckt sich mit unseren Beobachtungen. Lesen Sie die Meldung unter: http://www.denic.de/de/denic-im-dialog/news/2733.html?cHash=aeca752ff8
Weitere Links [Stand 12.5.2010 22 Uhr]
- DENIC.de: http://www.denic.de/denic-im-dialog/news/2731.html?cHash=e24c31a412
- Heise.de: http://www.heise.de/newsticker/meldung/DNS-Fehler-legen-Domain-de-lahm-3-Update-999068.html
- Golem.de: http://www.golem.de/1005/75090.html
- PR Blogger: http://klauseck.typepad.com/prblogger/2010/05/denic-nicht-im-dialog.html
- Tagesschau.de http://www.tagesschau.de/inland/internetstoerung100.html
- Bild.de: http://www.bild.de/BILD/digital/internet/2010/05/12/name-server-problem-bei-denic/das-halbe-internet-faellt-aus.html
- Spiegel.de http://www.spiegel.de/netzwelt/web/0,1518,694551,00.html