{"id":155,"date":"2010-05-18T11:48:30","date_gmt":"2010-05-18T10:48:30","guid":{"rendered":"http:\/\/blog.imagmbh.de\/?p=155"},"modified":"2019-01-13T23:12:23","modified_gmt":"2019-01-13T22:12:23","slug":"dns-ausfall-der-denic-am-12-5-2010","status":"publish","type":"post","link":"https:\/\/blog.imagmbh.de\/index.php\/dns-ausfall-der-denic-am-12-5-2010\/","title":{"rendered":"DNS-Ausfall der DENIC am 12.5.2010"},"content":{"rendered":"

Am 12.5.2010 fiel ja, wie nahezu alle deutschen Internetnutzer gemerkt haben, die zentrale DNS-Infrastruktur der DENIC in wesentlichen Teilen aus. Die Ursache – ein fehlerhafter Kopiervorgang – war so trivial wie die Auswirkungen massiv waren: Viele Seiten waren nicht erreichbar (nicht nur alle deutschen Internetseiten, sondern auch viele .com- und .net- etc. Dom\u00e4nen, da diese ja teilweise Nameserver nutzen, die auf .de-Dom\u00e4nen liegen), Mails konnten nicht zugestellt werden und wurden als unzustellbar abgelehnt usw.<\/p>\n

Besonders kritisch war, dass durch den Ausfall bei den Dom\u00e4nen eine Nichtexistenz gemeldet wurde. Mails wurde also nicht als tempor\u00e4r nicht-zustellbar in eine Warteschleife gelegt und sp\u00e4ter abgearbeitet, sondern „korrekt“ im Sinne der Technik abgelehnt.<\/p>\n

Weiterhin hat sich das DNS-Caching als Problem herausgestellt: Auch nach Fehlerbehebung dauerte es ggf. einige Stunden, bis die Korrektur f\u00fcr alle wirksam wurde.<\/p>\n

Doch was sind nun die Lehren, die als Provider und Anbieter aus einer solchen Situation gezogen werden k\u00f6nnen. Aus einer Situation wohlgemerkt, in der providerseitig alles korrekt funktioniert hat: Schlie\u00dflich ist die Nicht-Existenz einer Dom\u00e4ne ja durchaus m\u00f6glich.<\/p>\n

Ausfallwirkungen<\/strong><\/p>\n

Unterschieden werden muss prim\u00e4r zwischen Web-Seiten, E-Mail und sonstigem Datenverkehr. Web-Seiten werden prim\u00e4r von Menschen besucht und Menschen sehen, dass ein Fehler auftritt. Sie versuchen es entweder sp\u00e4ter noch einmal oder suchen nach dem Problem. Bei Web-Seiten ist ein solcher Ausfall zwar schlimm, aber  es kann direkt darauf reagiert werden.<\/p>\n

Auch der „sonstige Datenverkehr“ wird bei dieser Betrachtung au\u00dfen vor gelassen. Er muss individuell betrachtet werden und individuell m\u00fcssen Szenarien zur Erkennung und Reaktion bei einem solchen Ausfall entwickelt werden. Beispielsweise nutzen viele unserer Kunden unsere VPN-Systeme. Diese waren jedoch nicht betroffen, da die Kunden unsere Nameserver direkt und nicht \u00fcber zwischengeschaltete Provider-Nameserver abfragen und somit die VPN-Adresse aufgel\u00f6st werden konnten. Ein Fazit kann also sein, gerade bei geschlossenen Systemen m\u00f6glichst viel Infrastruktur durch eigene Systeme abzudecken.<\/p>\n

Kritisch ist also vor allem der E-Mail-Verkehr. Hier muss es Standard sein, den Menschen – bei E-Mails also den Absender – \u00fcber Probleme zu informieren. Dieses Verfahren ist bei SMTP vorgesehen, scheint jedoch nicht bei allen Providern korrekt umgesetzt worden zu sein, wie Berichten \u00fcber vermisste E-Mails zu entnehmen ist. Fazit hier ist also, ein Mail-System nicht nur f\u00fcr den Normalfall aufzusetzen und zu betreiben, sondern auch die Ausnahmef\u00e4lle zu betrachten und zu verifizieren.<\/p>\n

Automatische Mailverarbeitung<\/strong><\/p>\n

Einen Sonderfall stellen automatische E-Mails dar. Wie reagiert Ihr System, wenn ein Benutzer \u00fcber Ihre Webseite eine Kontaktanfrage erzeugt? Normalerweise bekommen Sie sicherlich eine E-Mail. Im aufgetretenen Ausfallszenario haben Sie die E-Mail nicht bekommen, der Webserver wurde wahrscheinlich dar\u00fcber informiert, dass die Mail an Sie nicht zugestellt werden konnte und – konnte mit dieser Information als Maschine nichts anfangen und hat die Kundenanfrage ins Nichts laufen lassen. Nach diesem Prinzip sind viele wenn nicht sogar die meisten Systeme aufgebaut.<\/p>\n

Ein \u00dcberwachungsszenario<\/strong><\/p>\n

Auch hier muss das Fazit sein, die eigenen Systeme auf Fehlertoleranz hin auszulegen und die Fehlerf\u00e4lle durchzuspielen. Wie k\u00f6nnte ein solches System evtl. aussehen? Hier ein sehr simples Szenario:<\/p>\n

    \n
  1. Ein Automat macht regelm\u00e4\u00dfig jede Minute eine Kontaktanfrage an die Webseite.<\/li>\n
  2. Die Webseite speichert Kontaktanfragen zwischen, z. B. in einer Datenbank oder auch nur als „gesendete E-Mails“.<\/li>\n
  3. Jede Kontakt-E-Mail durchl\u00e4uft einen  zweiten Automaten. Kommt nicht jede Minute mindestens eine Kontaktanfrage, wird sofort Alarm ausgel\u00f6st. Hierbei wird die Alarmausl\u00f6sung ebenfalls \u00fcberwacht: Was n\u00fctzt eine „Alarm-E-Mail“ wenn diese nicht zugestellt wird. Gegebenenfalls werden weitere Alarmwege eingeschlagen: Wenn der Alarm nicht von einem Menschen best\u00e4tigt wird, wird z.B. eine SMS verschickt, danach evtl. ein automatischer Anruf get\u00e4tigt etc.<\/li>\n<\/ol>\n

    Mit einem solchen Szenario geht zum einen keine Anfrage verloren und zum anderen wird schnell ein Mensch informiert, wenn etwas im vorgesehenen Datenfluss nicht in Ordnung ist. (Unser Angebot hierf\u00fcr ist unsere Server\u00fcberwachung<\/a>.)<\/p>\n

    Fazit<\/strong><\/p>\n

    Jeder Nutzer und Betreiber einer IT-Infrastruktur muss sich \u00fcber die Auswirkungen eines Ausfalls im klaren sein. Er sollte die m\u00f6glichen Ausfallstellen betrachten, diese hinsichtlich Ausfallwahrscheinlichkeit, Entdeckungsm\u00f6glichkeiten, Ausfallfolgen und eigenen Eingriffsm\u00f6glichkeiten bewerten und dann entscheiden, wie im Ausfall-Fall reagiert werden soll. Denn eines ist  klar: Vorbeugung ist aufw\u00e4ndig und es muss zwischen diesem Aufwand und den Kosten des Ausfalls und der Ausfallwahrscheinlichkeit abgewogen werden.
    \n