Zahlen, bitte! Komplettausfall des Arpanet - ein Lehrstück von 240 Minuten
Das Internet – so ausfallsicher, dass es auch einen Atomschlag überleben würde. Schon vor genau 40 Jahren bekam diese Erzählung einen Riss.
Wer kennt sie nicht, die Geschichte vom unzerstörbaren Internet, das selbst einen Atomschlag überlebt. Sie ist nicht falsch, denn das Netz wurde auf größtmögliche Ausfallsicherheit hin entwickelt.
Dennoch kam es auf den Tag genau vor 40 Jahren zum großen Crash. Am 27. Oktober 1980 musste der Internet-Vorläufer Arpanet abgeschaltet und neu gestartet werden, zum ersten Mal nach 11 Betriebsjahren. Vier lange Stunden stand das Forschungsnetz des US-Verteidigungsministeriums still, weil ein technischer Defekt einen "Denial of Service" (DoS) ausgelöst hatte. Vom Ausfall waren 213 Netzknoten betroffen.
Die extremen Anforderungen an Überlebensfähigkeit
Das am 29. Oktober 1969 gestartete Arpanet wickelte die Kommunikation über besondere Rechner ab, die von der Firma Bolt, Beranek and Newman (BBN) hergestellt wurden. Diese Kommunikationsrechner wurden Interface Message Processor (IMP) genannt, wenn sie Hostrechner verbanden oder Terminal Interface Message Processor (TIP), wenn an ihnen nur Terminals angeschlossen waren. Für die Übertragung von Datenpaketen speicherten diese Rechner Routing-Tabellen, in denen verzeichnet war, wie über welche IMPs die Hostrechner erreichbar waren.
Das Routing der Datenpakete erfolgte nach dem Prinzip des Hot Potato Routing, das Paul Baran im Jahr 1960 in seiner Schrift "Reliable Digital Communication Systems Using Unrealiable Repeater Nodes“ vorgestellt hatte. Bei diesem Hot Potato Routing wurden die Datenpakete zum jeweils nächsten Knoten übertragen, ermittelt aus den Antwortzeiten der einzelnen Knoten. Diese Routing-Tabelle wurde alle paar Sekunden erneuert und gespeichert, auf dass bei Ausfall eines Netzknotens der Verkehr sofort umgeleitet werden konnte.
Zu seiner Idee merkte Baran an, das ein solches flexibles Netz verbundener Rechner einigermaßen ausfallsicher gegenüber einem feindlichen Angriff ist: "But a real-life system is a collection of compromises, and this system is no exception. The author believes, though, that it represents an acceptable price to have to pay for a national communication system able to meet the extreme demands of survivability in the face of a determined enemy." ("Aber im echten Leben ist ein System eine Sammlung von Kompromissen und dieses ist keine Ausnahme. Der Autor glaubt jedoch, dass es sich um einen akzeptablen Preis handelt, der für ein nationales Kommunikationssystem zu zahlen ist, das den extremen Anforderungen an Überlebensfähigkeit gerecht werden muss, angesichts eines entschlossenen Feindes.")
Neustart aller Kommunikationsrechner nötig
Am 27. Oktober fiel das Netz aus. Bemerkt wurde das zuerst am IMP 50, der eine fehlerhafte Routing-Tabelle an andere IMPs schickte, die diese speicherten und dann ihrerseits ausfielen, nicht ohne die Tabelle weiterzureichen. Der Versuch einzelne IMPs neu zu starten, schlug fehl, weil der eigentliche Fehler zunächst nicht erkannt wurde: IMP 29 hatte einen Hardware-Defekt, der dazu führte, dass ein Bit "verrutschte", wie der BBN-Ingenieur Eric C. Rosen in seiner detaillierten Analyse des Vorfalls schrieb. Das führte dazu, dass die Routing-Tabelle falsche Einträge enthielt, was die jeweils neuesten gespeicherten Daten der verfügbaren Nodes anbelangte. Die Lösung dieses so entstehenden "Denial of Service" war, das alle Kommunikationsrechner neu gestartet und IMP 29 repariert werden musste. Nach vier Stunden konnte das Arpanet seinen Betrieb wieder aufnehmen. Für Rosen waren es "endlose Minuten", in denen hektisch telefoniert wurde, wie es in der Firmenchronik von BBN heißt.
(Bild: BBN-Chronik)
Die ausführliche Fehleranalyse von Rosen wurde unter dem Titel Vulnerabilities of network control protocols: An example als RFC 789 der noch kleinen Netz-Community zur Verfügung gestellt. Sie hatte einige Konsequenzen. Eric Rosen begann mit der Entwicklung des Exterior Gateway Border Protocols auf der Basis des Dijkstra-Algorithmus. Es wurde als RFC 827 veröffentlicht. Bei Bolt, Beranek and Newman begann man mit dem Aufbau eines hochmodernen Network Operation Center (NOC) für das Arpanet und seine geplanten Erweiterungen um ein transkontinentales Satellitennetz. Zuvor bestand das NOC aus einer Handvoll Terminals, einer großen Kreidetafel und einem Telefonverzeichnis. Nur der Mythos vom unkaputtbaren Netz hielt sich hartnäckig.
(mho)
