Weiterer "Hack" für IPv6-Erreichbarkeit großer Content-Anbieter [Update]

Die Bereitschaft großer Content Provider wächst, ihre Angebote auch über IPv6 anzubieten. Allerdings befürchten Inhalteanbieter wie Yahoo, dass dabei zumindest ein kleiner Teil "alter" IPv4-Kunden auf der Strecke bleibt. Tests von Google hätten gezeigt, dass etwa 0,08 Prozent derjenigen Nutzer, die explizit nach der IPv6-Adresse eines Anbieters fragen, keine passende Antwort erhalten. Die IPv6-DNS-Queries können etwa von einem System kommen, das selbst IPv6-fähig ist, dessen Provider aber kein IPv6 anbietet. Auch Tunnellösungen auf dem Weg zwischen Content Provider und Internet Service Provider (ISP) können für Probleme sorgen.

Große Inhalteanbieter wollen deshalb auf Nummer sicher gehen, wenn es darum geht, ihre Angebote auch über IPv6 erreichbar zu machen. Bei der 77. IETF-Sitzung in Anaheim präsentierte Igor Gashinsky von Yahoo einen Vorschlag, wie verhindert werden könne, dass sich Nutzer ohne echte IPv6-Konnektivität auf IPv6-Server verirren: Die ISP sollen dafür sorgen, dass überhaupt nur mit IPv6-Adressen bedient wird, wer seine DNS-Anfrage über eine IPv6-Verbindung stellt. Andernfalls solle der DNS Resolver des Providers statt auch die IPv6-Adresse über den AAAA Resource Record nur die IPv4-Adresse (A Resource Record) zurückliefern. IPv6- und DNS-Experten innerhalb der IETF nennen den Yahoo-Vorschlag einhellig einen "Hack", mit dem das normale Verhalten des Domain Name System manipuliert wird.

0,08 Prozent seien für große Sites anteilig zwar wenig, aber absolut trotzdem eine nennenswerte Menge, vielleicht mehrere hunderttausend. "Wenn ich IPv6 für ein Angebot anschalte, will ich nicht, dass dadurch auch nur ein einziger Kunde rausgeworfen wird", sagte Gashinsky und warnte: "Das ist eine große Hürde für den Einstieg in IPv6." Ganz ähnlich hatten in den vergangenen Jahren auch Googles IPv6-Experten argumentiert, von denen auch die Zahlen stammen. Googles aktuelle Lösung für das Problem sieht anders aus: Das Unternehmen behält sich vor, nur denjenigen Providern IPv6-Antworten zu liefern, die sich bei Googles IPv6-Whitelist angemeldet haben. Dafür müssen die Provider versichern, dass sie ihren Kunden eine solide IPv6-Anbindung bieten.

Google entscheide praktisch, wem sie den IPv6-Eintrag zurücklieferten, erläuterte Peter Koch von der Denic eG, Leiter der IETF-Arbeitsgruppe DNS Operations. Yahoo liefere dagegen immer IPv6-Antworten, wolle aber, dass die Provider anhand der Anfragen am DNS Resolver ausfiltern. Als DNS-Lüge oder -Täuschung bezeichneten zahlreiche Experten das Verfahren in der DNSOP-Sitzung in Anaheim. Ein Vertreter der BIND-Entwicklertruppe stellte klar, dass es zwar eine Implementierung des Tricks für deren DNS-Server gebe, man könne derartige "Täuschungsmanöver" aber nicht gutheißen.

Ein Risiko bei dem Verfahren sei nicht zuletzt, dass auch Nutzer mit IPv6-Anbindung die falschen Antworten bekommen könnten, warnte Hans-Peter Dittler von Braintec Netzwerk-Consulting. Es sei möglich, dass die Kunden selbst sehr wohl "IPv6 können" und eine IPv4-Umgebung beim eigenen Provider per Tunnel überwänden. Löcher im Yahoo-Konzept entstehen laut Koch übrigens, wenn die Kunden ihre Anfragen direkt an externe DNS-Server wie die von Google oder OpenDNS richten, anstatt an den DNS-Service des Providers. Ciscos IPv6-Evangelist Tony Hain sagte, Yahoo, aber auch Google pochten darauf, sofort eine perfekte IPv6-Welt, möglichst ohne jegliche Tunnel zu bekommen. Die Provider könnten aber ihre Infrastrukturen nur nach und nach umbauen. Auch Googles Whitelisting wird inzwischen kritisch beurteilt. Auf Dauer skaliere es einfach nicht, warnte Jason Livingood vom US-Provider Comcast.

Vor allem kritisierten die Experten letztlich die von Gashinsky für den Hack ins Feld geführten Zahlen. Sie stammten schließlich aus einem Google-Test und seien bald zwei Jahre alt. Gashinsky versprach daher, als nächstes mit eigenen, neuen Zahlen über Probleme bei Nutzern aufzuwarten. Dann will er das Verfahren in einem Internet Draft dokumentieren, um die Provider zur Umsetzung zu bewegen. Bis dahin könnte der verbliebene IPv4-Pool weit unter 10 Prozent zusammengeschmolzen sein. [Update] Nach aktuellen Schätzungen sind derzeit etwa 8 Prozent übrig. [/Update] (ea)