Um was geht es dabei? Nach der Auslieferung von XP, wollte Microsoft die Gelegenheit nutzen, neue TCP-Features in Windows Vista zu integrieren. Die meisten Probleme machte die neue Explicit Congestion Notification (ECN). Es ist in RFC 3168 spezifiert, welches kurz nach dem Release von Windows XP veröffentlicht wurde. Die Idee dahinter ist, daß ein Router in einem überlastetem Netzwerk dem Verursacher der Netzlast mitteilen könnte, er möge sich doch etwas zurückhalten und die Datenrate etwas reduzieren.

ECN verwendet zwei ungenutzte Bits im IP-Header, um das zu erledigen. Ohne ECN sind diese beiden Bits immer null. Doch es stellte sich heraus, daß einige Firewalls es ganz und gar nicht begrüßen, wenn Bits, die normalerweise immer null sind, plötzlich gesetzt werden. So werden eine ganze Reihe von Verbindungsversuchen verhindert, da die Firewalls die Pakete nicht passieren lassen. Es soll sogar Geräte geben die sich aufhängen, wenn die beiden besagten Bits gesetzt sind.

Der genannte Knowledge-Base-Artikel beschreibt einen Workaround für das Problem.

Seit September letzten Jahres erscheint die Sanar’s Website nicht mehr unter den ersten Ergebnissen für Suchanfragen wie beispielsweise “diamond” oder “engagement ring”, was früher anders war. Was war passiert? Sanar kann nicht sicher sein aus welchem Grund seine Website aus dem primären Suchindex in den sog. Supplemental Index abgestiegen ist, der eine Art zweiten Pool für fragwürdige Inhalte darstellt und in Marketing-Kreisen als Google Hell bezeichnet wird.

Die Google-Hölle ist die größte Angst aller Anwender, ob Unternehmen oder Einzelpersonen, die Online-Handel betreiben und daher besonders stark von Suchmaschinen abhängig sind. In diese virtuelle Unterwelt abzusteigen bedeutet für viele enorme Umsatzeinbußen und kann unter Umständen sogar zum Bankrott der Unternehmung führen. Das eigentliche Problem liegt darin, daß man möglichweise nicht mehr aus diesem Kreis der fragwürdigen Inhalten herauskommt, da es für Seitenbetreiber oft nicht nachvollziehbar ist, wie sie überhaupt hineingeraten sind.

Google-Entwickler schufen den Supplemental Index, um die Suchmaschine zu entlasten und performanter zu machen. Dazu gehört auch der Spider, der Algorithmus zu Katalogisierung von Websites. Der Index dient als Auffangbecken für Inhalte, die entweder nicht den Richtlinien der Suchmaschine entsprechen oder einfach nur existieren, um das Ranking bestimmter Seiten zu verbessern.

Seiten in diesem Index werden bei weitem nicht so oft aktualisiert wie die im primären Index. Das bedeutet, daß Inhalte der Google-Hölle so lange in ihr verbleiben, bis Google sich entscheidet, sie erneut zu indizieren und zu bewerten. Diese Zeitspanne kann unter Umständen bis zu einem Jahr betragen. Während Google bemüht ist, daß ständig wachsende Web zu indizieren, landen immer mehr Seiten in der Hölle.

Diese Betrachtung soll nicht zwingend zu einem Negativurteil führen, denn Google ist selbst in einer schwierigen Position. Der führende Suchmaschinenanbieter muß ständig neue Seiten scannen und einordnen (dazu gehört die Zuordnung eines Rankings) und ist bemüht, die Spreu vom Weizen zu trennen. Das Web wird immer größer, so auch die Anzahl von Websites mit Junk-Text und Werbung, die lediglich das Ranking anderer Seiten aufwerten sollen und grundsätzlich keine wertvollen Inhalte liefern. Google erlangte seine Führung durch die Auslieferung erstaunlich guter Ergebnisse im Gegensatz zu seinen Rivalen Yahoo!, MSN oder Ask.com, die aber stetig aufholen.

Wie entscheidet Google, welche Websites im primären und welchen im Supplemental Index landen? Die Frage ist nur von Insidern verlässlich zu beantworten, denn Google hält sämtliche Details über diese Dinge gezielt zurück, um Mißbrauch vorzubeugen. Auf der anderen Seite wird es den Website-Betreibern wie Paul Sanar dadurch nahezu unmöglich gemacht, ihre Inhalte so zu ändern, daß diese vermeintlich fehlerhafte Einordnung nicht geschehen kann.

Sanar selbst glaubt, die Probleme auf einen Berater für Suchmaschinen-Marketing zurückführen zu können, dem er, nach eigenen Angaben, ca. 35.000 US-Dollar zahlte, um das Google-Ranking zu verbessern. Dieser habe wohl einige Fehler gemacht und verursachte damit eventuell das Verschwinden der Website aus dem primären Index. Selbst nachdem die Änderungen rückgängig gemacht wurden, befindet sich die Site noch immer in der Google-Hölle.

Chris Bartow ist Berater für Suchmaschinenmarketing für Revenco.com, eine Immobiliensite, derren Großteil der Unterseiten in Googles Supplemental Index gelandet sind und dort für etwa 6 Monate verblieben. Bartow glaubt, daß die Duplizierung von Inhalten auf 90% der Seiten dazu führte, daß Google die Inhalte als Plagiate deklarierte und sie aus dem primären Suchindex verbannte.

Ich weiß, daß sie versuchen, Seiten mit nutzlosen Inhalten loszuwerden, doch wenn Deine Seiten einfach verschwinden verlierst Du eine Menge Besucher und auch jede Menge Geld

sagt Bartow. Er glaubt, daß die Seiten in der Google-Hölle landeten, weil ein vorübergehender “Defekt” des Algorithmus die Seiten falsch bewertete. Andere Suchmaschinenexperten glauben jedoch, daß die Google-Hölle stetig an Größe und Strenge zunimmt:

Der Supplemental Index hat in der letzten Zeit einen erstaunlichen Aufschwung erfahren. Google ist agressiver bei der Verbannung von Webseiten geworden

erklärt Aaron Wall, Suchmaschinenexperte und Google-Beobachter. Diesen Trend bestätigt auch Marketing-Experte Michael Gray, der die angewandten Standards schon immer wieder zwischen Auflockerung und Verstärkung wecheln sah, jedoch festellen mußte, daß in letzter Zeit die “Brutalität” zugenommen habe und deshalb…

…viele Kollateralschäden bei einigen Entscheidungen aufgetreten sind. Google versucht das Kind mit dem Bade auszuschütten, was aber unmöglich ist. Ein Spammer kann legitime Websites leicht nachbauen, wenn er die richtigen Tricks kennt.

sagt Gray. Und genau hier liegt ein Großteil des Problems. Google kann in den meisten Fällen nur reagieren, so daß Spammer immer ausgefeilter werden, um der Abschiebung in die Google-Hölle zu entgehen.

Die Kriterien nach denen die Websites als für den Main Index akzeptablen Standard beurteilt werden bleibt weiterhin im Dunkeln. Allerdings wissen die meisten Web Designer inzwischen, daß Seiten, mit gleichen Inhalten automatisch das Ranking gefährden. Desweiteren sind wenig Bilder oder wenige Worte und das Fehlen von Links Anzeichen für Google, diese Website eventuell nicht in den Main Index aufzunehmen. Leider sind besonders neu eingestellte Seite besonders anfällig, da Sie oftmals wenige Inhalte und ebenso wenig Links aufweisen.

Google ist in dieser Angelegenheit wie immer sehr verschwiegen. Die Website für Web Designer sagt lediglich:

We’re able to place fewer restraints on sites that we crawl for this supplemental index than we do on sites that are crawled for our main index.

Diese Aussage gibt mehr Rätsel auf als sie löst. Zwar existieren Richtlinien für Webmaster, allerdings sind die Hinweise so allgemein gehalten, daß sie wenig Aussagen über die Algorithmik hinter Google’s Bewertungssystem zulassen. Fest steht für viele Experten nur eines: ist die Website erst einmal in der Google-Hölle, bleibt sie dort für sehr lange Zeit.

Hintergründe

Der meiste Verkehr im Internet wird über TCP abgewickelt, dem Transmission Control Protocol. Prinzipiell errichtet TCP einen Kanal zwischen den beiden Kommunikationspartnern. Was immer an der einen Seite in diesen Kanal geschoben wird, kommt auf der anderen Seite wieder heraus. TCP stellt darüber hinaus sicher, daß die Daten in der richtigen Reihenfolge eintreffen, wie sie gesendet wurden. Das klappt auch, wenn Teile während der Kommunikation beschädigt wurden oder aus der Reihe gelaufen sind. Desweiteren sendet TCP immer so schnell es kann, also mit maximaler Geschwindigkeit.

Ohne zusätzliche Maßnahmen kann das Netzwerk aber auch verstopfen (TCP nennt das Congestion). Empfangen Router mehr Pakete als sie zum nächsten Router senden können, werden die Pakete eine Weile zwischengespeichert, doch reicht der Speicher nicht mehr aus, muß der Router die Pakete verwerfen. TCP erkennt den Verlust und reagiert mit einer Verringerung der Übertragungsgeschwindigkeit. Teilen sich mehrere Benutzer eine gewisse Bandbreite und tauschen Daten über TCP aus, wird sich die Geschwindigkeit für alle gleichmäßig verringern, so daß sie “fair” behandelt werden.

Die Sache mit der Fairness

Fairness zu garantieren wird schwieriger, wenn einige Anwender interaktive Anwendungen nutzen, wie beispielsweise Web Browsing über HTTP während andere passive Anwendungen für den Transfer großer Datenmengen nutzen (beispielsweise BitTorrent). Die interaktive Anwendung schickt hin und wieder Daten, wartet aber die meiste Zeit auf Benutzeraktionen (z.B. Mausklicks). Die passive Applikation konsumiert die gesamte Laufzeit über so viel Bandbreite wie sie bekommen kann. Auch wenn TCP von seiner Architektur her “fair” ist, wird die passive Applikation über einen gewissen Zeitraum deutlich mehr Bandbreite beanspruchen, als die interaktive.

Briscoe, der einen interessanten Draft dazu entworfen hat, argumentiert daß Fairness mit P2P-Anwendungen nicht mehr gewährleistet ist, denn sie verwenden oftmals zwischen 40 und 100 TCP-Sitzungen während der Laufzeit, während ein Browser mit etwa vier Sitzungen auskommt. Demnach konsumiert so eine P2P-Anwendung nicht nur mehr Bandbreite, weil sie länger unbeaufsichtigt, also nicht interaktiv, sondern weil sie auch mehr gleichzeitige Sitzungen verwenden.

In einer Kalkulation geht Brisco von 80 interaktiven und 20 passiven Anwendern aus, die eine 10 Mbps Leitung gemeinsam nutzen. Innerhalb einer Woche würden die interaktiven Anwender gerade einmal 7,1 MB herunterladen können, während die passiven Nutzer über 3,6 GB erhalten. Dabei treten für die interaktiven Nutzer Spitzen von 10 kbps und ein Durchschnitt von 1 kbps, für die passiven Nutzer allerdings Spitzen und Durchschnitt um die 500 kbps.

Mehr Bandbreite? Ja, bitte!

Erhöhr der ISP nun seine verfügbare Bandbreite auf 40 Mbps, steigen die Werte für interaktive Anwendungen auf 40 kbps/1,6 kbps und die passiven Anwendungen steigern den Konsum auf 2 Mbps. Berücksichtigt man die Kosten für Bandbreiten, so ist es für jene, die nur gelegentlich im Web surfen oder Emails schreiben ein schlechtes Geschäft, denn sie zahlen für die Bandbreitenfresser mit. Briscoe sieht deshalb kaum einen Nutzen für ISPs die Bandbreiten weiter zu erhöhen, schließlich würde sie das weniger wettbewerbsfähig machen.

Denken wir nochmal darüber nach: der Durchschnittsanwender bezahlt zu gleichen Teilen die Aufüstungskosten des ISPs, sieht aber nur einen unverhältnismäßigen geringen Nutzen. Unglücklicherweise gibt es keine Preisgestaltung, die zwischen beiden Nutzungsgewohnheiten unterscheidet. Somit werden die Kosten gleichmäßig auf alle Nutzer verteilt, auch wenn viele nur einen geringen Teil der Bandbreite konsumieren. ISPs folgern daraus, daß die meisten interaktiven Nutzer gern mehr Bandbreite nutzen möchten.

Da nun aber die meisten Nutzer weder die Kenntnisse haben noch den Willen, ihren Netzwerkverkehr zu priorisieren, übernehmen das die ISPs. Sie verwenden Deep Packet Inspection, um herauszufinden, welche Applikation welche Bandbreiten nutzt und bremsen den Verkehr entsprechend aus. Das geschieht in der Regel pro Applikation. Comcast hat hier einen ganz eigenen Ansatz gewählt und sendet BitTorrent-Verbindungen ein TCP RST (Reset), welches die Verbindung beendet. Damit ist BitTorrent für Comcast-Kunden kaum nutzbar, was wiederum zu einer Klagewelle führen dürfte (Comcast to face lawsuits over BitTorrent filtering).

Es wäre also im Interesse aller Beteiligten (ja, auch in dem der BitTorrent-Nutzer, schließlich sollen Flat Rates auch möglichst “flat” bleiben), wenn die IETF das TCP-Protokoll so anpassen würde, daß sich BitTorrent-Anwendungen einfach “fairer” verhalten. Zwar sind einige Verbesserungen sicherlich möglich, allerdings ist es fraglich, ob ein Protokoll so etwas wie Fairness implementieren kann. Zusätzlich dürfte es Schwierigkeiten geben, wenn Nutzer selbst dafür sorgen müßten, das Internet weniger “aggressiv” zu nutzen, also nicht mehrere Sitzungen gleichzeitig, denn TCP weiß nicht wie viele Sitzungen gleichzeitig offen sind. Das wissen nur die Applikation und der Anwender.

Als Gemeinnützige Organisation mit einer relativ jungen Geschichte von nicht einmal 10 Jahren zeichnet sie sich verantwortlich, die technische Seite der Verwaltung des Internet-Namensraumes zu organisieren. Sie steuert die Vergabe der Top-Level Domains (TLDs) wie beispielsweise .com und .net und sorgt für das infrastrukturelle Umfeld mittels sog. Root Server. Registrars können dann Domains für Anwender in diesen Namensräumen reservieren, so daß sie beispielsweise DigitalEther.de in Ihrem Browser aufrufen, um auf diese Seite zu gelangen. Root Server teilen dem Rest des Internets mit, welche TLDs es gibt und wo sie zu finden sind.

Nicht nur für Insider ein Thema

Während die ICANN durch ihr Mandat 1998 beauftragt wurde, dafür zu sorgen, daß die DNS-Infrastruktur nicht außer Kontrolle gerät, hat sich die Mission der ICANN über den engen technischen Bereich hinaus in die öffentliche Politik ausgedehnt, so daß nun auch Punkte wie die Privatsphäre, Markenrecht und Öffentliche Ordnung auf der Tagesordnung regulärer Treffen der ICANN-Vertreter stehen.

Da stellt sich die Frage, ob das alles nicht Angelegenheiten öffentlicher, legitimer Institutionen wie etwa Regierungen und internationaler Verträge ist. Grundsätzlich richtig, so sollte es sein, doch die ICANN glaubt nicht, sich diesen Spielregeln unterwerfen zu müssen. Seit einigen Jahren entfernt sich die Organisation mehr und mehr von ihrer eigentlichen Aufgabe und niemand hat davon Notiz genommen. Lediglich ein paar Insider und die NTIA (National Information and Telecommunications Administration), die U.S.-Behörde welche den Telekommunikationssektor reguliert, wahren den Anschein einer höheren Authorität, deren Kontrolle sich auch die ICANN nicht entziehen kann.

In den neun Jahren ihrer Existenz hat sich das Budget der ICANN von jährlich einer Million US Dollar fast um das 50-fache auf über 49 Millionen US Dollar aufgeblasen. Alles finanziert durch das Einstreichen von Gebühren ihrer akreditierten TLD Registries und 2nd-Level Domain Registrars. Und mit dem Anstieg des Budgets stiegen auch ICANNs polititsche Ambitionen.

Geht es nur um TLDs oder um mehr?

Über das letzte Jahr hinweg, fand eine rege Debatte um die Einführung weiterer allgemeiner Top-Level Domains (gTLDs, generic top-level domains) statt; eigentlich wie jedes Jahr, denn immer wieder werden Anträge im jährlichen Zyklus übeprüft. In der Vergangenheit hat die ICANN in einem Atemzug eine ganze Handvoll neuer TLDs etabliert, darunter .biz, .info und .name. Der Prozess bis zur Bewilligung durch die ICANN ist schwerfällig, undurchsichtig und unberechenbar. Wird die neue Richtlinie “New gTLDs” von der ICANN selbst bestätigt, wird es in Zukunft deutlich mehr gTLDs geben, möglicherweise einen Zuwachs von mehreren Dutzend pro Jahr, und eine ganz deutliche Verschiebung der Marktverhältnisse geben.

Auf der Website für das Vorstandstreffen der ICANN in Los Angelese beschreibt die Organisatuin diesen Vorgang so: “Neue gTLDs könnten die Art und Weise verändern wie wir das Internet in Zukunft sehen.”

Zensur

Mehr TLDs führen zu mehr Wettbewerb.

Zunächst ist daran auch nichts falsches, doch gibt es Bemühungen von einflussreichen Entscheidern innerhalb der ICANN, nicht nur technische oder operative Gesichtspunkte in den Prozess zur Freigabe von gTLDs aufzunehmen. Unter einigen der Entwürfe, über die im Moment beraten wird, befindet sich einer, der es Markenbesitzern erlaubt, den Genehmigungsprozess zu blockieren, wenn die Entscheidung nicht seinen kommerziellen Interessen entspricht. Andere Institutionen, wie beispielsweise Regierungen könnten den Prozess beeinflussen, wenn die neue gTLD “unmoralisch” oder die “öffentliche Ordnung” stört, wie erst kürzlich die Diskussion um die .xxx-TLD zeigte (Mehr dazu im Artikel ICANN: .xxx-Domain endgültig vom Tisch). Tatsächlich kann eine Interessengemeinschaft sogar den gesamten Entscheidungsprozess kippen, wenn sie behaupten, mit der fraglichen gTLD in Verbindung gebracht zu werden. Dazu müssen sie noch nicht einmal eine einleuchtende Begründung liefern. Natürlich möchte niemand Websites sehen, die in Namensräumen, wie beispielsweise .nazi, .nigger oder .god verwaltet werden. Doch wie soll objektiv entschieden werden, welche gTLDs nicht für eine Applikation geeignet sind?

Hmm, das richt nach Zensur? Doch welche Authorität hat die ICANN, um eine solche Politik im weltweiten Internet durchzusetzen? Kann Sie das wirklich tun? Es hat den Anschein, daß sie es kann!

Das geringste Problem wäre, wenn die ICANN den neuen Entwurf absegnet und dem Rest der Welt überläßt, wie sie damit umgehen. Doch leider ist das Verwaltungssystem innerhalb der ICANN, sehr kompliziert, undurchsichtig und von Ad-Hoc-Entscheidungen geprägt, so daß eine Anrufung der ICANN zur Korrektur der Pläne im Nachhinein sehr schwierig werden wird. Zudem ist die Verbindung zur US-Regierung relativ schwach. Es wäre besser, das Vorhaben zu stoppen, solange es noch in der Pipeline ist. Hinterher ist es zu spät und der Schaden groß.

Machtspiele

Nun, eigentlich geht es doch nur um Domain-Namen, oder? Was ist also so wichtig an diesem Politikwechsel? Solange ich eine Domain mein Eigen nennen kann habe ich doch meine “Freedom of Speech”, nicht wahr?

Wenn das nur so einfach wäre, doch leider beginnt hier der schlüpfrige Bereich, welcher zu perfiden Auswüchsen allgemeiner Internetzensur führen kann. Sobald Zensur im globalen Netzwerk etabliert ist, gibt es keine Hindernisse für die ICANN, sich lediglich auf die Zensur von gTLDs zu beschränken. Zensur, so hat die Vergangenheit gezeigt, ist eine Institution von enormem Wachstum und unkontrollierbarer Natur. Nur ein kleiner Schritt ist notwendig, um auch Inhalte und Anwendungen Gegenstand von Zensur zu machen, insbesondere da einige Domains selbst starken Bezug auf Inhalt und Anwendung nehmen.

Ich wage zu behaupten, daß jene Kräfte, die eine Zensur der gTLDs erreichen möchten, die Zensur von Inhalten und Anwendungen als eigentliches Ziel ausgemacht haben. Ihre hinterhältigen Maneuver zur Verwicklung der ICANN in ihre eigenen Entscheidungen um eigene Interessen durchzusetzen, führen zur Abschwächung gemäßigter Kräfte, die eine Ausweitung des Einflusses der zerstörerischen Bewegung Einhalt gebieten könnten.

Es ist fraglich, was dagegen getan werden kann. Es gibt unterschiedliche Bewegungen, die gegen eine uneingeschränkte Herrschaft der ICANN über das Internet kämpfen, darunter auch die die Kampagne “Keep The Core Neutral”, welche eine Petition vorbereitet hat, die Sie unterzeichnen können, um Ihrer Stimme Gewicht zu geben. Die Petition wird dem ICANN-Vorstand bei der Abstimmung über die neue Regelung vorgelegt. Durch Ihre Teilnahme an dieser Kampagne sind Sie Teil einer Koalition, die in Zukunft auch andere Aktionen im Blick hat, um Ihr Wort zu verbreiten. Desweiteren können Mitglieder an Brainstorming-Sitzungen teilnehmen, um die Strategie auszurichten und die Kampagne zu beobachten.

Mehr Informationen finden Sie unter www.keep-the-core-neutral.org/.

Es geht hauptsächlich um einen Bug bei der Verwendung von Type 0 Routing Headern, die es einem Angreifer ohne Aufwand ermöglichen, eine Denial-of-Service-Attacke auszüben, denn die Fähigkeit dazu steckt im Protokoll selbst. Dieses Thema beherrschte die Sicherheitskonferenz CanSecWest letzten Monat. Pikant ist allerdings, daß ein bereits mit IPv4 ausgeräumtes Problem mit IPv6 wieder neu eingeführt wurde.

Der Type 0 RH bringt, außer den Hackern, niemandem einen Nutzen, und die Auswirkungen auf die Infrastruktur sind furchtbar. Die IPv6-Designer haben in diesem Punkt nichts von IPv4 gelernt und auch einige Best Practices der Vergangenheit abgelegt.

zeigen sich Philippe Biondi und Arnaud Ebalard, die beiden Sicherheitsexperten der EADS, besorgt.

Nach der Präsentation (PDF) der beiden Forscher gaben viele Unternehmen Sicherheitswarnungen und -updates für ihre Produkte heraus. Zunächst kann das Problem in den meisten Fällen vermieden werden, wenn man die Routing Header vom Typ 0 einfach abschaltet.

Nun haben auch die Ingenieure der IETF Vorschläge unterbreitet, wie das Problem angegangen werden soll. Pekka Savola (CSC/FUNET) und Joe Abley (Afilias, Ldt.) arbeiten an den beiden Internet Drafts IPv6 Type 0 Routing Header Processing und Deprecation of Type 0 Routing Headers in IPv6, die als Diskussionsgrundlage innerhalb der IETF dienen sollen. Da IPv5 noch nicht flächendeckend ausgerollt wurde, gehen Analysten davon aus, daß das Problem innerhalb der nächsten drei Jahre vollständig verschwunden sein wird.

Leider ist das Hauptproblem aber, daß weitere Probleme mit IPv6 auftauchen werden, da, so sind sich Sicherheitsexperten einig, weitere Bugs in die Protokollspezifikation eingeflossen sein können, ganz abgesehen von denen in spezifischen Implementierungen der jeweiligen Hersteller. Während viele Bugs von IPv4 im Laufe der Zeit ausgebügelt wurden, müssen die gleichen Probleme mit IPv6 erneut bekämpft werden.

Der Type 0 RH sollte dem Absender dazu dienen, eine Route für das Paket festezulegen, wobei damit das Routing des Netzwerks umgangen wird. Es ist vergelichbar mit Source Routing von IPv4. Mittels dieser Tatsache hat es ein Angereifer leicht, denn er kann mit wenig Aufwand Pakete auf dem gleichen Link so routen, daß sie von einem Hop wieder zurück zum Ursprung gesendet werden und einen DoS verursachen. Genau aus diesem Grund ist Source Routing aus IPv4 verschwunden.

Weitaus gefährlicher als IPv4 Source Routing sind einige Szenarien der EADS-Experten (PDF), die das Internet schwer belasten können, da lediglich ein Paket ausreiche, um zum einen Cisco-Router zum Absturz zu bringen und zum anderen ganze Länder vom Internet zu trennen.

Verfechter eines sicheren und sauberen Internets (clean-slate Internet) stimmen überein, daß ein Übergang auf die neue Internetprotokollversion IPv6 nicht einfach wird. Clean-slate Design sieht eine Restrukturierung der aktuellen Architektur zur Verbesserung der Sicherheit, Mobilität und andere aufkommender Faktoren vor.

Die wichtigsten Standardisierung für das Next-Generation-Protokoll sind bereits seit fast zehn Jahren abgeschlossen, dennoch arbeitet die meiste Software und Hardware noch heute mit IPv4, das in naher Zukunft kaum noch Adressraum für das stetige Wachstum des Internets aufweisen wird. IPv6 ist angetreten unter anderem auch diesen Problem durch die Erweiterung des Adresslänge von 32 auf 128 Bit zu lösen.

Forscher sind von dieser Tatsache nicht wirklich beeindruckt und machen sich seit einiger Zeit bereits Gedanken. So umschreibt Andrea Goldsmith, Professor für Elektrtechnik an der Universität zu Stanford, die Problematik folgendermaßen:

Die Grundfrage eines Clean-slate Designs ist: Wie kann das realisiert werden? Die Antwort muß unabhändig von der Frage beantwortet werden, ob eine Nachrüstung möglich ist. Sobald wir wissen, was das richtige ist, können wir fragen, ob es einen evolutionären Pfad gibt.

Übergangsszenarien

Ein Szenario sieht vor, ein paralleles Netzwerk für Applikationen zu betreiben, die native IPv6-Unterstützung benötigen. Die Leute könnten dann in einer angemessenen Zeitspanne auf das neue Netzwerk umstellen. Das entspricht ungefähr dem aktuellen Ansatz, VoIP und das traditionelle Telefonnetzwerk parallel zu betreiben, während Unternehmen und Einzelpersonen je nach Bedarf langsam auf die neue Technologie umsteigen.

Larry Peterson, Vorsitzender der Fakultät für Computerwissenschaften an der Universität zu Princeton trifft es auf den Punkt:

So etwas wie einen Flag Day gibt es nicht. Was passiert ist, daß einige Dienste gerade beginnen, Nutzer anzuziehen, und die Industry handelt so bald der Bedarf wirtschaftlich tragfähig ist.

Das ist nicht ganz so verschieden von dem Ansatz der NASA, daß das Internet in den Weltraum tragen möchte. Die NASA hat bereits begonnen ein interplanetares Internet in ihren Raumträgern zu installieren, so daß sie auf gleichartige Weise miteinander und der Missionskontrolle kommunizieren können.

Doch aufgrund der problematischen Eigenschaften des Weltalls, wie beispielsweise das Ausblenden von Signalen durch den Globus selbst und die enormen Entfernungen (so benötigt eine Übertragung zum Mars zwischen 15 und 45 Minuten), können die Protokolle, welches für die Erde konzipiert wurden nicht einfach auf das Weltall übertragen. Aus diesem Grund existieren Gateways, die beide Netzwerke miteinander verbinden.

Um Kosten zu sparen könnten Unternehmen Netzwerkgeräte einsetzen, die mit beiden Netzwerken arbeiten können. Das tun sie aber nur, wenn sie tatsächlich auch Funktionen des neuen Netzwerks benötigen.

Andere wiederum glauben, daß das Internet in seiner jetzigen Form nicht völlig verschwinden wird und das die Früchte des NG-Internets nur langsam im Rahmen von schrittweisen Verbesserungen in das Internet eingeführt werden.

Man kann nicht einfach ein internationales Netzwerk umbauen und erwarten, daß jeder sofort aufspringt. Die alten Systeme sind nun mal da und man kommt von ihnen unter Umständen auch nicht mehr weg

meint UCLA-Professor Leonard Kleinrock, der maßgeblich an der Entwicklung des NG-Internets beteiligt war.

Das Problem ist bekannt: bereits in der Anfangszeit des Internet Protocol version 4 (IPv4) tauchte dieselbe Gefahr auf. Aufgrund der Interpretation eines bestimmten Header-Typs wurden interne Routing-Tabellen der Netzwerkhardware umgangen. Der praktische Wert dieser Funktion steht in keinerlei Verhältnis zur möglichen kriminellen Nutzung, denn mit einem einzigen Paket kann ein gesamter Landstrich von der Breitbandversorgung abgeschnitten werden.

Der Nutzwert beschränkt sich auf eine dem QoS ähnliche Möglichkeit, feste und als ausreichend leistungsfähig bekannte Wegstrecken vorab festzulegen. Auch könnte man unsichere Wege meiden. Auf der CanSec West 2007 trugen Philippe Biondi und Arnaud Ebalard ihre entsprechenden Erkenntnisse vor. Seitdem kommen Hersteller in eine Zwickmühle und der Herausgeber des Standards RFC 2460 ins Grübeln.

Grossflächige Gefärdung

Um das IPv6-Protokoll standardkonform umzusetzen, müssen die Routing-Header vom Typ 0 ausgewertet werden. Standardmäßig wird deshalb bereits in vielen Hard- und Softwareapplikationen die Option genutzt. Bei manchen Geräten und Betriebssystemen lässt sie sich nicht ausschalten, was bei flächendeckender Nutzung des neuen Standards ein erhebliches Risiko bedeuten würde.

Mit sieben Zeilen Code gelang es den beiden Sicherheitsexperten Biondi und Ebalard in einem „Funny Game“ genannten Machbarkeitsbeweis, mit dem Wort „staythere“ innerhalb von 32 Sekunden 16 MByte Traffic zu erzeugen. Dabei wurde die verwendete 4-MBit-Leitung komplett ausgenutzt, keine weiteren Übertragungen hätten stattfinden können.

Reaktionen und ein glücklicher Designfehler

Junipers RTR und Mac OS X sind nur zwei Beispiele, die den neuen Standard schon umsetzen, ohne die Option deaktivieren zu können. Dabei gilt es zwischen zwei Arten der Verarbeitung zu unterscheiden, je nachdem ob das System hostet oder routet. Als Endpunkt (Host) ist nur Apples Betriebssystem gefährdet, für viele Linux- und BSD-Varianten sind bereits Updates veröffentlicht worden. Die beiden aktuellen Betriebssysteme von Microsoft (XP und Vista) haben die Funktion von Anfang an nicht implementiert, sowohl als Host wie auch als Router werden die riskanten Pakete ignoriert.