O tom, že i mistr tesař se někdy utne, jsme se již mohli přesvědčit mnohokrát. Vždy však jde o senzaci o které se ještě dlouho mluví a v případě velkých počítačových firem to platí dvojnásob. Mezi těmito společnostmi pak má zcela určitě zvláštní postavení právě Microsoft, který doslova leží v žaludku kde komu. To, zda je to po právu či nikoliv, zde nechci rozebírat a ani mi to nepřísluší, jisté je však to, že jeho problémy vždy dokáží potěšit velké množství uživatelů a řada se jich tomu snaží také aktivně napomoci. Tento týden se však Microsoftu podařilo dokonale znemožnit a to pravděpodobně bez jakékoliv cizí pomoci.
Všechno začalo již o víkendu, kdy kromě úspěšného hacku novozélandských stránek Microsoftu došlo také k prvním problémům s DNS. Na vině však nebyl Microsoft, ale chyba na straně MyDomain.com. Díky špatně vygenerované tabulce nebyly záznamy služby MSN dostupné přes 12 hodin. Microsoft však nabyl sám, stejně tak dopadlo i Yahoo! To však byla teprve předzvěst budoucích problémů.
Na tomto místě by pravděpodobně nebylo špatné v základních rysech nastínit, jak vlastně DNS funguje. DNS neboli systém doménových jmen zajišťuje převod doménových jmen na IP adresy, kterými jsou charakterizována všechna zařízení připojená k Internetu. Jedním ze základních principů DNS je jeho hierarchické uspořádání. Díky němu je možno několika postupnými dotazy převést doménové jméno na IP adresu. Údaje o doménách a doménových jménech jsou uloženy v nameserverech, kdy každou doménu spravuje jeden nebo více nameserverů. V našem konkrétním případě spravuje doménu microsoft.com čtveřice nameserverů, pokud jsou všechny nedostupné není možno v takové doméně získat adresy počítačů. Ve skutečnosti se do celého systému převodu doménových jmen na IP adresy dostává ještě jeden element a tím je cache. Aby nemusela být již jednou přeložená doménová jména překládána znovu, ukládají se a v případě dalšího dotazu jsou již vybavovány lokálně z cache. Aby byla zaručena aktuálnost údajů, provádí se jednou za čas jejich kontrola.
Pojďme se již podívat na problémy, které postihly Microsoft. Jeho domény jsou spravovány čtveřicí serverů:
DNS4.CP.MSFT.NET = 207.46.138.11 DNS5.CP.MSFT.NET = 207.46.138.12 DNS6.CP.MSFT.NET = 207.46.138.20 DNS7.CP.MSFT.NET = 207.46.138.21
Každý dotaz tedy směřuje na jeden z těchto serverů, ty však byly od brzkého středečního rána našeho času problematicky dostupné. Nejdříve odpovídaly s velkým zpožděním a nepravidelně, následně pak přestaly odpovídat úplně.
> www.microsoft.com Server: dns4.cp.msft.net Address: 207.46.138.11 *** dns4.cp.msft.net can't find www.microsoft.com: No response from server
Zpočátku většina uživatelů problém vůbec nezpozorovala, protože doménová jména byla překládána lokálně z cache jednotlivých nameserverů. Postupně však vypršely životnosti jednotlivých lokálních záznamů a servery se snažily získat nové údaje, to se jim však vzhledem k nedostupnosti všech čtyř nameserverů Microsoftu nepodařilo, takže nebyly schopny domény přeložit. Výsledkem toho byla nedostupnost většiny internetových služeb Microsoftu, protože výše uvedené čtyři nameservery neobhospodařují pouze doménu microsoft.com, ale i mnoho dalších. Mimo jiné také doménu passport.com ve které leží počítač lc1.law13.hotmail.passport.com, který je nutný pro přihlášení k populární freemailové službě Hotmail. To znamená, že se mimo jiné několik miliónů uživatelů nedostalo ke své poště. Stránky Microsoftu představují pro mnoho vývojářů a dalších uživatelů zdroj životně důležitých programů. Pro dokreslení o jak velký výpadek šlo je nutno si uvědomit, že postiženy byly servery, které mají dohromady 54 miliónů unikátních návštěvníků za měsíc. Uvědomíme-li si, že DNS servery byly nefunkční téměř 23 hodin, jde o jeden z největších výpadků v dějinách komerčního Internetu.
Po zprovoznění kolem středeční půlnoci našeho času se pak vše vrátilo zase do normálu a začalo se bilancovat. Bohužel trochu předčasně, protože ve čtvrtek po šesté hodině večerní došlo znovu k výpadku všech čtyř nameserverů, který trval přibližně tři hodiny. Jak všichni doufají, byl poslední.
Hned od počátku se množily dohady, co nefunkčnost nameserverů způsobilo. S postupem času vykrystalizovaly dvě hlavní hypotézy. První hovořila o chybě způsobené špatným nastavením, druhá o zahlcení nameserverů nadměrným počtem dotazů, tedy klasickým DoS útokem (zahlcení serveru nadměrným počtem dotazů či úplné zahlcení přenosové linky, které způsobí následnou nefunkčnost služby, je relativně jednoduché a velmi obtížně se proti němu brání). Do celého dění pak vneslo „jasno“ až oficiální vyjádření Microsoftu, které uvádí, že za výpadkem stála chyba technika. Ten omezil přenosovou kapacitu linky zajišťující připojení nameserverů k Internetu, poté následovalo její přetížení a tím se staly nameservery nepoužitelnými. To, že došlo k přetížení, by potvrzovala i skutečnost, že DNS servery na dotazy odpovídaly (po většinu výpadku), ale s velmi vysokým zpožděním, které mnohonásobně převyšovalo dobu po kterou čekal tazatel na odpověď, takže se nameservery jevily zcela nefunkční. Microsoft také uvedl, že celý problém byl způsoben pouze chybou na jeho straně, nikoliv za pomoci někoho dalšího.
Ve skutečnosti je kolem celého středečního incidentu mnoho otazníků, které podpořil i čtvrteční několikahodinový výpadek, který nastal značnou dobu po zveřejnění oficiálního stanoviska, tedy v době, kdy byl celý problém již údajně vyřešen. Je však možné, že tento výpadek neměl se středečním společného původce (všechny čtyři nameservery totiž byly nedostupné) a mohl být například výsledkem záměrného přetížení sítě někým třetím, který využil vzniklé situace. Ať jsou však důvody výpadků DNS serverů jakékoliv, je jasné, že si Microsoft udělal velkou ostudu. Jednou věcí je problém, těm v některých případech není možno příliš čelit, jinou věcí však je prevence a ta byla u Microsoftu zanedbána úplně.
Nameservery jsou typicky podle RFC2182 umísťovány tak, aby se nacházely v navzájem zcela nezávislých sítích a nejlépe také v jiném městě či státě. Tuto základní poučku dodržuje většina správců domén včetně malých firem. Vždy se však najde někdo, kdo si umístí nameservery např. na sousední počítače. Pro příklady nemusíme chodit do ciziny, v České republice takových konfigurací také několik nalezneme a někteří již na to doplatili. V případě Microsoftu jsou pravděpodobně všechny nameservery umístěny v jednom síťovém segmentu, podle některých názorů jde o segmenty dva. Ať tak či onak, uvedená konfigurace rozhodně není dostatečná a zcela odporuje zásadám prevence. Takto navržený systém se totiž může např. stát (pokud se tak již nestalo) velice snadno cílem DoS útoků. Stejně tak je takové připojení velmi náchylné na problémy páteřní sítě. Bez zajímavosti jistě není, že webové servery Microsoftu jsou rozmístěny podstatně pestřeji, je tedy zcela zřejmé, že se na DNS prostě a jednoduše zapomnělo.
Co tedy celý výpadek přinesl? Kromě obrovské ostudy také nesporné finanční ztráty. Na pověsti Microsoftu rozhodně nepřidalo ani nesmyslné obvinění ICANN, že je za nefunkčnost DNS serverů zodpovědná. Stejné jako u každého podobného problému se také znovu otevírají otázky ohledně spolehlivosti, bezpečnosti a dalších témat kolem Internetu. Je to škoda, protože stín padne na Internet jako celek, za problém si však může Microsoft sám. Směšně pak působila hlavní stránka Microsoftu, kde byly dvě hlavní zprávy, první vysvětlující výpadek, druhá troubící do světa, že jeho produkty jsou nejlepší, nejstabilnější a snesou jakoukoliv zátěž…
