Wolfgang Noelke hat ein Video-Interview mit Professor Michael Rotert zu den Netz-Zensur Plänen der Bundesregierung gemacht:
Deutschlands erste E-Mail versendete der junge Informatiker im Jahr 1983. Somit ist Professor Michael Rotert einer der Internetpioniere und heute Vorstandsvorsitzender des, mehr als 400 Mitglieder starken Verbandes der deutschen Internetwirtschaft e.V. Von Prof. Rotert wollte ich wissen, ob die politischen Bestrebungen, Internetzensur einzuführen grundsätzlich kontraproduktiv sind. Zensur ist es gleich aus drei Gründen. Die Zensoren werden gegen Ende dieses Jahrzehnts von der Technik überholt, mit der These, dass Zensur langfristig unmöglich sein wird.
Dazu passt auch der Deutschlandfunk-beitrag von Wolfgang Noelke über „Filter-Störung – Internet-Experten befürchten Netzprobleme durch Filter für Kinder-Pornografie“
„Wenn ich solche Umleitungen mache mit dem ‚Telefonbuch‘, dann kann ich das nur bedingt machen, denn dadurch wird zusätzlicher Verkehr auf das Netz aufgeladen. Es werden nicht mehr die ursprünglichen Wege genommen, sondern es müssen Umwege geschaffen werden, über die plötzlich alle Daten laufen. In Australien läuft im Moment eine Untersuchung: „wie viel Einträge kann man in solche Sperrlisten machen, bevor das Netz zusammenbricht?“ Und die Zahl, die ich da im Kopf hab, die liegt bei einigen Tausend, wo dann der normale Breitbanddurchsatz sich bereits auf fünfzig Prozent verringert. Sprich: Ein Benutzer, der eine 16 Megabit-Leitung von der Telekom hat, der hat dann hinterher nur noch einen 8000er- Anschluss, zahlt aber genauso viel, nur weil andere Provider sperren.“
Aaah… Was hat denn bitte eine DNS-Sperre mit der Uebertragungsgeschwindigkeit einer DSL-Leitung zu tun?!
Schau dir eine Webseite im Quelltext an und zähle die URLs die enthalten sind. Jedes mal bei einer URL muss der DNS Server bemüht werden, wenn die Auflösung nicht in Deinem Cache ist, um den Inhalt von Deinem Browser darzustellen. Und diese Abfrage dauert. Richtig erweise ist bei einer bestimmten Anzahl in der Sperrliste der Zusammenbruch der Verbindung, durch Time Out, zu rechnen. Wenn das Internet wegen der Time Outs zusammenbricht ist von Kinderpornos nichts mehr zu sehen. Gott soll FvdL helfen denn sie weiss nicht was sie tut.
Bruno, die DNS-Abfragen müssen aber doch immer stattfinden. Egal, ob es Sperrlisten gibt oder nicht. Oder wird die Sperrliste nicht direkt auf dem DNS-Server umgesetzt sondern auf einem anderen Rechner, der bei jeder DNS-Anfrage konsultiert wird, ob er die Adresse jetzt richtig auflösen darf? Dann ist klar, dass zumindest die DNS-Requests erstmal langsamer werden. Aber wenn man die Infrastruktur entsprechend aufstockt hat sich das ja auch erledigt.
Dennoch ein nettes Interview und auch für weniger technikversierte Menschen einleuchtend erklärt.
Die Abfrage wird zuerst bei dem ersten durchgeführt und erst wenn er es nicht kann wird der nächste gefragt. Aber zuerst muss ja die Sperliste abgefragt werden sonnst ist sie ja gleich sinnlos. Also eine Webseite hat 10 URLs und die Sperliste 5000 Einträge sind 50000 Zeichenkettenvergleiche mit der Frage ist sie enthalten. Also Zeichen für Zeichen vergleichen ob die gesuchte URL in der Sperliste enthalten ist.
Jetzt kommt es auf die Anzahl der User an wie viele Vergleiche durchgeführt werden müssen und das zusätzlich und fast immer. Nimmt man gleich die IP oder einen nicht zensierten DNS Server gibt es das Probleme (der Zensur) nicht. Genaue Beschreibung gibt es beim CCC in HH.
@Bruno: Ich bin zugegebenermassen immernoch verwirrt… vllt koennen wir das kurz aufklaeren.
Es ist ja im Endeffekt so: Der Herr Rotert sagt ja, dass bei vielen Filtereintraegen die Datenuebertragungsgeschwindigkeit nachlaesst – das ist so definitiv falsch, da man ja ueber das Netz mehr als nur HTTP uebertraegt. Und selbst wenn: Es waere abhaengig von der Seite, wie stark die Verbindung zusammenbricht. Und gerade bei Uebertragungslastigen Dingen wie grossen Bildern / Downloads duerfte die Filterliste eine vernachlaessigbare Rollte spielen.
Gehen wir nun mal davon aus, dass sich Herr Rotert nur auf HTTP-Anfragen beschraenkt. Dann wird von der Sperrliste jede URL in einer HTTP-Anfrage auf eine Sperrung ueberprueft. Das ist maximal eine pro Anfrage, aber es koennen natuerlich je nach Website mehrere Anfragen pro Webseitenaufruf geschehen (was eigentlich ziemlich wahrscheinlich ist).
Sagen wir mal Ein Zugriff auf eine ueberladene Website triggert ~100 weitere HTTP-Anfragen und die Sperrliste hat 5000 Eintraege. Das heisst – bei naiver Implementation der Liste sind das 500000 Zeichenkettenvergleiche fuer einen Webseitenaufruf. Jeder Zeichekettenvergleich wird so ca. hinter dem 10. Zeichen abbrechen, da es keinen match gibt – das heisst wir fuehren etwa 5’000’000 Operationen aus. Nehmen wir datenuebertragung zwischen RAM und CPU dazu sind es insgesamt vllt 50’0000’000 CPU-Zyklen. Okay, so eine CPU schafft heutzutage allerdings schonmal 5’000’000’000 Zyklen pro Sekunde, das heisst, mit genug Rechenleistung dauert eine Anfrage 10 ms laenger. (Man bedenke: Wenn es NAIV implementiert ist!)
So jemand, der so eine Filtersoftware implementiert, wird allerdings (hoffentlich!) nicht auf die Idee kommen tatsaechlich den URL mit jedem Eintrag in der Zeichenkette zu vergleichen, sondern mit einem B(*)-Baum oder aehnlichem arbeiten. Dann braucht man zum Vergleich einer URL vllt noch 100 Operationen, bei 100 URLs pro Seite sind das dann 10’000 Operationen. Eine Latenzzeit ist hier kaum noch feststellbar.
So… wie siehts aus? Die Rechnungen sind sicher nicht fehlerfrei, aber ich denke, die Dimensionen kommen einigermassen hin. Eine wirkliche begrenzung der Bandbreite sehe ich hier grade mal nicht.
Gruesse
Marvin
@Greedy:Der Herr hat sich auch nicht korrekt ausgedrückt. Betrachte die Geschwindigkeit als Gesamtergebnis bis zum vollständigen Seitenaufbau. Dein Anschluss ist so schnell wie Du die Daten bekommst.
Fahre mit Deinem Auto von Flensburg nach München mit Tempo 200. Mache auf jedem Rastplatz 15 Minuten Pause(DNS Server Abfragezeit), nun wie schnell ist die Autobahn?
Diese DNS Sperlistenabfrage bringt Zwangspausen im Datenfluss, je mehr Einträge in der Liste desto grösser die Pausen. Wenn ein Provider 1 Millionen Kunden hat und 10 % greifen auf Wikipedia mit seinen vielen Links zu ist erstmal richtig Pause. So etwas passiert jetzt auch schon. Vor längerer Zeit wurde von einer Moskauer Hackerschule im TV berichtet einen Augenblick später war die Seite nicht mehr erreichbar, wegen Time Out. Jüngstes Beispiel waren die Australier als sie einen Schwedischen Server stürmten wegen ihrer Sperliste die sie sehen wollten, dieses Beispiel hinkt aber zeigt aber das die eigene zugesicherte Bandbreite wenig aussagt.
Die Provider (DNS Server) haben auch noch mehr zu tun als nur Sperlisten abfragen zu beantworten. Die DNS Server müssen sich ständig aktualisieren, die Geschwindigkeit wird von dem Speichermedium und dem Zugriff auf die Weltweiten DNS Einträgen bestimmt. Sind sie im RAM oder auf Festplatte? Ich weiss es nicht. Ist ein Eintrag nicht vorhanden wird der nächste Server gefragt und der muss auch Zeit haben und steht nicht im eigenen Hause.
Dieses muss der Herr gemeint haben den ohne Sperliste wird die IP Adressen zurückgeliefert und die nächste Aufgabe kann angefangen werden.
Gruß
@Bruno: Naja, die DNS-Sperrlisten mit einer Ueberlastung irgendeines Webservers zu vergleichen hinkt schon ein wenig sehr…
Da wir nun konkret bei einer DNS-Sperrliste angelangt sind: Die Abzufragen dauert 1. nicht lange (und zwar wirklich und 2. wird der Client-Rechner hoffentlich nicht so bloed sein, fuer jeden einzelnen Request eines Objekts auf einer Seite seine DNS-Daten zu updaten.
Ich glaube der Herr hat sich nicht nur falsch ausgedrueckt – es scheint mir auch so, als ob sein Wissen in diesem Bereich beschraenkt ist…
Hab die MP3 nicht angehört und bin kein Vollprofi, aber nach meinem Verständnis wird das doch nicht durch den extra mit falschen Datensätzen gefütterten DNS-Server langsamer (ist doch Wurst ob er jetzt die richtige IP oder die IP der KiPo-Dummy-Webseite zurückschickt. Die ganze URL bekommt der DNS ja sowieso nicht(?), sondern nur die TLD + Domain + Subdomain).
Vielmehr gehe ich davon aus, dass hier die Filterung durch Router / Providerhardware gemeint ist, die dadurch viel stärker belastet werden würde. HTTP ist ja Anwendungsschicht, also müsste die URL in jedem HTTP-Get-Request (und vermutlich vielen anderen HTTP-Anfragen, kenne mich da nicht aus) mit der Blacklist verglichen werden. Da man sehr viele HTTP-Connections / Webseite aufbaut, kann das schon recht arg die Performance beeinflussen, da so Hardware ja ehh meist „am Limit“ läuft. Und dann wirds eben für alle langsamer.
Filterung nur auf DNS- oder IP-Ebene funktioniert ja nicht, wie wir alle wissen.
Sollte ich hier Mist schreiben, vertraue ich jetzt mal darauf das mich jemand korrigiert :)
dass Netzprobleme durch Filter für Kinder-Pornografie entstehen