Worum geht's hier?

In zwei Jahrzehnten als Vollzeitnerd hat sich der ein oder andere Text angesammelt, mit denen ich unseren Azubis versucht habe, Grundlagen über unseren Job (TCP/IP, aber auch bevorzugt Telefonie) zu erklären.

Das stelle ich hier, wann immer ich so einen Text nochmal irgendwo finde, zusammen. Diese Texte haben nicht den Anspruch, zu 100% exakt zu sein (sondern manches ist des besseres Verständnisses wegen vereinfacht worden). 

Heute:

DDOS, QoS und Qualitätsprobleme bei VoIP

IP-Telefone ist in den Augen vieler Anwender qualitativ deutlich schlechter als die frühere Telefonie. Insbesondere Aussetzer, aber auch z.B. "Geisteranrufe" (es klingelt weiter, obwohl der andere längst aufgelegt hat) nerven die Leute und lassen die Technik unausgereift erscheinen.

In dem Zusammenhang gibt es auch verschiedene Buzzword: DDOS-Attacken auf der einen Seite, QoS als Heilbringer auf der anderen Seite.

Im Frühjahr 2024 habe ich in einem Vortrag versucht, diesen Themenkomplex den anwesenden Nicht-Technikern zu erklären. Das verwendete LEGO ist übrigens noch aus meiner Kindheit, und die aktuelle Eigentümerin, meine Tochter, hat tatkräftig in unserem improvisierten Fotostudio mitgeholfen.

Früher: Leitungsvermittlung

Um zu verstehen, warum IP-Telefonie anders ist, gehen wir erstmal ein paar Jahrzehnte zurück: In die Zeit der Leitungsvermittlung.

Wir sehen hier eine Straße mit zwei voneinander getrennten Fahrspuren. Das vergleichbare Produkt in der Telefonie war ein ISDN-Basisanschluss mit zwei sog. B-Kanälen, also zwei getrennten "Leitungen" zum Telefonieren.

Die wesentlichen Eigenschaften:

  • Zwei getrennte Fahrspuren/Leitungen, die jeweils Kapazität für ein Fahrzeug/Gespräch hatten
  • Da auch ISDN ja schon digital war, wurde ein Telefonat in Datenpakete zerlegt (sozusagen Tondateien für jede Silbe) und die transportiert.
  • Wie man aber an den Fahrzeugen auf der oberen Fahrspur sieht, können auch andere Arten von Daten transportiert werden
  • Vorteil: Da jedes Gespräch exklusiv eine eigene Fahrspur hat, kann es keinen Stau geben. Entweder die Fahrspur ist frei (dann kommt das Gespräch zustande und die Daten fließen flüssig), oder die Fahrspur ist belegt (oder aufgrund einer Baustelle gesperrt), dann kann niemand drauffahren und der Anrufer bekäme ein "besetzt"
  • Nachteil: Da jedes Gespräch exklusiv eine eigene Fahrspur hat, kann man die freie Kapazität nicht anderweitig nutzen. Wenn zwischen zwei Datenpaketen eine Lücke ist (weil in dem Moment keine Daten übertragen werden müssen, z.B. weil ein Gesprächspartner schweigt), dann ist die Fahrspur trotzdem belegt.

Um den LEGO-Aufbau und die Erklärungen zu vereinfachen, interessieren wir uns nur für eine Fahrtrichtung. Streng genommen gibt es, wie auf der Autobahn auch, das ganze nochmal ein paar Meter weiter in die andere Fahrtrichtung.

Heute: Paketvermittlung

Nun machen wir aus der leitungsvermittelten Technik "ISDN" einfach die quasi-Nachfolgetechnik "SIP" mit Paketvermittlung.

Die Straße bleibt grundsätzlich die gleiche. Ein ISDN-Basisanschluss mit zwei B-Kanälen a 64 Bbit/s Bandbreite würde, wenn man diesen Leitungstyp für eine Internet-Standleitung nutzt, auch 128 kBit/s Bandbreite liefern. Ein ISDN-Primärmultiplexanschluss mit 30 Sprachkanälen (plus zwei zur Signalisierung, sozusagen zur Verwaltung) hat eine Bandbreite von 32*64 = 2048 kBit/s - das Pendant wäre sozusagen eine 2MBit/s-SDSL-Leitung. 

(Dass die Straße gleich bleibt, stimmt nicht ganz: Dadurch, dass wir bei Paketvermittlung nicht zwingend auf ISDN-Technik angewiesen sind, könnte man auch die Übertragungstechnik wechseln, z.B. zugunsten von vDSL. Und damit bekommt man deutlich höhere Bandbreiten über das gleiche Kabel realisiert. Das ist ein angenehmer Nebeneffekt)

Die Telefonate bleiben auch gleich. Digital in Pakete aufgeteilt waren sie vorher auch schon. Auch die Codecs sind oft die gleichen. (Ein Codec ist ein Verfahren, wie Ton-als-Daten gespeichert werden kann. Bei Musik ist z.B. MP3 der wohl bekannteste Codec, bei Telefonie heißt der, der für ISDN-Qualität zum Einsatz kommt, G.711 a-law). Das heißt, auch Form und Größe und damit Platzbedarf der Pakete sind gleich.Und unsere Telefonate brauchen damit auch den gleichen Platz auf der gleich breiten Straße wie bisher.

Wir bleiben bei der Paketvermittlung, wir bleiben bei unserer 128 kBit/s breiten Fahrbahn, und wir bleiben bei unseren beiden Gesprächen. 

Aber: Die Fahrer haben erkannt, dass da Lücken (z.B. Sprechpausen) zwischen den Fahrzeugen sind. Und haben die Fahrspur gewechselt. Und siehe da, effektiv brauchen die beiden Gespräche jetzt nur noch halbsoviel Bandbreite wie vorher, ohne dass ihre Qualität dadrunter leidet.

Das passt hier zufällig, bzw. war natürlich ganz bewusst so aufgestellt, weil die Lücken (Sprechpausen) des einen Gespräches jeweils zu den Datenpaketen des anderen Gesprächs passen. Das passiert im echten Leben so nicht. Aber: Auf die Masse an Gesprächen, die ein Carrier so abwickelt, sind immer irgendwo Pausen, und während 100 gleichzeitige Gespräche früher bei der Leitungsvermittlung auch 100 Leitungen belegt haben, kommen die Fahrzeuge jetzt (bei gleicher Datenmenge/Qualität) mit nur etwa der Hälfte der Bandbreite aus.

Dazu kommt natürlich auch noch der Vorteil, den wir weiter oben bei vDSL schon hatten: Auch die Carrier untereinander sind damit nicht mehr auf SS7- (das war ISDN-für-Carrier)-Technik angewiesen, sondern können durch andere Übertragungstechniken mehr aus einem Kabel rausholen)

Und damit wird auch klar, was der große Vorteil von Paketvermittlung gegenüber Leitungsvermittlung, also von VoIP gegenüber ISDN ist: Man kann die gesparte Bandbreite für andere Daten (von Telefonie bis zu Netflix) nutzen. 

Wenn es mal was enger wird: QoS

Im alten leitungsvermittelten Telefonnetz gab es (außerhalb von Defekten) eigentlich keine Qualitätsprobleme: Eine Leitung hatte die Bandbreite für ein Gespräch, jede Leitung konnte nur für ein Gespräch genutzt werden (ein zweites Gespräch bekam ein "besetzt"), also hatte auch jedes Gespräch genug Platz auf der Leitung.

Bei Paketvermittlung ist das anders. Jede Lücke wird genutzt, alle rücken etwas mehr zusammen, der Verkehr läuft im Idealfall genauso schnell. Aber, wie im echten Leben auch: Manchmal kommt es anders, als man denkt. 

Und wenn man nicht aufpasst, dann transportiert man drei, vier, fünf, womöglich zehn Gespräche über eine Leitung, die von der Bandbreite früher nur für zwei Gespräche gereicht hätte - es ist ja niemand da, der "besetzt" ruft. Und selbst wenn jemand da ist, der das tut (technisch möglich wäre es, aber eher unüblich): Man weiß ja vorher gar nicht, wann und wie viele Sprechpausen (und damit Lücken für die anderen Gespräche) es gibt. Man stelle sich nur mal vor, in fünf Telefonaten wird gleichzeitig "Tor!" gerufen, weil alle das gleiche Fußballspiel nebenbei geguckt haben - dann hätten wir fünf Paketfahrzeuge, die alle eigentlich gleichzeitig nebeneinander fahren wollen, dafür ist kein Platz.

Das Ergebnis sind dann Störungen und Aussetzer. Wie im richtigen Leben auch, die Pakete kommen dann einfach später an, und manchmal für den Empfänger zu spät. Kommt eine Silbe zu spät beim Empfänger an, und der Rest vom Satz wurde bereits abgespielt (und Telefonie ist ja nahezu live, d.h. so viel Zeit ist da nicht), dann wird die Silbe verworfen und der Empfänger hat einen kurzen Aussetzer gehört. Kommen zu viele Silben zu spät an, aber in der richtigen Reihenfolge, dann hört der Empfänger einen kurzen Aussetzer (weil der abzuspielende Ton noch nicht ankam), danach kommen die verspäteten Silben, werden aber u.U. deutlich schneller abgespielt, um wieder halbwegs live in den Takt zu kommen. 

Ein Zauberwort, was in dem Zusammenhang gerne fällt, ist Quality of Service (QoS). Das ist eine Technik, bei der wichtige Datenpakete mit einem Prioritäts-Aufkleber versehen werden, und die Router zwischendurch versuchen, die bevorzugt durch die überlastete Leitung zu bekommen. Kennt man aus dem Straßenverkehr auch, da haben die wichtigen Fahrzeuge ein Blaulicht und ein Martinshorn.

QoS ist eine Technik, um auf einer zu knapp dimensionierten Leitung trotzdem noch sicherzustellen, dass z.B. die Telefonie trotz Engpässen funktioniert. In den meisten Fällen ist es deutlich sinnvoller/günstiger die Leitung direkt ausreichend groß zu dimensionieren, um Engpässe zu vermeiden, denn vernünftig aufgesetztes QoS ist auch nicht ganz so einfach.

Wenn gar nix mehr geht: DDOS&Co

Irgendwann hilft dann auch QoS nichts mehr, auch der Rettungsdienst steht im Stau. Das kann beispielsweise passieren, wenn jemand an einem Ende der Leitung Opfer eines DDOS-Angriffs wird. Distributed Denial of Service (DDOS) ist eine Angriffsart, bei der ein Service in die Knie gezwängt werden soll (also er irgendwann aufgibt und die Arbeit verweigert = Denial of Service), in dem man ihm möglichst viele unsinnige Aufgaben zu erledigen gibt. Und zwar - darum das "distributed" - von unterschiedlichen Absendern auf der ganzen Welt, so dass es auch schwieriger wird, dem Herr zu werden (weil ein Aussperren des Absenders nicht möglich ist). 

Die meisten DDOS-Attacken versuchen auf einem der oberen OSI-Layer: Ein kleines Datenpaket, z.B. eine Suchanfrage, wird an das Opfer, z.B. einen Webserver, geschickt. Und der startet dann eine aufwendige Suche. Auf diese Weise hat der Angreifer einen Hebel (das Erzeugen der Suchanfrage kostet wenig Rechenleistung, das Ausführen der Suche aber schon). Wenn jetzt aber der Server auf die Suchanfrage antwortet (und damit möglicherweise als Antwort größere Datenpakete rausschickt), könnte das am Ende schon einen Engpass auf der Leitung mit sich bringen. 

Darüber hinaus gibt es auch (seltener, aber es gibt sie) DDOS-Attacken auf Layer 2 / Layer 3-Ebene: Der Angreifer verschickt einfach so viele i.d.R. UDP-Pakete, bis der Router darunter zusammenbricht - oder auch, bis die Leitung einfach überlastet ist. Und dann geht nichts mehr.

Aber: Es muss nicht immer DDOS sein (im Gegenteil, ein Angriff auf Deine Infrastruktur ist sogar eher unwahrscheinlich). Es kann auch genauso gut eine Fehlkonfiguration sein (irgend ein Computer, der mit einem Server im Büro kommuniziert, aber durch eine Fehlkonfiguration seine Daten erst raus ins Internet und dann von außen wieder rein ins Büro überträgt, statt lokal). Oder irgend ein iPhone-/Windows-/sonstwas-Update, das sich zu viele Geräte gleichzeitig runterladen. Ein Defekt an der Leitung (Beschädigung, so dass das Kabel elektrische Fehler produziert und die Transporter auf Schritttempo runtergebremst werden). Ein Backup oder sonstiger Wartungsjob, der entweder zur falschen Uhrzeit läuft oder den falschen Weg nimmt. Ein neu hinzugekommenes Gerät, das aus irgend einem Grund das Routing verändert und die Verkehr durch eine Engstelle lotst. Oder oder oder.

Ablauf eines IP-Telefonats

Okay, wir wissen jetzt: Leitungen können überlastet sein. Aber warum gehen die Anrufe dann trotzdem durch (und sind qualitativ schlecht), statt dass ein besetzt kommt?

Um das zu verstehen, muss man wissen, wie SIP funktioniert.

Der Empfänger sitzt in diesem Aufbau oben in der Feuerwache in seinem Büro. Und der Anruf kommt wieder als Datenpaket.
Wir beginnen mit einer INVITE-Nachricht, sozusagen dem Begleitzettel, dass da jetzt ein Anruf kommt und von wem.
Auf der Hofeinfahrt (vergleichbar: dem DSL-Router) gibt es eine Engstelle. Aber kein Problem, unser INVITE ist klein und passt da locker durch.
Das INVITE kommt am Endgerät an, und dieses klingelt. Feuerwehrmann Bob kann jetzt den Anruf annehmen.

Bobs Telefon klingelt also, er hebt ab. Sein Telefon schickt jetzt also zuerst eine "180 Ringing"-Nachricht, und nachdem er abhebt, auch ein "200 OK" an den Absender. (Habe ich nicht in LEGO nachgebaut, müsst Ihr Euch so vorstellen).

Damit ist klar: Jetzt wird telefoniert.

Und jetzt beginnt der sog. RTP-Stream, also die Datenpakete für den Ton.
Und die sind deutlich größer als das INVITE, die passen nicht mehr auf ein Motorrad, die kommen per Spedition
Und während das INVITE noch durchkam, kommt der Ton nicht mehr sauber durch.

... und dieses Gespräch wird qualitativ nicht gut sein (wenn es überhaupt zu verstehen ist), weil der Ton die Engstelle nicht in der passenden Geschwindigkeit passieren wird.

Bei alter leitungsvermittelter (ISDN-)Kommunikation hätte das nicht passieren können: Entweder die Leitung ist verfügbar, dann passt auch der LKW durch. Oder die Leitung ist belegt, dann wäre auch das Motorrad nicht mehr durchgekommen, und der Anrufer hätte ein "gassenbesetzt" bekommen.

Bei neuer paketvermittelter Kommunikation ist das so einfach nicht:

  • Einerseits ist es eher aufwendig (und wird damit in durchschnittlichen Setups auch nicht gemacht), dass die Telefonanlage die Zufahrtswege überwacht (ggf. mit dem Router kommuniziert, wie viel Platz zur Verfügung steht), um ggf. einen Anruf ablehnen zu können.
  • Andererseits kann sich die Auslastung der Leitung ja auch während eines Gespräches ändern (weil weitere Feuerwehrfahrzeuge ausrücken), d.h. auch wenn die Leitung zum Zeitpunkt des INVITEs ausreichend Reserven hatte, hat sie es später möglicherweise nicht mehr.

Feedback