Was ist Anycast? | Wie funktioniert Anycast?

Anycast ist eine Netzwerkadressierungs- und Routingmethode, bei der eingehende Anfragen an verschiedene Standorte weitergeleitet werden können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Anycast-Netzwerkrouting erläutern
  • Zwischen Anycast und Unicast unterscheiden
  • Lernen, wie Anycast DDoS-Angriffe bekämpft

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist Anycast?

Anycast ist eine Netzwerkadressierungs- und Routingmethode, bei der eingehende Anfragen zu verschiedenen Standorten oder „Knoten“ geroutet werden können. Im Kontext eines CDN routet Anycast eingehenden Traffic in der Regel zum nächstgelegenen Rechenzentrum, damit Anfragen effizient verarbeitet werden. Durch selektives Routing funktioniert ein Anycast-Netzwerk auch bei hohem Trafficaufkommen, Netzwerkengpässen und DDoS-Angriffen stabil.

Anycast CDN-Diagramm

Wie funktioniert Anycast?

Beim Anycast-Netzwerkrouting können eingehende Verbindungsanfragen über mehrere Rechenzentren geroutet werden. Wenn Anfragen an eine einzelne IP-Adresse eingehen, die mit dem Anycast-Netzwerk verknüpft ist, verteilt das Netzwerk die Daten nach einer Priorisierungsmethode. Die Auswahl des jeweiligen Rechenzentrums wird in der Regel für möglichst geringe Latenz optimiert. Dazu wird das Rechenzentrum ausgewählt, das dem Anfragesteller am nächsten ist. Bei Anycast gilt eine Zuordnung nach dem Muster „1 zu (1 von vielen)“. Es gehört zu den fünf wichtigsten Netzwerkprotokollmethoden im Internetprotokoll.

Warum ein Anycast-Netzwerk verwenden?

Werden gleichzeitig viele Anfragen an denselben Ursprungsserver gestellt, wird der Server möglicherweise mit Traffic überlastet und kann nicht effizient auf weitere eingehende Anfragen reagieren. Bei einem Anycast-Netzwerk muss nicht ein einzelner Ursprungsserver die Hauptlast des Traffics tragen, sondern die Last kann auf andere verfügbare Rechenzentren verteilt werden, wobei jedes Rechenzentrum über Server verfügt, die eingehende Anfragen verarbeiten und darauf reagieren können. Mit dieser Routing-Methode kann man verhindern, dass die Kapazität eines Ursprungsservers überschritten wird, und Dienstunterbrechungen für Clients vermeiden, die Inhalte vom Ursprungsserver anfordern.

Worin unterscheiden sich Anycast und Unicast?

Im größten Teil des Internets gilt ein Routing-Schema namens „Unicast“. Unter Unicast wird jeder Knoten im Netzwerk mit einer eindeutigen IP-Adresse gekennzeichnet. Heim- und Büronetzwerke arbeiten so. Wenn ein Computer mit einem drahtlosen Netzwerk verbunden ist und die Meldung erhält, dass die IP-Adresse bereits verwendet wird, ist ein IP-Adresskonflikt aufgetreten, da ein anderer Computer im selben Unicast-Netzwerk bereits dieselbe IP verwendet. In den meisten Fällen ist das nicht erlaubt.

Unicast CDN-Diagramm

Wenn in einem CDN eine Unicast-Adresse verwendet wird, wird der Traffic direkt zum angegebenen Knoten geroutet. Dadurch entsteht eine Schwachstelle bei außergewöhnlich hohem Traffic im Netzwerk, z. B. während eines DDoS-Angriffs. Da der Traffic direkt zu einem bestimmten Rechenzentrum geroutet wird, kann der Standort oder die umliegende Infrastruktur mit Traffic überlastet werden. Das kann zu Denial-of-Service (Dienstausfall) für legitime Anfragen führen.

Durch Anycast kann ein Netzwerk extrem belastbar sein. Da immer der beste Pfad für den Traffic gefunden wird, kann ein gesamtes Rechenzentrum offline gehen und der Traffic wird automatisch zu einem nahegelegenen Rechenzentrum geroutet.

Wie kann man mit einem Anycast-Netzwerk einen DDoS-Angriff bekämpfen?

Nachdem ein Teil des Angriffs-Traffics schon durch andere DDoS-Abwehrtools herausgefiltert wurde, verteilt Anycast den verbleibenden Angriffs-Traffic auf mehrere Rechenzentren, um zu verhindern, dass ein Standort mit Anfragen überlastet wird. Wenn die Kapazität des Anycast-Netzwerks größer ist als der Angriffs-Traffic, wurde der Angriff effektiv bekämpft. Bei den meisten DDoS-Angriffen bilden viele kompromittierte „Zombie-“ oder „Bot“-Computer ein sogenanntes Botnetz. Diese Maschinen können über das Internet verteilt sein und so viel Traffic erzeugen, dass sie eine typische Maschine mit Unicast-Verbindung überlasten.

Anycast/Unicast wird angegriffen

Ein CDN mit richtig konfiguriertem Anycast vergrößert die Oberfläche des empfangenden Netzwerks, sodass ungefilterter Denial-of-Service-Traffic eines verteilten Botnetzes von jedem Rechenzentrum des CDN absorbiert wird. Infolgedessen wird wirkungsvolles DDoS gegen jeden Nutzer dieses CDN mit zunehmender Größe und Kapazität des Netzwerks immer schwieriger.

Es ist nicht einfach, ein echtes Anycast-Netzwerk einzurichten. Für die richtige Implementierung muss ein CDN-Provider seine eigene Netzwerk-Hardware unterhalten, direkte Beziehungen zu den ihm vorgelagerten Betreibern aufbauen und seine Netzwerkrouten so optimieren, dass der Traffic nicht zwischen mehreren Standorten „flattert“. In diesem Cloudflare-Blogbeitrag wird erläutert, wie Cloudflare Anycast Load Balancing ohne Load Balancer durchführt.