What is Anycast DNS? | How Anycast works with DNS

Using Anycast with DNS helps speed up the DNS resolution process for users and ensures DNS reliability.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Understand how Anycast works
  • Learn how Anycast makes DNS resolving faster and more efficient
  • Explain why Anycast helps mitigate DNS flood DDoS attacks

Link zum Artikel kopieren

What is Anycast DNS?

In Anycast, one IP address can apply to many servers. Anycast DNS means that any one of a number of DNS servers can respond to DNS queries, and typically the one that is geographically closest will provide the response. This reduces latency, improves uptime for the DNS resolving service, and provides protection against DNS flood DDoS attacks.

What is Anycast?

Typically, any device or server that connects directly to the Internet will have a unique IP address. Communication between network-connected devices is 1-to-1; each communication goes from one specific device to the targeted device on the other end of the communication. Anycast networks, in contrast, allow multiple servers on the network to use the same IP address, or set of IP addresses. Communication with an Anycast network is 1-to-many.

Anycast DNS

Ordinarily, an IP address functions like a street address: it specifies the one specific location where the message is going. But suppose a friend had multiple residences around the country. Imagine a letter addressed to one of her houses could go to any one of those other houses based on which one was closest to the sender, even though the letter was addressed to a house in another city. This is sort of how Anycast routing works: one IP address can be associated with multiple locations.

For example, a request to an IP address within the Cloudflare CDN can be responded to by any data center Cloudflare operates, instead of one specific server. For more on Anycast and how a CDN can use it, see "What is Anycast?"

How does Anycast DNS work?

DNS steht für „Domain Name System“. Dabei handelt es sich um das System, mit dem Domainnamen (die Namen von Websites) in maschinenlesbare alphanumerische IP-Adressen übersetzt werden. Dieser Vorgang wird als „Auflösen“ („resolve“) eines Domainnamens bezeichnet, und DNS-Resolver sind die Server, die diese Auflösung organisieren. Wenn ein Benutzer eine Website laden möchte, muss das Clientgerät die IP-Adresse dieser Website bei einem DNS-Resolver abfragen.

Anycast beschleunigt die DNS-Auflösung erheblich. Bei Anycast-DNS wird eine DNS-Abfrage an ein Netzwerk von DNS-Resolvern gesendet und nicht an einen bestimmten Resolver. Sie wird zu dem Resolver geroutet, der am nächsten und am besten verfügbar ist. DNS-Abfragen und -Antworten werden über optimierte Pfade befördert, damit Abfragen so schnell wie möglich beantwortet werden.

Anycast trägt auch zu hoher Verfügbarkeit der DNS-Auflösungsdienste bei. Wenn ein DNS-Resolver offline geht, können Abfragen weiterhin von anderen Resolvern im Netzwerk beantwortet werden.

Cloudflare offers DNS resolving on our distributed CDN with data centers in 250 cities. Because the CDN is Anycast, DNS queries can be resolved from any data center in the network. Any DNS resolver in the network can respond to any DNS query.

How does DNS resolving work without Anycast?

Ohne Anycast arbeitet ein DNS-Auflösungsdienst wahrscheinlich mit Unicast-Routing. Dabei hat jeder DNS-Server eine IP-Adresse, und jede DNS-Abfrage wird an einen bestimmten Server gesendet. Wenn dieser Resolver ausgefallen oder nicht verfügbar ist, muss der Client weitere DNS-Resolver abfragen, und der DNS-Auflösungsvorgang dauert länger.

How does Anycast DNS provide resilience against DDoS attacks?

DDoS-Angriffe können sich über DNS-Flood-Angriffe gegen DNS-Resolver richten. Bei solchen Angriffen werden in der Regel große Botnetze aus IoT-Geräten genutzt, um DNS-Resolver mit DNS-Abfragen zu überlasten bzw. zu „überschwemmen“. (Ein DNS-Flood-Angriff ist nicht dasselbe wie ein DNS-Amplification-Angriff, bei dem offene DNS-Resolver zur Verstärkung von DDoS-Angriffen eingesetzt werden. Bei einem solchen Angriff sind die Resolver selbst nicht das Ziel.)

Anycast im Vergleich mit Unicast

Anycast-Netzwerke können Traffic über das ganze Netzwerk verteilen und dadurch DDoS-Schutz bieten. Weil eine Anfrage an eine IP-Adresse von vielen Servern beantwortet werden kann, können Tausende von Anfragen, die einen einzelnen Server überlasten würden, auf viele Server aufgeteilt werden. Anycast-DNS ist daher unempfindlich gegen die meisten DNS-Flood-Angriffe, und das macht Cloudflare DNS-Dienste widerstandsfähig gegen DDoS-Angriffe.