Was ist Anycast-DNS? | So funktioniert Anycast mit DNS

Der Einsatz von Anycast mit DNS beschleunigt den DNS-Auflösungsvorgang für die Benutzer und gewährleistet die Zuverlässigkeit des DNS.

Share facebook icon linkedin icon twitter icon email icon

Anycast DNS

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Funktionsweise von Anycast verstehen
  • Erfahren, wie DNS-Auflösung durch Anycast schneller und effizienter wird
  • Den Beitrag von Anycast zur Bekämpfung von DDoS-Angriffen per DNS-Flood erklären

Was ist Anycast-DNS?

Bei Anycast kann eine IP-Adresse für viele Server verwendet werden. Anycast-DNS bedeutet, dass einer von mehreren DNS-Servern auf DNS-Anfragen antworten kann. In der Regel liefert derjenige die Antwort, der geografisch am nächsten liegt. Das verringert die Latenz, verbessert die Verfügbarkeit des DNS-Auflösungsdienstes und bietet Schutz vor DDoS-Angriffen der Art „DNS-Flood“.

Was ist Anycast?

Normalerweise hat jedes Gerät oder jeder Server, der direkt mit dem Internet verbunden ist, eine eindeutige IP-Adresse. Die Kommunikation zwischen vernetzten Geräten erfolgt nach dem Muster 1:1, wobei jede Kommunikation von einem bestimmten Gerät zu einem Zielgerät am anderen Ende der Kommunikation stattfindet. Bei Anycast-Netzwerken können dagegen mehrere Server im Netzwerk dieselbe IP-Adresse oder denselben Pool von IP-Adressen verwenden. Die Kommunikation erfolgt bei einem Anycast-Netzwerk nach dem Muster 1:n.

Anycast DNS

Normalerweise funktioniert eine IP-Adresse wie eine Postanschrift: Sie legt einen ganz bestimmten Ort fest, an den die Nachricht gesendet wird. Aber nehmen wir an, eine Freundin von Ihnen hätte mehrere Wohnsitze im ganzen Land. Stellen Sie sich vor, ein Brief, der an eines ihrer Häuser adressiert ist, könnte auch an eines der anderen Häuser zugestellt werden, je nachdem, welches Haus dem Absender am nächsten liegt, selbst wenn die Adresse auf dem Brief in einer anderen Stadt liegt. So funktioniert Anycast-Routing: Eine IP-Adresse kann mit mehreren Standorten verknüpft sein.

Eine Anfrage, die sich an eine IP-Adresse innerhalb des Cloudflare CDN richtet, kann beispielsweise von jedem Rechenzentrum beantwortet werden, das Cloudflare betreibt. Es muss kein bestimmter Server sein. Weitere Informationen zu Anycast und dessen Einsatzmöglichkeiten für ein CDN finden Sie unter „Was ist Anycast?

Wie funktioniert Anycast-DNS?

DNS steht für „Domain Name System“. Dabei handelt es sich um das System, mit dem Domainnamen (die Namen von Websites) in maschinenlesbare alphanumerische IP-Adressen übersetzt werden. Dieser Vorgang wird als „Auflösen“ („resolve“) eines Domainnamens bezeichnet, und DNS-Resolver sind die Server, die diese Auflösung organisieren. Wenn ein Benutzer eine Website laden möchte, muss das Clientgerät die IP-Adresse dieser Website bei einem DNS-Resolver abfragen.

Anycast beschleunigt die DNS-Auflösung erheblich. Bei Anycast-DNS wird eine DNS-Abfrage an ein Netzwerk von DNS-Resolvern gesendet und nicht an einen bestimmten Resolver. Sie wird zu dem Resolver geroutet, der am nächsten und am besten verfügbar ist. DNS-Abfragen und -Antworten werden über optimierte Pfade befördert, damit Abfragen so schnell wie möglich beantwortet werden.

Anycast trägt auch zu hoher Verfügbarkeit der DNS-Auflösungsdienste bei. Wenn ein DNS-Resolver offline geht, können Abfragen weiterhin von anderen Resolvern im Netzwerk beantwortet werden.

Cloudflare bietet DNS-Auflösung in unserem verteilten CDN mit Rechenzentren in 200 Städten. Da es sich um ein Anycast-CDN handelt, können DNS-Abfragen von jedem Rechenzentrum im Netzwerk aufgelöst werden. Jeder DNS-Resolver im Netzwerk kann auf jede DNS-Anfrage antworten.

Wie funktioniert die DNS-Auflösung ohne Anycast?

Ohne Anycast arbeitet ein DNS-Auflösungsdienst wahrscheinlich mit Unicast-Routing. Dabei hat jeder DNS-Server eine IP-Adresse, und jede DNS-Abfrage wird an einen bestimmten Server gesendet. Wenn dieser Resolver ausgefallen oder nicht verfügbar ist, muss der Client weitere DNS-Resolver abfragen, und der DNS-Auflösungsvorgang dauert länger.

Wie schützt Anycast-DNS vor DDoS-Angriffen?

DDoS-Angriffe können sich über DNS-Flood-Angriffe gegen DNS-Resolver richten. Bei solchen Angriffen werden in der Regel große Botnetze aus IoT-Geräten genutzt, um DNS-Resolver mit DNS-Abfragen zu überlasten bzw. zu „überschwemmen“. (Ein DNS-Flood-Angriff ist nicht dasselbe wie ein DNS-Amplification-Angriff, bei dem offene DNS-Resolver zur Verstärkung von DDoS-Angriffen eingesetzt werden. Bei einem solchen Angriff sind die Resolver selbst nicht das Ziel.)

Anycast im Vergleich mit Unicast

Anycast-Netzwerke können Traffic über das ganze Netzwerk verteilen und dadurch DDoS-Schutz bieten. Weil eine Anfrage an eine IP-Adresse von vielen Servern beantwortet werden kann, können Tausende von Anfragen, die einen einzelnen Server überlasten würden, auf viele Server aufgeteilt werden. Anycast-DNS ist daher unempfindlich gegen die meisten DNS-Flood-Angriffe, und das macht Cloudflare DNS-Dienste widerstandsfähig gegen DDoS-Angriffe.