¿Qué es el DNS de Anycast? | ¿Cómo funciona Anycast con DNS

El uso de anycast con DNS ayuda a acelerar el proceso de resolución de DNS para los usuarios y asegura la fiabilidad de DNS.

Share facebook icon linkedin icon twitter icon email icon

DNS de Anycast

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Entender cómo funciona anycast
  • Más información sobre cómo hace anycast que los solucionadores de DNS sean más rápidos y eficientes
  • Explicar por qué anycast ayuda a mitigar los ataques DDoS de inundación de DNS

¿Qué es el DNS de anycast?

En anycast, una dirección IP se puede aplicar a muchos servidores. DNS de anycast significa que cualquiera de un número de servidores DNS puede responder a consultas DNS, y lo habitual es que responda el que esté más cerca geográficamente. Esto reduce la latencia, mejora el tiempo de actividad para el servicio de resolución de DNS y ofrece protección ante ataques DDoS de inundación de DNS.

¿Qué es anycast?

Lo habitual es que cualquier dispositivo o servidor que se conecte directamente a Internet tenga una única dirección IP. La comunicación entre los dispositivos conectados a la red es de 1 a 1; cada comunicación fluye de un dispositivo específico al dispositivo objetivo al otro lado de la comunicación. En cambio, las redes Anycast permiten que múltiples servidores de la red utilicen la misma dirección IP o el mismo conjunto de direcciones IP. La comunicación con una red anycast es de 1 a muchos.

DNS de Anycast

Una dirección IP suele funcionar como una dirección postal: especifica la ubicación específica a la que debe ir el mensaje. Pero pongámonos en el caso de que tenemos un amigo con muchas casas por todo el país, y que una carta dirigida a una de sus casas podría enviarse a cualquier de las otras en función de la cercanía con el remitente, a pesar de que la carta estaba remitida a una casa en otra ciudad. Así funciona el enrutamiento de anycast: una dirección IP se puede asociar a varias ubicaciones.

Por ejemplo, cualquier centro de datos que opere Cloudflare puede responder a una solicitud a una dirección IP dentro del CDN de Cloudflare, en lugar de un servidor específico. Para más información sobre anycast y cómo puede usarlo una CDN, consulta "¿Qué es Anycast?"

¿Cómo funciona DNS de anycast?

DNS viene sistema de nombres de dominio y es el sistema que traduce nombres de dominio (los nombres de los sitios web) en direcciones IP alfanuméricas que puedan leer los ordenadores. Esto se conoce como "solucionar" un nombre de dominio, y los solucionadores de DNS son los servidores que gestionan la resolución. Cuando un usuario quiere cargar un sitio web, el dispositivo cliente debe consultar a un solucionador de DNS la dirección IP de ese sitio web.

Anycast hace la resolución de DNS mucho más rápida. Con el DNS de Anycast, una consulta de DNS se dirigirá a una red de solucionador de DNS en lugar de a un solucionador específico, y se enrutará al solucionador que se esté más cercano y disponible. Las consultas y respuestas de DNS seguirán rutas optimizadas para responder a las consultas lo más rápido posible.

Anycast también ayuda a mantener disponibles los servicios de resolución de DNS. Si un solucionador de DNS se desconecta, otros solucionadores seguirán respondiendo a las consultas.

Cloudflare ofrece resolución de DNS en nuestro CDN distribuido con centros de datos en 200 ciudades. Debido a que el CDN es anycast, las consultas de DNS las puede resolver cualquier centro de datos en la red. Cualquier solucionador de DNS de la red puede responder a cualquier consulta de DNS.

¿Cómo funciona la resolución de DNS sin anycast?

Si un servicio de resolución de DNS no utiliza anycast, es probable que utilice un enrutamiento de unicast. En el enrutamiento de unicast, cada servidor de DNS tiene una dirección IP, y cada consulta de DNS se dirige a un servidor específico. Si ese solucionador está inactivo o no está disponible, el cliente tendrá que consultar solucionadores de DNS adicionales, lo que añade tiempo al proceso de resolución de DNS.

¿De qué manera proporciona el DNS de anycast resistencia ante los ataques DDoS?

Los ataques DDoS pueden dirigirse a los solucionadores DNS mediante ataques de inundación DNS. Estos ataques suelen utilizar grandes botnets de dispositivos IoT para sobrecargar o "inundar" solucionadores de DNS con consultas DNS. (Un ataque de inundación DNS es diferente de un ataque de amplificación DNS, que utiliza solucionadores de DNS abiertos para amplificar los ataques DDoS. En tal ataque, los propios solucionadores no son el objetivo).

Anycast vs Unicast

Las redes de Anycast ofrecen protección DDoS, ya que el tráfico puede extenderse por toda la red. En otras palabras, una solicitud a una dirección IP la pueden responder muchos servidores, así que las miles de solicitudes, que sobrecargarían a un único servidor, se dividen entre muchos servidores. Por tanto, el DNS de Anycast no es vulnerable a la mayoría de los ataques de inundación de DNS y, por este motivo, los servicios DNS de Cloudflare son resistentes a los ataques DDoS.