What is Anycast DNS? | How Anycast works with DNS

Using Anycast with DNS helps speed up the DNS resolution process for users and ensures DNS reliability.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Understand how Anycast works
  • Learn how Anycast makes DNS resolving faster and more efficient
  • Explain why Anycast helps mitigate DNS flood DDoS attacks

Copiar enlace del artículo

What is Anycast DNS?

In Anycast, one IP address can apply to many servers. Anycast DNS means that any one of a number of DNS servers can respond to DNS queries, and typically the one that is geographically closest will provide the response. This reduces latency, improves uptime for the DNS resolving service, and provides protection against DNS flood DDoS attacks.

What is Anycast?

Typically, any device or server that connects directly to the Internet will have a unique IP address. Communication between network-connected devices is 1-to-1; each communication goes from one specific device to the targeted device on the other end of the communication. Anycast networks, in contrast, allow multiple servers on the network to use the same IP address, or set of IP addresses. Communication with an Anycast network is 1-to-many.

Anycast DNS

Ordinarily, an IP address functions like a street address: it specifies the one specific location where the message is going. But suppose a friend had multiple residences around the country. Imagine a letter addressed to one of her houses could go to any one of those other houses based on which one was closest to the sender, even though the letter was addressed to a house in another city. This is sort of how Anycast routing works: one IP address can be associated with multiple locations.

For example, a request to an IP address within the Cloudflare CDN can be responded to by any data center Cloudflare operates, instead of one specific server. For more on Anycast and how a CDN can use it, see "What is Anycast?"

How does Anycast DNS work?

DNS viene sistema de nombres de dominio y es el sistema que traduce nombres de dominio (los nombres de los sitios web) en direcciones IP alfanuméricas que puedan leer los ordenadores. Esto se conoce como "solucionar" un nombre de dominio, y los solucionadores de DNS son los servidores que gestionan la resolución. Cuando un usuario quiere cargar un sitio web, el dispositivo cliente debe consultar a un solucionador de DNS la dirección IP de ese sitio web.

Anycast hace la resolución de DNS mucho más rápida. Con el DNS de Anycast, una consulta de DNS se dirigirá a una red de solucionador de DNS en lugar de a un solucionador específico, y se enrutará al solucionador que se esté más cercano y disponible. Las consultas y respuestas de DNS seguirán rutas optimizadas para responder a las consultas lo más rápido posible.

Anycast también ayuda a mantener disponibles los servicios de resolución de DNS. Si un solucionador de DNS se desconecta, otros solucionadores seguirán respondiendo a las consultas.

Cloudflare offers DNS resolving on our distributed CDN with data centers in 250 cities. Because the CDN is Anycast, DNS queries can be resolved from any data center in the network. Any DNS resolver in the network can respond to any DNS query.

How does DNS resolving work without Anycast?

Si un servicio de resolución de DNS no utiliza anycast, es probable que utilice un enrutamiento de unicast. En el enrutamiento de unicast, cada servidor de DNS tiene una dirección IP, y cada consulta de DNS se dirige a un servidor específico. Si ese solucionador está inactivo o no está disponible, el cliente tendrá que consultar solucionadores de DNS adicionales, lo que añade tiempo al proceso de resolución de DNS.

How does Anycast DNS provide resilience against DDoS attacks?

Los ataques DDoS pueden dirigirse a los solucionadores DNS mediante ataques de inundación DNS. Estos ataques suelen utilizar grandes botnets de dispositivos IoT para sobrecargar o "inundar" solucionadores de DNS con consultas DNS. (Un ataque de inundación DNS es diferente de un ataque de amplificación DNS, que utiliza solucionadores de DNS abiertos para amplificar los ataques DDoS. En tal ataque, los propios solucionadores no son el objetivo).

Anycast vs Unicast

Las redes de Anycast ofrecen protección contra DDoS, ya que el tráfico puede extenderse por toda la red. En otras palabras, una solicitud a una dirección IP la pueden responder muchos servidores, así que las miles de solicitudes, que sobrecargarían a un único servidor, se dividen entre muchos servidores. Por tanto, el DNS de Anycast no es vulnerable a la mayoría de los ataques de inundación de DNS y, por este motivo, los servicios DNS de Cloudflare son resistentes a los ataques DDoS.