What is Anycast DNS? | How Anycast works with DNS

Using Anycast with DNS helps speed up the DNS resolution process for users and ensures DNS reliability.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Understand how Anycast works
  • Learn how Anycast makes DNS resolving faster and more efficient
  • Explain why Anycast helps mitigate DNS flood DDoS attacks

Copiar el enlace del artículo

What is Anycast DNS?

In Anycast, one IP address can apply to many servers. Anycast DNS means that any one of a number of DNS servers can respond to DNS queries, and typically the one that is geographically closest will provide the response. This reduces latency, improves uptime for the DNS resolving service, and provides protection against DNS flood DDoS attacks.

What is Anycast?

Typically, any device or server that connects directly to the Internet will have a unique IP address. Communication between network-connected devices is 1-to-1; each communication goes from one specific device to the targeted device on the other end of the communication. Anycast networks, in contrast, allow multiple servers on the network to use the same IP address, or set of IP addresses. Communication with an Anycast network is 1-to-many.

Anycast DNS

Ordinarily, an IP address functions like a street address: it specifies the one specific location where the message is going. But suppose a friend had multiple residences around the country. Imagine a letter addressed to one of her houses could go to any one of those other houses based on which one was closest to the sender, even though the letter was addressed to a house in another city. This is sort of how Anycast routing works: one IP address can be associated with multiple locations.

For example, a request to an IP address within the Cloudflare CDN can be responded to by any data center Cloudflare operates, instead of one specific server. For more on Anycast and how a CDN can use it, see "What is Anycast?"

How does Anycast DNS work?

DNS significa sistema de nombres de dominio (domain name system), y es el sistema que traduce nombres de dominio (los nombres de sitios web) en direcciones IP alfanuméricas que las máquinas pueden leer. Esto se conoce como "resolución" de un nombre de dominio, y las resoluciones DNS son los servidores que gestionan la resolución. Cuando un usuario desea cargar un sitio web, el dispositivo cliente debe consultar a una resolución DNS la dirección IP de ese sitio web.

Anycast hace que la resolución de DNS sea mucho más rápida. Con Anycast DNS, una consulta DNS irá a una red de resolución de DNS en lugar de a una resolución específica, y se enrutará a cualquier resolución más cercana y disponible. Las consultas y respuestas de DNS seguirán rutas optimizadas para responder consultas lo más rápido posible.

Anycast también ayuda a mantener los servicios de resolución de DNS altamente disponibles. Si una resolución de DNS se desconecta, otras consultas en la red aún pueden responder a las consultas.

Cloudflare offers DNS resolving on our distributed CDN with data centers in 250 cities. Because the CDN is Anycast, DNS queries can be resolved from any data center in the network. Any DNS resolver in the network can respond to any DNS query.

How does DNS resolving work without Anycast?

Si un servicio de resolución de DNS no utiliza ninguna difusión, es probable que utilice un enrutamiento de unidifusión. En el enrutamiento de unidifusión, cada servidor DNS tiene una dirección IP, y cada consulta DNS va a un servidor específico. Si esa resolución está inactiva o no está disponible, el cliente tendrá que consultar resoluciones de DNS adicionales, agregando tiempo al proceso de resolución de DNS.

How does Anycast DNS provide resilience against DDoS attacks?

Los ataques DDoS pueden apuntar a las resoluciones DNS a través de ataques de inundación DNS. Estos ataques suelen utilizar grandes redes de robots (botnet) de dispositivos IoT para abrumar o "inundar" resoluciones DNS con las consultas DNS. (Un ataque de inundación de DNS es diferente a un ataque de amplificación de DNS, que utiliza resoluciones DNS abiertas para amplificar ataques DDoS. En dicho ataque, las resoluciones mismas no son el objetivo).

Anycast frente a la difusión única

Las redes Anycast proporcionan protección DDoS porque el tráfico puede extenderse por toda la red. Para decirlo de otra manera, una solicitud a una dirección IP puede ser respondida por muchos servidores, por lo que miles de solicitudes que abrumarían a un servidor se dividen entre muchos servidores. Por lo tanto, Anycast DNS, no es susceptible a la mayoría de los ataques de inundación DNS y los servicios DNS de Cloudflare son resistentes a los ataques DDoS por este motivo.