Qu'est-ce que l'Anycast ? | Comment fonctionne l'Anycast ?

L'Anycast est une méthode d'adressage et de routage réseau dans laquelle les requêtes entrantes peuvent être acheminées vers une variété d'emplacements différents.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquer le routage réseau Anycast
  • Différencier l'Anycast et l'Unicast
  • Découvrez comment l'Anycast atténue les attaques DDoS

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le routage Anycast ?

L'Anycast est une méthode d'adressage et de routage réseau dans laquelle les requêtes entrantes peuvent être acheminées vers une variété d'emplacements ou de « nœuds » différents. Dans le contexte d'un CDN, l'Anycast achemine généralement le trafic entrant vers le datacenter le plus proche avec la capacité de traiter efficacement la requête. Le routage sélectif permet à un réseau Anycast d'être résilient face à un volume de trafic élevé, à une congestion du réseau et à des attaques DDoS.

Diagramme du CDN Anycast

Comment fonctionne l'Anycast ?

Le routage réseau Anycast peut acheminer les requêtes de connexion entrantes à travers plusieurs datacenters. Lorsque les requêtes sont adressées à une adresse IP associée au réseau Anycast, le réseau distribue les données basées sur une méthode de priorisation. Le processus de sélection derrière le choix d'un centre de données particulier sera généralement optimisé pour réduire la latence en sélectionnant le datacenter présentant la distance la plus courte par rapport au demandeur. L'Anycast se caractérise par une association « de un à plusieurs ». Il est l'une des 5 principales méthodes de protocole de réseau utilisées dans le protocole Internet.

Pourquoi utiliser un réseau Anycast ?

Si plusieurs requêtes sont adressées simultanément à un même serveur d'origine, le serveur peut être submergé par le trafic et ne plus être en mesure de répondre efficacement aux nouvelles requêtes entrantes. Avec un réseau Anycast, au lieu de confier à un serveur d'origine la tâche de gérer l'essentiel du trafic, la charge peut également être répartie sur d'autres datacenters disponibles, chacun disposant de serveurs capables de traiter et de répondre aux requêtes reçues. Cette méthode de routage peut empêcher un serveur d'origine d'étendre sa capacité et évite les interruptions de service pour les clients demandant du contenu au serveur d'origine.

Quelle est la différence entre l'Anycast et l'Unicast ?

Internet fonctionne essentiellement via un schéma de routage appelé Unicast. En Unicast, chaque nœud du réseau obtient une adresse IP unique. Les réseaux domestiques et professionnels utilisent l'Unicast. Lorsqu'un ordinateur est connecté à un réseau sans fil et reçoit un message indiquant que l'adresse IP est déjà utilisée, cela signigie qu'un conflit d'adresse IP s'est produit, car un autre ordinateur sur le même réseau Unicast utilise déjà la même adresse IP. Dans la plupart des cas, cela n'est pas autorisé.

Diagramme CDN unicast

Lorsqu'un CDN utilise une adresse unicast, le trafic est acheminé directement vers le nœud spécifique. Cela crée une vulnérabilité lorsque le réseau connaît un trafic exceptionnel, comme c'est le cas au cours d'une attaque DDoS. Étant donné que le trafic est acheminé directement vers un datacenter particulier, l'emplacement ou son infrastructure environnante peut être submergé de trafic en entraînant potentiellement un déni de service pour des requêtes légitimes.

L'utilisation d'Anycast signifie que le réseau peut être extrêmement résilient. Le trafic trouvera en fait le meilleur chemin. Un datacenter peut être mis hors ligne et le trafic sera automatiquement acheminé vers un datacenter proximal.

Comment un réseau Anycast atténue-t-il une attaque DDoS ?

Après que d'autres outils d'atténuation des attaques DDoS ont filtré une partie du trafic d'attaque, l'Anycast distribue le trafic d'attaque restant sur plusieurs datacenters, en empêchant un emplacement de se retrouver submergé de requêtes. Si la capacité du réseau Anycast est supérieure au trafic d'attaque, l'attaque est efficacement atténuée. Dans la plupart des attaques DDoS, de nombreux ordinateurs « zombies » ou « bots » compromis sont utilisés pour former ce que l'on appelle un botnet. Ces machines peuvent être dispersées sur le web et générer tellement de trafic qu'elles peuvent submerger une machine typique connectée en Unicast.

Anycast/Unicast attaqué

Un CDN correctement anycasté augmente la surface du réseau de réception afin que le trafic de déni de service non filtré d'un botnet distribué soit absorbé par chacun des centres de données du CDN. Par conséquent, à mesure qu'un réseau continue de croître en taille et en capacité, il devient de plus en plus difficile de lancer un DDoS efficace contre un utilisateur du CDN.

Il n'est pas facile de configurer un véritable réseau anycasté. Une bonne mise en œuvre nécessite qu'un fournisseur CDN conserve son propre matériel de réseau, construise des relations directes avec ses transporteurs en amont, et règle ses routes réseau pour qu'il n'y ait pas de bagottement (appelé également flapping) du trafic entre plusieurs emplacements. Ce post du blog Cloudflare explique comment Cloudflare utilise l'Anycast pour eefectuer un équilibrage de charge sans équilibreurs de charge.