What is Anycast DNS? | How Anycast works with DNS

Using Anycast with DNS helps speed up the DNS resolution process for users and ensures DNS reliability.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Understand how Anycast works
  • Learn how Anycast makes DNS resolving faster and more efficient
  • Explain why Anycast helps mitigate DNS flood DDoS attacks

Copier le lien de l'article

What is Anycast DNS?

In Anycast, one IP address can apply to many servers. Anycast DNS means that any one of a number of DNS servers can respond to DNS queries, and typically the one that is geographically closest will provide the response. This reduces latency, improves uptime for the DNS resolving service, and provides protection against DNS flood DDoS attacks.

What is Anycast?

Typically, any device or server that connects directly to the Internet will have a unique IP address. Communication between network-connected devices is 1-to-1; each communication goes from one specific device to the targeted device on the other end of the communication. Anycast networks, in contrast, allow multiple servers on the network to use the same IP address, or set of IP addresses. Communication with an Anycast network is 1-to-many.

Anycast DNS

Ordinarily, an IP address functions like a street address: it specifies the one specific location where the message is going. But suppose a friend had multiple residences around the country. Imagine a letter addressed to one of her houses could go to any one of those other houses based on which one was closest to the sender, even though the letter was addressed to a house in another city. This is sort of how Anycast routing works: one IP address can be associated with multiple locations.

For example, a request to an IP address within the Cloudflare CDN can be responded to by any data center Cloudflare operates, instead of one specific server. For more on Anycast and how a CDN can use it, see "What is Anycast?"

How does Anycast DNS work?

DNS ou Domain Name System signifie système de nom de domaine. C'est le système qui traduit les noms de domaine (les noms de sites web) en adresses IP alphanumériques que les machines peuvent lire. Cela s'appelle « résoudre » un nom de domaine. Les résolveurs DNS sont, quant à eux, les serveurs qui gèrent la résolution. Lorsqu'un utilisateur souhaite charger un site web, la machine cliente doit interroger un résolveur DNS pour l'adresse IP de ce site web.

L'Anycast accélère la résolution DNS. Avec le DNS Anycast, une requête DNS ira à un réseau de résolveurs DNS plutôt qu'à un résolveur spécifique et sera acheminée vers le résolveur le plus proche disponible. Les requêtes et les réponses DNS suivront des chemins optimisés afin de répondre aux requêtes le plus rapidement possible.

L'Anycast contribue également à maintenir la haute disponibilité des services de résolution DNS. Si un résolveur DNS se déconnecte, les requêtes peuvent toujours être traitées par d'autres résolveurs du réseau.

Cloudflare offers DNS resolving on our distributed CDN with data centers in 250 cities. Because the CDN is Anycast, DNS queries can be resolved from any data center in the network. Any DNS resolver in the network can respond to any DNS query.

How does DNS resolving work without Anycast?

Si un service de résolution DNS n'utilise pas l'Anycast, il utilise probablement le routage unicast. Dans le routage unicast, chaque serveur DNS a une adresse IP et chaque requête DNS va à un serveur spécifique. Si ce résolveur est en panne ou indisponible, le client devra interroger des résolveurs DNS supplémentaires, ce qui allonge le processus de résolution DNS.

How does Anycast DNS provide resilience against DDoS attacks?

Les attaques DDoS peuvent cibler les résolveurs DNS via des attaques DNS flood. Ces attaques utilisent généralement de grands botnets composés d'appareils IoT pour submerger ou « flooder » les résolveurs DNS avec des requêtes DNS. (une attaque DNS flood est différente d'une attaque par amplification DNS, qui utilise des résolveurs DNS ouverts pour amplifier les attaques DDoS. Avec ce type d'attaque, les résolveurs eux-mêmes ne sont pas ciblés).

Anycast ou Unicast

Les réseaux Anycast offrent une protection DDoS, car le trafic peut être réparti sur l'ensemble du réseau. En d'autres termes, une requête adressée à une adresse IP peut être traitée par de nombreux serveurs, de sorte que les milliers de requêtes qui satureraient un serveur sont réparties entre plusieurs serveurs. Un DNS Anycast n'est donc pas sensible à la plupart des attaques DNS flood, et les services Cloudflare DNS sont résistants aux attaques DDoS pour cette raison.