Qu'est-ce que le DNS Anycast ? | Comment l'Anycast fonctionne avec le DNS

L'utilisation de l'Anycast avec le DNS permet d'accélérer le processus de résolution de DNS pour les utilisateurs et garantit la fiabilité du DNS.

Share facebook icon linkedin icon twitter icon email icon

DNS Anycast

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre comment fonctionne l'Anycast
  • Apprendre comment l'Anycast rend la résolution DNS plus rapide et plus efficace
  • Expliquer pourquoi l'Anycast aide à atténuer les attaques DDoS DNS flood

Qu'est-ce qu'un DNS Anycast ?

En Anycast, une même adresse IP peut être utilisée pour plusieurs serveurs. Un DNS Anycast signifie que n'importe quel serveur parmi un certain nombre de serveurs DNS peut répondre aux requêtes DNS, et généralement celui qui est le plus proche géographiquement fournira la réponse. Cela réduit la latence, améliore le temps de disponibilité du service de résolution DNS et offre une protection contre les attaques DDoS du type DNS flood.

Qu'est-ce que l'Anycast ?

En règle générale, tout appareil ou serveur qui se connecte directement à Internet aura une adresse IP unique. Il s'agit d'une communication entre les périphériques connectés au réseau selon une méthode de communication un-à-un : chaque communication passe d'un appareil spécifique à l'appareil ciblé à l'autre extrémité de la communication. Les réseaux Anycast, en revanche, permettent à plusieurs serveurs du réseau d'utiliser la même adresse IP ou le même ensemble d'adresses IP. La communication avec un réseau Anycast est une méthode de communication de un-à-plusieurs.

DNS Anycast

Habituellement, une adresse IP fonctionne comme une adresse de rue : elle spécifie l'endroit précis et unique où le message est adressé. Mais supposons qu'un ami possède plusieurs résidences dans le pays. Imaginez qu'une lettre envoyée à l'une de ses maisons puisse être envoyée à n'importe laquelle des autres maisons en fonction de celle qui est la plus proche de l'expéditeur, même si la lettre était au départ adressée à une maison dans une autre ville. C'est ainsi que fonctionne le routage Anycast : une adresse IP peut être associée à plusieurs emplacements.

Par exemple, une requête adressée à une adresse IP dans le CDN Cloudflare peut être traitée par n'importe quel datacenter exploité par Cloudflare, au lieu d'un serveur spécifique. Pour plus d'informations sur l'Anycast et comment un CDN peut l'utiliser, voir « Qu'est-ce que l'anycast ? »

Comment fonctionne le DNS Anycast ?

DNS ou Domain Name System signifie système de nom de domaine. C'est le système qui traduit les noms de domaine (les noms de sites web) en adresses IP alphanumériques que les machines peuvent lire. Cela s'appelle « résoudre » un nom de domaine. Les résolveurs DNS sont, quant à eux, les serveurs qui gèrent la résolution. Lorsqu'un utilisateur souhaite charger un site web, la machine cliente doit interroger un résolveur DNS pour l'adresse IP de ce site web.

L'Anycast accélère la résolution DNS. Avec le DNS Anycast, une requête DNS ira à un réseau de résolveurs DNS plutôt qu'à un résolveur spécifique et sera acheminée vers le résolveur le plus proche disponible. Les requêtes et les réponses DNS suivront des chemins optimisés afin de répondre aux requêtes le plus rapidement possible.

L'Anycast contribue également à maintenir la haute disponibilité des services de résolution DNS. Si un résolveur DNS se déconnecte, les requêtes peuvent toujours être traitées par d'autres résolveurs du réseau.

Cloudflare offre une solution de résolution DNS via son réseau CDN distribué avec des datacenters implantés dans 200 villes. Le CDN étant Anycast, les requêtes DNS peuvent être résolues à partir de n'importe quel datacenter du réseau. Chacun des résolveurs DNS du réseau peut répondre à n'importe quelle requête DNS.

Comment fonctionne la résolution DNS sans l'Anycast ?

Si un service de résolution DNS n'utilise pas l'Anycast, il utilise probablement le routage unicast. Dans le routage unicast, chaque serveur DNS a une adresse IP et chaque requête DNS va à un serveur spécifique. Si ce résolveur est en panne ou indisponible, le client devra interroger des résolveurs DNS supplémentaires, ce qui allonge le processus de résolution DNS.

Comment un DNS Anycast permet-il la résilience contre les attaques DDoS ?

Les attaques DDoS peuvent cibler les résolveurs DNS via des attaques DNS flood. Ces attaques utilisent généralement de grands botnets composés d'appareils IoT pour submerger ou « flooder » les résolveurs DNS avec des requêtes DNS. (une attaque DNS flood est différente d'une attaque par amplification DNS, qui utilise des résolveurs DNS ouverts pour amplifier les attaques DDoS. Avec ce type d'attaque, les résolveurs eux-mêmes ne sont pas ciblés).

Anycast ou Unicast

Les réseaux Anycast offrent une protection DDoS, car le trafic peut être réparti sur l'ensemble du réseau. En d'autres termes, une requête adressée à une adresse IP peut être traitée par de nombreux serveurs, de sorte que les milliers de requêtes qui satureraient un serveur sont réparties entre plusieurs serveurs. Un DNS Anycast n'est donc pas sensible à la plupart des attaques DNS flood, et les services Cloudflare DNS sont résistants aux attaques DDoS pour cette raison.