What is Anycast DNS? | How Anycast works with DNS

Using Anycast with DNS helps speed up the DNS resolution process for users and ensures DNS reliability.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Understand how Anycast works
  • Learn how Anycast makes DNS resolving faster and more efficient
  • Explain why Anycast helps mitigate DNS flood DDoS attacks

Copia link dell'articolo

What is Anycast DNS?

In Anycast, one IP address can apply to many servers. Anycast DNS means that any one of a number of DNS servers can respond to DNS queries, and typically the one that is geographically closest will provide the response. This reduces latency, improves uptime for the DNS resolving service, and provides protection against DNS flood DDoS attacks.

What is Anycast?

Typically, any device or server that connects directly to the Internet will have a unique IP address. Communication between network-connected devices is 1-to-1; each communication goes from one specific device to the targeted device on the other end of the communication. Anycast networks, in contrast, allow multiple servers on the network to use the same IP address, or set of IP addresses. Communication with an Anycast network is 1-to-many.

Anycast DNS

Ordinarily, an IP address functions like a street address: it specifies the one specific location where the message is going. But suppose a friend had multiple residences around the country. Imagine a letter addressed to one of her houses could go to any one of those other houses based on which one was closest to the sender, even though the letter was addressed to a house in another city. This is sort of how Anycast routing works: one IP address can be associated with multiple locations.

For example, a request to an IP address within the Cloudflare CDN can be responded to by any data center Cloudflare operates, instead of one specific server. For more on Anycast and how a CDN can use it, see "What is Anycast?"

How does Anycast DNS work?

DNS sta per Domain Name System (sistema dei nomi di dominio), cioè il sistema che traduce i nomi di dominio (i nomi dei siti Web) in indirizzi IP alfanumerici che possono essere letti dalle macchine. Questo passaggio viene chiamato "resolving", o risoluzione, di un nome di dominio, e i resolver DNS sono server che gestiscono la risoluzione. Quando un utente vuole caricare un sito Web, il dispositivo client deve eseguire una query presso un resolver DNS per avere l'indirizzo IP di tale sito.

Anycast rende la risoluzione del DNS molto più veloce. Con anycast DNS, una query DNS va a una rete di resolver DNS piuttosto che a un resolver specifico, e viene instradata a qualsiasi resolver sia più vicino e disponibile. Le query e risposte DNS seguono dei percorsi ottimizzati per poter rispondere alle query nel modo più rapido possibile.

Inoltre, anycast aiuta a mantenere elevata la disponibilità dei servizi di risoluzione DNS. Se un resolver DNS va offline, gli altri resolver nella rete possono continuare a rispondere alle query.

Cloudflare offers DNS resolving on our distributed CDN with data centers in 250 cities. Because the CDN is Anycast, DNS queries can be resolved from any data center in the network. Any DNS resolver in the network can respond to any DNS query.

How does DNS resolving work without Anycast?

Se un servizio di risoluzione del DNS non usa anycast, è probabile che usi il routing unicast. Nel routing unicast, ogni server DNS ha un singolo indirizzo IP, e ogni query DNS va a un server specifico. Se tale resolver è fuori uso o non disponibile, il client dovrà eseguire una query ad altri resolver DNS, aggiungendo del tempo al processo di risoluzione del DNS.

How does Anycast DNS provide resilience against DDoS attacks?

Gli attacchi DDoS possono prendere di mira i resolver DNS attraverso gli attacchi DNS flood. Tali attacchi in genere usano grandi botnet di dispositivi IoT per travolgere o inondare ("flood") i resolver DNS con query DNS (l'attacco DNS flood è diverso dall'attacco di amplificazione DNS, che usa resolver DNS aperti per amplificare gli attacchi DDoS. In un attacco di questo tipo, il bersaglio non sono i resolver stessi).

Differenze tra Anycast e Unicast

Le reti anycast forniscono una protezione dagli attacchi DDoS perché il traffico può essere distribuito in tutta la rete. In altre parole, una richiesta a un indirizzo IP può avere una risposta da molti server, quindi migliaia di richieste che travolgerebbero un server sono suddivise tra molti server. Anycast DNS quindi non è suscettibile alla maggior parte degli attacchi DNS flood e i servizi Cloudflare DNS sono resilienti contro gli attacchi DDoS per la stessa ragione.