Che cos'è Anycast DNS? | Come funziona Anycast con DNS

Utilizzare anycast con DNS aiuta ad accelerare il processo di risoluzione del DNS per gli utenti e garantisce l'affidabilità del DNS.

Share facebook icon linkedin icon twitter icon email icon

Anycast DNS

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Comprendere come funziona anycast
  • Scoprire come anycast rende più veloce ed efficiente la risoluzione DNS
  • Spiegare perché anycast aiuta a mitigare gli attacchi DDoS DNS flood

Che cos'è anycast DNS?

Con anycast, un indirizzo IP singolo può essere applicato a diversi server. Anycast DNS significa che uno qualsiasi di diversi server DNS può rispondere alle richieste DNS e in genere sarà quello geograficamente più vicino a fornire la risposta. Ciò riduce la latenza, incrementa l'uptime del servizio di risoluzione DNS e protegge dagli attacchi DDoS DNS flood.

Cos'è anycast?

Di norma, ogni dispositivo o server che si collega direttamente a Internet ha un indirizzo IP univoco. La comunicazione tra dispositivi connessi alla rete è uno a uno; ogni comunicazione va da un dispositivo specifico a quello mirato all'altro capo della comunicazione. Invece le reti Anycast consentono a diversi server nella stessa rete di usare lo stesso indirizzo IP, o gruppo di indirizzi IP. La comunicazione con una anycast network è uno a molti.

Anycast DNS

Solitamente, un indirizzo IP funziona come un indirizzo stradale: specifica l'ubicazione precisa dove va recapitato il messaggio. Supponiamo però che un'amica abbia diverse residenze per tutto il paese. Immaginiamo che una lettera che sia indirizzata a una delle residenze possa invece essere consegnata a una qualsiasi delle altre case in base a quale si trova più vicino al mittente, anche se la lettera è indirizzata a una casa in una città diversa. Questo è un po' come funziona l'instradamento anycast: un singolo indirizzo IP può essere associato a multipli luoghi.

Ad esempio, una richiesta a un indirizzo IP all'interno della Cloudflare CDN può avere una risposta da qualsiasi datacenter gestito da Cloudflare, invece che da un singolo server specifico. Per ulteriori informazioni su anycast e su come può essere utilizzato da una CDN, consultare "Cos'è anycast?"

Come funziona anycast DNS?

DNS sta per Domain Name System (sistema dei nomi di dominio), cioè il sistema che traduce i nomi di dominio (i nomi dei siti Web) in indirizzi IP alfanumerici che possono essere letti dalle macchine. Questo passaggio viene chiamato "resolving", o risoluzione, di un nome di dominio, e i resolver DNS sono server che gestiscono la risoluzione. Quando un utente vuole caricare un sito Web, il dispositivo client deve eseguire una query presso un resolver DNS per avere l'indirizzo IP di tale sito.

Anycast rende la risoluzione del DNS molto più veloce. Con anycast DNS, una query DNS va a una rete di resolver DNS piuttosto che a un resolver specifico, e viene instradata a qualsiasi resolver sia più vicino e disponibile. Le query e risposte DNS seguono dei percorsi ottimizzati per poter rispondere alle query nel modo più rapido possibile.

Inoltre, anycast aiuta a mantenere elevata la disponibilità dei servizi di risoluzione DNS. Se un resolver DNS va offline, gli altri resolver nella rete possono continuare a rispondere alle query.

Cloudflare offre la risoluzione DNS nella nostra CDN distribuita con datacenter in 200 città. Dato che la CDN è anycast, le query DNS possono essere risolte da qualunque datacenter nella rete. Qualsiasi resolver DNS nella rete può rispondere a una query DNS.

Come funziona la risoluzione DNS senza anycast?

Se un servizio di risoluzione del DNS non usa anycast, è probabile che usi il routing unicast. Nel routing unicast, ogni server DNS ha un singolo indirizzo IP, e ogni query DNS va a un server specifico. Se tale resolver è fuori uso o non disponibile, il client dovrà eseguire una query ad altri resolver DNS, aggiungendo del tempo al processo di risoluzione del DNS.

In che modo anycast DNS fornisce resilienza contro gli attacchi DDos?

Gli attacchi DDoS possono prendere di mira i resolver DNS attraverso gli attacchi DNS flood. Tali attacchi in genere usano grandi botnet di dispositivi IoT per travolgere o inondare ("flood") i resolver DNS con query DNS (l'attacco DNS flood è diverso dall'attacco di amplificazione DNS, che usa resolver DNS aperti per amplificare gli attacchi DDoS. In un attacco di questo tipo, il bersaglio non sono i resolver stessi).

Differenze tra Anycast e Unicast

Le reti anycast forniscono una protezione dagli attacchi DDoS perché il traffico può essere distribuito in tutta la rete. In altre parole, una richiesta a un indirizzo IP può avere una risposta da molti server, quindi migliaia di richieste che travolgerebbero un server sono suddivise tra molti server. Anycast DNS quindi non è suscettibile alla maggior parte degli attacchi DNS flood e i servizi Cloudflare DNS sono resilienti contro gli attacchi DDoS per la stessa ragione.