What is Anycast DNS? | How Anycast works with DNS

Using Anycast with DNS helps speed up the DNS resolution process for users and ensures DNS reliability.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • Understand how Anycast works
  • Learn how Anycast makes DNS resolving faster and more efficient
  • Explain why Anycast helps mitigate DNS flood DDoS attacks

글 링크 복사

What is Anycast DNS?

In Anycast, one IP address can apply to many servers. Anycast DNS means that any one of a number of DNS servers can respond to DNS queries, and typically the one that is geographically closest will provide the response. This reduces latency, improves uptime for the DNS resolving service, and provides protection against DNS flood DDoS attacks.

What is Anycast?

Typically, any device or server that connects directly to the Internet will have a unique IP address. Communication between network-connected devices is 1-to-1; each communication goes from one specific device to the targeted device on the other end of the communication. Anycast networks, in contrast, allow multiple servers on the network to use the same IP address, or set of IP addresses. Communication with an Anycast network is 1-to-many.

Anycast DNS

Ordinarily, an IP address functions like a street address: it specifies the one specific location where the message is going. But suppose a friend had multiple residences around the country. Imagine a letter addressed to one of her houses could go to any one of those other houses based on which one was closest to the sender, even though the letter was addressed to a house in another city. This is sort of how Anycast routing works: one IP address can be associated with multiple locations.

For example, a request to an IP address within the Cloudflare CDN can be responded to by any data center Cloudflare operates, instead of one specific server. For more on Anycast and how a CDN can use it, see "What is Anycast?"

How does Anycast DNS work?

DNS는 도메인 이름 시스템(Domain Name System)의 약자로, 도메인 이름(웹사이트 이름)을 컴퓨터가 읽을 수 있는 영문자와 숫자로 된 IP 주소로 변환하는 시스템을 말합니다. 이를 도메인 이름 "확인"이라고 하며, DNS 확인자는 이를 관리하는 서버를 말하는 것입니다. 사용자가 웹사이트를 로드하려 할 때 클라이언트 기기는 해당 웹사이트의 IP 주소를 DNS 확인자에게 질의해야 합니다.

애니캐스트를 이용하면 DNS 확인이 훨씬 빨라집니다. 애니캐스트 DNS에서는, DNS 질의가 하나의 특정 확인자가 아닌 DNS 확인자의 네트워크로 향하며, 가장 가까우면서 가용한 해결자로 보내집니다. DNS 질의 및 응답은 가장 빨리 질의에 응답할 수 있도록 최적화된 경로를 따르게 됩니다.

애니캐스트는 DNS 확인 서비스의 가용성을 높이는 데도 도움이 됩니다. 하나의 DNS 확인자가 오프라인 상태가 되더라도 네트워크의 다른 확인자가 질의에 응답할 수 있기 때문입니다.

Cloudflare offers DNS resolving on our distributed CDN with data centers in 250 cities. Because the CDN is Anycast, DNS queries can be resolved from any data center in the network. Any DNS resolver in the network can respond to any DNS query.

How does DNS resolving work without Anycast?

애니캐스트를 사용하지 않는 DNS 확인 서비스는 유니캐스트 라우팅을 사용하는 경우가 많습니다. 유니 캐스트 라우팅에서는 모든 DNS 서버에 하나의 IP 주소가 있으며 모든 DNS 질의는 특정 서버로 향합니다. 해당 확인 프로그램이 작동하지 않거나 사용할 수없는 경우, 클라이언트는 추가 DNS 확인자에 질의해야 하는데, 이렇게 함으로써 DNS 확인 시간이 길어지게 됩니다.

How does Anycast DNS provide resilience against DDoS attacks?

DDoS 공격DNS 폭주 공격을 통해 DNS 확인자를 목표로 할 수 있습니다. 이러한 공격은 대개 IoT 기기로 된 대규모 봇네트를 이용해 DNS 질의로 DNS를 압도하거나 DNS에 "폭주"합니다. (DNS 폭주 공격은 개방된 DNS 확인자를 통해 DDoS 공격을 증폭시키는 DNS 증폭 공격과는 다릅니다. 이 경우, 해결자 자체가 공격 대상은 아닙니다.)

애니캐스트와 유니캐스트 비교

애니캐스트 네트워크는 트래픽을 전체 네트워크에 분산시킬 수 있으므로, DDoS 방어도 제공합니다. 달리 말하면, 특정 IP 주소로의 요청에 대해 다수의 서버가 응답하므로, 한 대의 서버를 압도할 수 있는 수천 개의 요청이 다수의 서버에 나눠지는 것입니다. 그러므로, 애니캐스트 DNS는 대개의 DNS 폭주 공격에 취약하지 않으며, 따라서, Cloudflare DNS 서비스는 DDoS 공격에 대해 복원력이 좋습니다.