O que é o DNS Anycast? | Como o Anycast funciona com o DNS

O uso do Anycast com DNS ajuda a acelerar o processo de resolução de DNS para os usuários e garante a confiabilidade do DNS.

Share facebook icon linkedin icon twitter icon email icon

DNS Anycast

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Entenda como o Anycast funciona
  • Saiba como o Anycast torna a resolução de DNS mais rápida e eficiente
  • Explique por que o anycast ajuda a mitigar ataques de DDoS por inundação de DNS

O que é o DNS Anycast?

No anycast, um endereço IP pode ser aplicado a muitos servidores. O DNS Anycast significa que qualquer um dentre vários servidores DNS pode responder a consultas de DNS e, normalmente, o que estiver geograficamente mais próximo dará a resposta. Isso reduz a latência, aumenta o tempo de atividade para o DNS que estiver resolvendo o serviço e fornece proteção contra ataques DDoS por inundação de DNS.

O que é Anycast?

De modo geral, qualquer dispositivo ou servidor que se conecte diretamente à internet terá um endereço IP único. A comunicação entre os dispositivos conectados à rede é de 1 para 1; cada comunicação vai de um dispositivo específico para o dispositivo de destino na outra extremidade da comunicação. As redes Anycast , por sua vez, permitem que vários servidores na rede usem o mesmo endereço IP ou conjunto de endereços IP. A comunicação com uma rede anycast é de 1 para muitos.

Anycast DNS

Normalmente, um endereço IP funciona como um endereço normal de uma cidade: especifica o local específico para onde a mensagem está indo. Mas suponhamos que um amigo tenha várias residências em todo o país. Imagine que uma carta endereçada a uma dessas casas pudesse chegar a qualquer uma delas, considerando a que estivesse mais próxima do remetente, mesmo que a carta fosse endereçada a uma casa em outra cidade. É assim que funciona o roteamento Anycast: um endereço IP pode ser associado a vários locais.

Por exemplo, uma solicitação para um endereço IP dentro da CDN da Cloudflare pode ser respondida por qualquer data center operado pela Cloudflare, ao invés de um servidor específico. Para saber mais sobre o anycast e como uma CDN pode usá-lo, leia o artigo " O que é o anycast?"

Como o DNS Anycast funciona?

DNS vem do inglês Domain Name System (sistema de nomes de domínio). É o sistema que traduz nomes de domínio (os nomes dos sites) em endereços IP alfanuméricos que as máquinas conseguem ler. Esse processo é conhecido como "resolver" um nome de domínio, e os resolvedores de DNS são os servidores que gerenciam essa resolução. Quando um usuário deseja carregar um site, o dispositivo cliente precisa consultar um resolvedor de DNS para obter o endereço IP desse site.

O Anycast faz o DNS resolver muito mais rapidamente. Com o DNS Anycast, uma consulta DNS irá para uma rede de resolvedores DNS em vez de ir para um resolvedor específico, e será roteada para o que estiver mais próximo e disponível. As consultas e respostas de DNS seguirão caminhos otimizados para responder às perguntas assim que possível.

O Anycast também ajuda a manter os serviços de resolução de DNS altamente disponíveis. Se um resolvedor de DNS fica off-line, as consultas ainda podem ser respondidas por outros resolvedores presentes na rede.

A Cloudflare oferece resolução de DNS em nossa CDN distribuída com data centers em 200 cidades. Como a CDN é anycast, as consultas DNS podem ser resolvidas em qualquer data center da rede. Qualquer resolvedor de DNS na rede pode responder a qualquer consulta de DNS.

Como a resolução de DNS funciona sem Anycast?

Se um serviço de resolução de DNS não usa anycast, provavelmente usa o roteamento unicast. No roteamento unicast, todo servidor DNS tem um endereço IP e toda consulta DNS vai para um servidor específico. Se esse resolvedor estiver inoperante ou indisponível, o cliente precisará consultar outros resolvedores DNS, aumentando o tempo do processo de resolução do DNS.

Como o DNS anycast oferece resiliência contra ataques de DDoS?

Os ataques de DDoS podem atacar os resolvedores de DNS por meio ataques de inundação de DNS. Esses ataques normalmente usam amplas botnets de dispositivos de IoT para sobrecarregar ou "inundar" os resolvedores de DNS com consultas de DNS. (Um ataque de inundação de DNS é diferente de um ataque de amplificação de DNS, que usa resolvedores de DNS abertos para amplificar os ataques de DDoS. Nesses ataques, o alvo não são os resolvedores propriamente ditos.)

Anycast x Unicast

As redes anycast fornecem uma proteção de DDoS porque o tráfego pode ser distribuído por toda a rede. Em outras palavras, uma solicitação para um endereço IP pode ser respondida por muitos servidores; portanto, milhares de solicitações que sobrecarregariam um servidor são divididas entre vários servidores. Isso quer dizer que o DNS Anycast não é suscetível à maioria dos ataques de inundação de DNS e, por esse motivo, os serviços de DNS da Cloudflare são resistentes aos ataques de DDoS.