O que é o DNS Anycast? | Como o Anycast funciona com o DNS

O uso da Anycast ajuda a acelerar o processo de resolução de DNS para os usuários e garante a confiabilidade do DNS.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entenda como o Anycast funciona
  • Saiba como o Anycast torna a resolução de DNS mais rápida e eficiente
  • Explique por que o anycast ajuda a mitigar ataques DDoS por inundação de DNS

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o DNS Anycast?

No anycast, um endereço IP pode ser aplicado a muitos servidores. O DNS Anycast significa que qualquer um dentre vários servidores DNS pode responder a consultas de DNS e, normalmente, o que estiver geograficamente mais próximo dará a resposta. Isso reduz a latência, aumenta o tempo de atividade para o DNS que estiver resolvendo o serviço e fornece proteção contra ataques DDoS por inundação de DNS.

O que é Anycast?

De modo geral, qualquer dispositivo ou servidor que se conecte diretamente à internet terá um endereço IP único. A comunicação entre os dispositivos conectados à rede é de 1 para 1; cada comunicação vai de um dispositivo específico para o dispositivo de destino na outra extremidade da comunicação. As redes Anycast , por sua vez, permitem que vários servidores na rede usem o mesmo endereço IP ou conjunto de endereços IP. A comunicação com uma rede anycast é de 1 para muitos.

DNS Anycast

Normalmente, um endereço IP funciona como um endereço normal de uma cidade: especifica o local específico para onde a mensagem está indo. Mas suponhamos que um amigo tenha várias residências em todo o país. Imagine que uma carta endereçada a uma dessas casas pudesse chegar a qualquer uma delas, considerando a que estivesse mais próxima do remetente, mesmo que a carta fosse endereçada a uma casa em outra cidade. É assim que funciona o roteamento Anycast: um endereço IP pode ser associado a vários locais.

Por exemplo, uma solicitação para um endereço IP dentro da CDN da Cloudflare pode ser respondida por qualquer data center operado pela Cloudflare, ao invés de um servidor específico. Para saber mais sobre o anycast e como uma CDN pode usá-lo, leia o artigo " O que é o anycast?"

Como o DNS Anycast funciona?

DNS vem do inglês Domain Name System (sistema de nomes de domínio). É o sistema que traduz nomes de domínio (os nomes dos sites) em endereços IP alfanuméricos que as máquinas conseguem ler. Esse processo é conhecido como "resolver" um nome de domínio, e os resolvedores de DNS são os servidores que gerenciam essa resolução. Quando um usuário deseja carregar um site, o dispositivo cliente precisa consultar um resolvedor de DNS para obter o endereço IP desse site.

O Anycast faz o DNS resolver muito mais rapidamente. Com o DNS Anycast, uma consulta DNS irá para uma rede de resolvedores DNS em vez de ir para um resolvedor específico, e será roteada para o que estiver mais próximo e disponível. As consultas e respostas de DNS seguirão caminhos otimizados para responder às perguntas assim que possível.

O Anycast também ajuda a manter os serviços de resolução de DNS altamente disponíveis. Se um resolvedor de DNS fica off-line, as consultas ainda podem ser respondidas por outros resolvedores presentes na rede.

A Cloudflare oferece resolução de DNS em nossa CDN distribuída com data centers em 330 cidades. Como a CDN é anycast, as consultas DNS podem ser resolvidas em qualquer data center da rede. Qualquer resolvedor de DNS na rede pode responder a qualquer consulta de DNS.

Como a resolução de DNS funciona sem Anycast?

Se um serviço de resolução de DNS não usa Anycast, provavelmente usa o roteamento unicast. No roteamento unicast, cada servidor DNS tem um endereço de IP e cada consulta de DNS vai para um servidor específico. Se esse resolvedor estiver inoperante ou indisponível, o cliente precisará consultar outros resolvedores de DNS, aumentando o tempo necessário para o processo de resolução do DNS.

Como o DNS anycast oferece resiliência contra ataques DDoS?

Os ataques DDoS podem atacar os resolvedores de DNS por meio ataques de inundação de DNS. Esses ataques normalmente usam amplas botnets de dispositivos de IoT para sobrecarregar ou "inundar" os resolvedores de DNS com consultas de DNS. (Um ataque de inundação de DNS é diferente de um ataque de amplificação de DNS, que usa resolvedores de DNS abertos para amplificar os ataques de DDoS. Nesses ataques, o alvo não são os resolvedores propriamente ditos.)

Anycast x Unicast

As redes anycast fornecem uma proteção de DDoS porque o tráfego pode ser distribuído por toda a rede. Em outras palavras, uma solicitação para um endereço IP pode ser respondida por muitos servidores; portanto, milhares de solicitações que sobrecarregariam um servidor são divididas entre vários servidores. Isso quer dizer que o DNS Anycast não é suscetível à maioria dos ataques de inundação de DNS e, por esse motivo, os serviços de DNS da Cloudflare são resistentes aos ataques de DDoS.