O que é o DNS Anycast no Cloud DNS da Cloudweby?
O Que é DNS Anycast?
No método Anycast para DNS, um único endereço de Protocolo de Internet (IP) é compartilhado por múltiplos servidores. O
DNS Anycast permite que diversos servidores de nomes de domínio (DNS) respondam a solicitações de resolução. A resposta
é tipicamente enviada pela máquina que se encontra mais próxima do solicitante em termos geográficos. Esta abordagem
tem o benefício de diminuir o tempo de resposta (latência), elevar a disponibilidade do serviço de resolução e oferecer
uma defesa robusta contra ataques de negação de serviço distribuído (DDoS) baseados em inundação de consultas.
O Que Define o Anycast?
Geralmente, todo equipamento ou host conectado diretamente à internet possui um endereço IP exclusivo. A comunicação
tradicional entre hosts conectados à rede segue um modelo de um para um (unicast), onde cada pacote viaja de uma origem
específica para um destino específico.
As redes Anycast, em contraste, autorizam que vários hosts na rede utilizem o mesmo endereço IP ou grupo de IPs. A
comunicação em uma rede anycast é, portanto, do tipo um para muitos.
Podemos visualizar isso assim: um endereço IP normalmente age como o endereço postal de uma casa, indicando um local
exato. Mas imagine se você enviasse uma carta a um amigo que possui várias propriedades no país. A carta seria entregue
a qualquer uma das casas, especificamente àquela que estivesse mais próxima do local de envio, mesmo que o endereço
escrito na carta fosse de outra cidade. É assim que o roteamento Anycast opera: o mesmo endereço IP pode ser vinculado a
múltiplos pontos de presença físicos.
Por exemplo, um pedido enviado a um endereço IP que faz parte do Cloud DNS da Cloudweby pode ser atendido por qualquer
um dos data centers do serviço de DNS do Google Cloud e da Amazon AWS, e não por um servidor específico..
Como o DNS Anycast Entra em Ação?
O Sistema de Nomes de Domínio (DNS) é o serviço que converte os nomes amigáveis dos sites (como exemplo.com) em
sequências numéricas de IP que os computadores conseguem processar. Este procedimento é chamado de "resolução" de nome
de domínio, e os servidores que realizam essa tarefa são os resolvedores de DNS. Quando você acessa um site, seu
dispositivo precisa contatar um resolvedor de DNS para obter o IP correspondente.
O Anycast acelera significativamente a resolução de DNS. Com ele, uma solicitação de DNS é enviada para um conjunto de
resolvedores em vez de um único endereço, sendo direcionada para o nó mais próximo e disponível. O caminho percorrido
pelas consultas e respostas é otimizado para a velocidade máxima.
Além disso, o Anycast garante a alta disponibilidade dos serviços de resolução. Se um resolvedor de DNS específico
falhar ou sair do ar, as consultas são automaticamente desviadas para outros resolvedores que permaneçam ativos na mesma
rede.
A Cloudweby implementa a resolução DNS nas redes globais do Google Cloud e da Amazon AWS, que abrange data centers em
centenas de cidades. Graças ao modelo anycast, qualquer consulta DNS pode ser resolvida por qualquer um dos data centers
conectados a essa infraestrutura.
A Resolução DNS sem o Anycast
Se um serviço de resolução DNS não empregar o Anycast, ele provavelmente utilizará o roteamento Unicast. No Unicast,
cada servidor DNS possui um endereço IP exclusivo, e cada consulta é enviada a um servidor específico. Se este
resolvedor ficar inacessível ou inoperante, o cliente deverá tentar novos resolvedores de DNS, o que prolonga o tempo
total necessário para a resolução do nome de domínio.
A Proteção do DNS Anycast Contra Ataques DDoS
Os ataques de Negação de Serviço Distribuído (DDoS) podem visar os resolvedores de DNS através de ataques de inundação
de DNS. Nesses incidentes, grandes botnets (redes de dispositivos, frequentemente IoT) são usadas para sobrecarregar
("inundar") os resolvedores com um volume massivo de consultas.
As arquiteturas de rede Anycast fornecem uma camada de defesa contra DDoS porque o fluxo de tráfego de ataque é
distribuído por toda a rede. Em outras palavras, como o pedido a um único IP pode ser atendido por muitos hosts,
milhares de requisições que seriam suficientes para derrubar um servidor individual são divididas e absorvidas por
vários servidores. Por essa razão, o DNS Anycast é altamente resiliente à maioria dos ataques de inundação de DNS,
sendo a base para a resistência a DDoS oferecida pelos serviços da Cloudweby.
