
30/06/2021
Veilige toegang in jouw hybride cloud landschap
De veiligheid van de verschillende cloud platformen is in de loop der jaren sterk verbeterd en ook rondom privacy en wet- en regelgeving is de situatie nu veel beter geregeld.
Nieuws
Wat is Anycast DNS en hoe werkt het? Hoe helpt Anycast DNS bij DDoS aanvallen en wat zijn de voordelen voor jouw organisatie?
Om te kijken waarom Anycast ontstaan is, gaan we terug naar 2002. In oktober 2002 werden de 13 rootservers van het internet aangevallen via een DDoS aanval. De poging om deze servers onbereikbaar te maken was aan aanval op het hele internet. De aanval duurde een uur maar kon gelukkig afgewend worden zonder al te veel overlast. De les die hieruit getrokken werd was dat rootservers meer wijd verdeeld moeten worden om het risico te spreiden. Dit werd gedaan met de techniek genaamd Anycast.
Anycast is een manier waarop netwerkadressering en routing geregeld kan worden. In het geval van een CDN stuurt Anycast normaliter het verkeer naar het dichtstbijzijnde datacenter die het vermogen heeft om het verkeer efficiënt te verwerken. Bij DNS requests zorgt Anycast ervoor dat er resolving plaatsvindt naar de dichtstbijzijnde beschikbare DNS server. Deze selectieve routing zorgt ervoor dat een Anycast netwerk bestendig is tegen grote hoeveelheden verkeer, netwerk verstopping en DDoS aanvallen.
Vijf jaar na de eerste grote aanval werd er opnieuw een DDoS aanval op grote schaal uitgevoerd, 10 keer groter dan die in 2002. De aanval had succes. Hoewel het gehele systeem zijn veerkrachtigheid bewees, waren 2 van de 13 rootservers nagenoeg onbereikbaar.
De 2 aangetaste servers maakten geen gebruik van Anycast. Een bewuste keuze destijds, omdat de techniek nog niet als volwassen werd gezien. Na deze aanval was men van mening veranderd. Anycast DNS is een zeer goede manier om betrouwbaarheid te garanderen, zelfs onder druk.
Bij een DDoS aanval zijn er meerdere tools die helpen om een deel van het slechte verkeer te filteren. Anycast filtert het overige verkeer over meerdere datacenters, waardoor geen een overbelast raakt. Als de capaciteit van het Anycast netwerk groter is dan het kwaadaardige verkeer dan wordt de aanval gemitigeerd.
Een CDN met Anycast vergroot de attack surface van het ontvangende netwerk zodat het DDoS verkeer wat niet gefilterd is wordt opgevangen door alle datacenters van het CDN. Door het netwerk steeds te laten groeien wordt het moeilijker om een effectieve DDoS aanval in te zetten tegen iedereen die het CDN gebruikt.
Naast het beperken van latency kan door het gebruik van Anycast een betere beschikbaarheid gerealiseerd worden. Als er een server uitvalt, dan kan de rest van het cluster van servers die onder hetzelfde IP-adres hangt het direct overnemen.
Doordat jouw DNS informatie niet bij slechts een paar, maar op tientallen servers kan worden opgevraagd, vermindert het de kwetsbaarheid van jouw DNS beschikbaarheid aanzienlijk. Doordat bij Anycast DNS nameservers niet gericht individueel aangevallen kunnen worden, is het nagenoeg onmogelijk deze te overbelasten.
Je DNS performance wordt verbeterd doordat jouw gebruikers overal ter wereld over lokale DNS resolvers beschikken. Hierdoor wordt de informatie uit jouw DNS zones lokaal aangeboden wat zorgt voor een lage latency. Anycast is daarmee ook een perfecte toevoeging bij Edge Computing.
Er zijn diverse use cases voor het gebruik van een Anycast DNS. We zetten enkele op een rijtje:
Het inzetten van Anycast DNS voor e-commerce bedrijven is aan te raden. Tijd is geld, en het is al zo’n competitieve markt. Klanten verwachten een snelle dienst of webshop en lopen weg als het niet snel genoeg is. Downtime is helemaal kostbaar. Voor Amazon is 1 minuut downtime gelijk aan 203.577 dollar mislopen.
Een betaalprovider kan ook een bottleneck zijn. Als het transactie systeem overbelast is, kunnen er geen betalingen plaatsvinden waardoor de hele keten stil komt te liggen.
Met Anycast DNS verbeter je de ervaring van jouw eindgebruikers door je site van snel naar supersnel te upgraden. Met Anycast DNS kies je voor betrouwbaarheid, performance en verbeterde security.