DNS Anycast

O que é o Anycast DNS?

Anycast DNS é um método de roteamento de rede onde vários servidores DNS compartilham o mesmo endereço IP em diferentes locais geográficos. Quando um usuário consulta um servidor DNS usando anycast, a rede encaminha automaticamente a solicitação para o servidor mais próximo ou de melhor desempenho, melhorando os tempos de resposta e proporcionando redundância incorporada e proteção DDoS.

Como Funciona o Anycast

Unicast Tradicional vs Anycast

User Query → Specific Server IP → Fixed Location
London User → 203.0.113.1 → New York Server (high latency)

User Query → Shared IP → Nearest Server
London User  → 203.0.113.1 → London Server (low latency)
Tokyo User   → 203.0.113.1 → Tokyo Server (low latency)
Sydney User  → 203.0.113.1 → Sydney Server (low latency)

Mecanismo de roteamento

1. Servidores múltiplos, um IP: Todos os servidores anycast anunciam o mesmo endereço IP

2. BGP Routing: Border Gateway Protocol encaminha tráfego para o servidor "mais próximo"

3. Proximidade de rede: Determinado por métricas BGP (hops, latência, políticas de rede)

4. Falha Automática: Se um servidor falhar, as rotas de tráfego para o próximo

Benefícios do DNS anycast

1. Latência reduzida

Distribuição geográfica minimiza o tempo de consulta DNS:

DNS Resolution Time:
Unicast:  150ms (distant server)
Anycast:  10ms  (local server)
Savings:  140ms per query

For a page with 20 DNS lookups:
Total savings: 2,800ms (2.8 seconds!)

2. Redundância incorporada

Vários pontos de presença (PoPs) fornecem failover automático:

Normal Operation:
London Server  → Online  → Serving traffic
Paris Server   → Online  → Serving traffic
Frankfurt Server → Online  → Serving traffic

Server Failure:
London Server  → OFFLINE
Paris Server   → Online  → Absorbs London traffic automatically
Frankfurt Server → Online  → Absorbs London traffic automatically

3. Mitigação DDoS

Infra-estrutura distribuída absorve ataques:

Attack: 100 Gbps DDoS → Single Server → Overwhelmed → Service Down

Attack: 100 Gbps DDoS → Distributed across 20 servers
Each server receives: ~5 Gbps
Result: Attack absorbed, service continues

4. Desempenho melhorado

Anycast reduz o tempo de resolução de consultas DNS:

# Query time comparison
dig @8.8.8.8 example.com    # Google's anycast DNS
# Query time: 12 msec

dig @single-server.dns.com example.com  # Unicast DNS
# Query time: 145 msec

Arquitetura DNS Anycast

Estrutura da rede

[Global Anycast IP: 203.0.113.1]
                              |
        ┌─────────────────────┼──────────────────────┐
        |                     |                      |
   [US West PoP]         [Europe PoP]          [Asia PoP]
   - Los Angeles         - London               - Tokyo
   - San Francisco       - Frankfurt            - Singapore
   - Seattle             - Amsterdam            - Hong Kong

Configuração do Servidor

Cada local de anycast:

• Zonas DNS idênticas: Todos os servidores hospedam os mesmos registros DNS
• Endereço IP compartilhado: Mesmo IP anunciado via BGP
• Operação autónoma: Cada PoP opera de forma independente
• Atualizações sincronizadas: As alterações de zona propagam-se para todos os locais

Anúncio do BGP

Example BGP Configuration:
IP Block: 203.0.113.0/24

London PoP announces:     203.0.113.1 via AS64500
New York PoP announces:   203.0.113.1 via AS64500
Tokyo PoP announces:      203.0.113.1 via AS64500

Internet routers select nearest announcement based on BGP metrics.

Popular Anycast DNS Fornecedores

Resolução Pública

Provedores Autoritativos de DNS

• Free qualquercast DNS hospedagem
• Rede global (300+ PoPs)
• Proteção automática DDoS

• Anycast network across AWS regions
• 99, 99% SLA
• Capacidades de encaminhamento geográfico

• Anycast avançado com correntes de filtro
• Gestão do tráfego em tempo real
• Arquitetura API-first

• Enterprise anycast DNS
• Diretor de tráfego para encaminhamento avançado
• Balanceamento global de carga

Configurar o DNS Anycast

Para DNS Autoritativo

Selecione um serviço de hospedagem DNS anycast:

# Cloudflare example
Name Servers:
ns1.cloudflare.com (anycast)
ns2.cloudflare.com (anycast)

Aponte seu domínio para anycast nameservers:

example.com.    NS    ns1.cloudflare.com.
example.com.    NS    ns2.cloudflare.com.

Adicione seus registros DNS no provedor:

example.com.    A     203.0.113.50
www             A     203.0.113.50
mail            MX    mail.example.com.

Para DNS recursivo

nameserver 1.1.1.1
nameserver 1.0.0.1

Preferred DNS:  1.1.1.1
Alternate DNS:  1.0.0.1

Defina os servidores DNS ao nível do roteador para aplicar em toda a rede.

Anycast vs Outras Arquiteturas DNS

Anycast vs Unicast

Anycast vs GeoDNS

Comparação de Desempenho

Tempo de Resolução de Consultas DNS

Test: 1000 DNS queries from various global locations

Unicast DNS (single server in US):
Average:  145ms
Min:      12ms  (US queries)
Max:      340ms (Asia/Australia queries)

Anycast DNS (20 global PoPs):
Average:  18ms
Min:      5ms
Max:      45ms

Performance Improvement: 87% faster average response

Testes do Mundo Real

# Test anycast DNS performance
for location in us-east eu-west asia-pacific; do
  dig @1.1.1.1 example.com | grep "Query time"
done

# Results:
# US East:       Query time: 8 msec
# EU West:       Query time: 11 msec
# Asia Pacific:  Query time: 14 msec

# Compare to unicast:
dig @unicast-server.com example.com | grep "Query time"
# Query time: 167 msec (from Asia)

Limitações de Anycast

1. Requerimento do Protocolo Apátrida

Anycast funciona melhor com protocolos sem estado como DNS:

• Cada consulta é independente
• Não é necessária a persistência da sessão
• A resposta não depende de consultas anteriores

• Conexões TCP que requerem estado de sessão
• Protocolos de transmissão
• Conexões de banco de dados

2. Assimetria de Roteamento

O trânsito pode tomar caminhos diferentes:

Query:    User → Nearest anycast server → Response
Next Query: User → Different server (if routing changes)

3. Tempo de Convergência do BGP

Durante as falhas, as atualizações de roteamento do BGP levam tempo:

Server Failure → BGP update propagation (30-120 seconds)
During convergence: Some queries may fail
After convergence: Traffic rerouted automatically

Monitoramento de DNS Anycast

Métrica da Chave

# Monitor from multiple locations
curl "https://api.monitoring-service.com/dns/check?domain=example.com&locations=all"

• Acompanhe o tempo em cada local
• Alerta sobre falhas regionais
• Monitorar as taxas de sucesso da consulta

PoP Statistics:
US East:     35% of queries
EU West:     28% of queries
Asia:        22% of queries
Other:       15% of queries

Controlos de saúde

# Verify anycast is working
dig +short @anycast-server.com example.com

# Test from multiple locations
for server in probe1 probe2 probe3; do
  ssh $server "dig @anycast-ip example.com +short"
done

# Should see responses from geographically appropriate servers

Melhores Práticas

# # # 1. Use o Anycast para DNS Autoritativo

Mudar para a hospedagem DNS anycast para:

• Melhor desempenho global
• Melhor proteção DDoS
• Maior disponibilidade

2. Combine com GeoDNS

Camada anycast (infraestrutura) com GeoDNS (aplicação):

Anycast → Fast routing to nearest DNS server
GeoDNS  → Return geographically appropriate IP addresses

# # # 3. Monitorizar todos os polícias

Configurar o monitoramento para cada local anycast:

• Taxa de sucesso da consulta DNS
• Tempos de resposta
• Percentagem de disponibilidade

4. Plano de Convergência do BGP

Durante os incidentes, esperar 30-120 segunda atualização de roteamento:

• Comunicar o comportamento esperado
• Estabelecer limiares de monitorização adequados
• Não sobre-alerte em alterações transientes de roteamento

5. Cenários de falha de teste

Teste regularmente como sua rede anycast lida com falhas:

# Simulate PoP failure
# Verify traffic reroutes automatically
# Measure convergence time
# Check user impact

O Anycast DNS é essencial para a infraestrutura de internet moderna e de alto desempenho, proporcionando resolução rápida do DNS, redundância automática e proteção DDoS integrada para sites e aplicativos que atendem o público global.