Neu: Wie wir vor kurzem unsere DNS-Server und wichtigsten Domainnamen mit Anycast noch schneller und sicherer gemacht haben

Bild: Portunity Anycast-DNS-Karte, Klick für große Version

Nach einem kurzen Exkurs zum Domain-Name-System (DNS) über die Herausforderungen beim DNS-Betrieb gehen wir auf den Anycast-Rollout und die ausgerollte Absicherung unserer DNS-Infrastruktur ein. Außerdem erfahren Sie, wie auch Sie Ihre Domains bei uns auf der DNS-Ebene mit Anycast ausstatten und absichern können und was das Geheimnis von Anycast überhaupt ist.

Exkurs - Domain-Name-System (DNS)

Für unsere Hosting- und Domain-Kunden sowie für unsere eigene Infrastruktur betreiben wir an unseren Standorten Wuppertal und Frankfurt mehrere eigene redundant ausgelegte DNS-Server. DNS steht für "Domain-Name-System" und ist einer unserer wichtigsten Dienste als Internet-Provider.

Denn unsere DNS-Server sind für die Namensauflösung für die meisten bei uns registrierten Domains verantwortlich: Wenn zu einer bei uns gehosteten Domain jemand einen Dienst aufruft oder anfragt, liefern unsere DNS-Server die dazu hinterlegte IP-Adresse, IP4 und / oder IPv6, schnell und sicher zurück. Das DNS funktioniert also so ähnlich wie eine Telefonauskunft.

Herausforderungen nach 20 Jahren DNS-Betrieb im Providing

Unsere DNS-Infrastruktur haben wir in den vergangenen 20 Jahren immer weiter entwickelt gehabt. Wurde die Konfiguration anfangs bis 1999 noch händisch gepflegt, kam irgendwann eine Anbindung an unser Webinterface hinzu - und später eine datenbankgestützte Echtzeit-Verarbeitung. Aber auch heute ist die Entwicklung natürlich noch nicht zu Ende:

a) Betriebssicherheit bei "Denial-of-Server"-Angriffen (DoS)

In den vergangenen Jahren haben wir immer wieder auch Angriffe auf bei uns gehostete Kunden-Projekte - aber auch auf die von uns bereitgestellte Infrastruktur - erlebt. Auch auf unsere DNS-Infrastruktur.

Oft handelt es sich dabei um sogenannte "Denial-of-Service"-Angriffe (DoS). Hierbei wird versucht durch massenweise Datenpakete, oft von via Trojaner und Viren massenhaft gehackten fremden Systemen, einen Server zu überlasten. Zu überlasten mit dem Ziel, dass dieser normale Anfragen nicht mehr beantworten kann und damit die darunter betriebenen Services ausfallen.

Wird ein solcher Angriff auf eine Domain oder einen DNS-Server geführt ist dies besonders gefährlich. Da dann nicht nur eine Webseite sondern alle Dienste unterhalb einer Domain potentiell nicht mehr erreichbar sind - respektive alle Domains die auf einem DNS-Server laufen.

Bislang hatten wir, aus unserer Sicht, solche Angriffe ganz gut im Griff. Wir sind stolz auf unsere gute Verfügbarkeit und das wir Angriffe gut und schnell durch verschiedene Maßnahmen abwehren konnten.

Aber wir beobachten auch, dass solche Angriffe sowohl in der Anzahl als auch in der Intensität deutlich zunehmen.

b) Geschwindigkeit in der Globalisierung

Die Geschwindigkeit aller Dienste im Internet wird immer wichtiger und relevanter: Aus Deutschland sind unsere DNS-Server in wenigen Milisekunden erreichbar und antworten schnell. DNS-Anfragen aus anderen Ländern brauchen von der Datenübertragung jedoch naturgemäss länger nach Deutschland. Auch wenn sich hier in den vergangenen Jahren auch viel getan hat, bei Anfragen aus den USA, Asien usw. sind immer noch Laufzeiten von > 100 ms üblich.

Die Lösung: Anycast-DNS

Klassischerweise arbeiten Server und Systeme im Internet auf der Unicast-Technik: Jeder Server, also auch unsere DNS-Server, haben eine weltweit eindeutige IP-Adresse. Alle Datenpakete und Anfragen für diese IP-Adresse werden zu diesem einen Server weitergeleitet ("routing") - egal wo auf der Welt diese abgesendet wurden.

Mit der Anycast-Technik hingegen kann ein und dieselbe IP-Adresse mehreren Servern gegeben werden: Diese Server können auch weltweit verteilt sein. Datenpakete und Anfragen für solche IP-Adresse werden an die topologisch nächstgelegene Anycast Instanz aka Server weitergeleitet.

Dies hat nur Vorteile:

  • Kürzere Antwortzeiten: Vor allem Anfragen aus anderen Ländern und Kontinenten werden deutlich beschleunigt
  • Eine optimale Lastverteilung: Die Last wird eben auf verschiedene Server verteilt 
  • Bessere Ausfallsicherheit: Außerdem werden bei DOS-Angriffen potentiell nicht alle Standorte angegriffen, sondern nur der örtlich nächstgelegene Standort steht unter Beschuß. Zumindestens wenn es kein Angriff mit weltweitem Ursprungsmuster ist. Und selbst bei weltweitem Ursprung braucht der Angreifer durch die Lastverteilung deutlich mehr Ressourcen.

Anycast-Rollout im DNS-System bei Portunity

Wir haben bereits seit einigen Wochen und teilweise Monaten unsere wichtigsten Infrastruktur-Domainnamen bezüglich der Namensauflösung um solche Anycast-IP-Adressen erweitert.

Davon profitieren alle unsere Kunden sofort: Unsere Namensauflösung ist jetzt noch schneller und sicherer geworden. Schneller vor allem aus anderen Ländern erreichbar und sicherer eben gegen verteilte DOS-Angriffe. Unsere DNS-Server sind damit fit für die heutigen Herausforderungen.

DNS-Anycast Angebot: Ihre Domainnamen absichern und beschleunigen

Damit aber nicht genug: Wir bieten diesen Anycast-Service nun auch unseren Domain- und Hosting-Kunden gegen kleinem Aufpreis für die eigenen Domains an.

Dies ist sicherlich nichts, was jetzt jede kleine Firma oder Organisation für jede Domain dazubuchen muss oder sollte - es schadet aber auch nicht ;)

Aber unsere größeren und überregional arbeitetenden Kunden empfehlen wir dies zumindestens für die wichtigsten eigenen Domains. Ein paar wenige Euro pro Monat beschleunigen vor allem internationale Anfragen zu den eigenen Domains und geben zusätzlichen Schutz gegen DOS-Angriffe auf die eigenen Domains auf DNS-Ebene. Ein erster wichtiger Baustein für mehr Sicherheit.

Weitere Angebots-Informationen und ein Auftragsformular haben wir auf einer speziellen Produktseite "Anycast-DNS Domain-Erweiterung" für Interessierte bereitgestellt.

Für Fragen hierzu stehen wir natürlich gerne auch in unseren Kommentaren sowie per eMail und Telefon unverbindlich bereit.

Bildquellen: Titelbild Weltkarte #78052000 von Fotolia  - restlichen Bildbestandteile außer der Weltkarte Copyright by Portunity.

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR
anycast (1)
dns (1)
domains (1)
ddos (1)
, um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Lea Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

12.02.2024
07.11.2023
27.01.2023
07.09.2022
26.07.2022
LocalSuite
LocalSuite: Sammlung von Tools für Ihr lokales Unternehmen - Schwerpunkte sind die Digitalisierung von Prozessabläufen und die Module für cleveres Online-Marketing.
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.