Bild: Portunity Anycast-DNS-Karte, Klick für große Version
Nach einem kurzen Exkurs zum Domain-Name-System (DNS) über die Herausforderungen beim DNS-Betrieb gehen wir auf den Anycast-Rollout und die ausgerollte Absicherung unserer DNS-Infrastruktur ein. Außerdem erfahren Sie, wie auch Sie Ihre Domains bei uns auf der DNS-Ebene mit Anycast ausstatten und absichern können und was das Geheimnis von Anycast überhaupt ist.
Für unsere Hosting- und Domain-Kunden sowie für unsere eigene Infrastruktur betreiben wir an unseren Standorten Wuppertal und Frankfurt mehrere eigene redundant ausgelegte DNS-Server. DNS steht für "Domain-Name-System" und ist einer unserer wichtigsten Dienste als Internet-Provider.
Denn unsere DNS-Server sind für die Namensauflösung für die meisten bei uns registrierten Domains verantwortlich: Wenn zu einer bei uns gehosteten Domain jemand einen Dienst aufruft oder anfragt, liefern unsere DNS-Server die dazu hinterlegte IP-Adresse, IP4 und / oder IPv6, schnell und sicher zurück. Das DNS funktioniert also so ähnlich wie eine Telefonauskunft.
Unsere DNS-Infrastruktur haben wir in den vergangenen 20 Jahren immer weiter entwickelt gehabt. Wurde die Konfiguration anfangs bis 1999 noch händisch gepflegt, kam irgendwann eine Anbindung an unser Webinterface hinzu - und später eine datenbankgestützte Echtzeit-Verarbeitung. Aber auch heute ist die Entwicklung natürlich noch nicht zu Ende:
a) Betriebssicherheit bei "Denial-of-Server"-Angriffen (DoS)
In den vergangenen Jahren haben wir immer wieder auch Angriffe auf bei uns gehostete Kunden-Projekte - aber auch auf die von uns bereitgestellte Infrastruktur - erlebt. Auch auf unsere DNS-Infrastruktur.
Oft handelt es sich dabei um sogenannte "Denial-of-Service"-Angriffe (DoS). Hierbei wird versucht durch massenweise Datenpakete, oft von via Trojaner und Viren massenhaft gehackten fremden Systemen, einen Server zu überlasten. Zu überlasten mit dem Ziel, dass dieser normale Anfragen nicht mehr beantworten kann und damit die darunter betriebenen Services ausfallen.
Wird ein solcher Angriff auf eine Domain oder einen DNS-Server geführt ist dies besonders gefährlich. Da dann nicht nur eine Webseite sondern alle Dienste unterhalb einer Domain potentiell nicht mehr erreichbar sind - respektive alle Domains die auf einem DNS-Server laufen.
Bislang hatten wir, aus unserer Sicht, solche Angriffe ganz gut im Griff. Wir sind stolz auf unsere gute Verfügbarkeit und das wir Angriffe gut und schnell durch verschiedene Maßnahmen abwehren konnten.
Aber wir beobachten auch, dass solche Angriffe sowohl in der Anzahl als auch in der Intensität deutlich zunehmen.
b) Geschwindigkeit in der Globalisierung
Die Geschwindigkeit aller Dienste im Internet wird immer wichtiger und relevanter: Aus Deutschland sind unsere DNS-Server in wenigen Milisekunden erreichbar und antworten schnell. DNS-Anfragen aus anderen Ländern brauchen von der Datenübertragung jedoch naturgemäss länger nach Deutschland. Auch wenn sich hier in den vergangenen Jahren auch viel getan hat, bei Anfragen aus den USA, Asien usw. sind immer noch Laufzeiten von > 100 ms üblich.
Klassischerweise arbeiten Server und Systeme im Internet auf der Unicast-Technik: Jeder Server, also auch unsere DNS-Server, haben eine weltweit eindeutige IP-Adresse. Alle Datenpakete und Anfragen für diese IP-Adresse werden zu diesem einen Server weitergeleitet ("routing") - egal wo auf der Welt diese abgesendet wurden.
Mit der Anycast-Technik hingegen kann ein und dieselbe IP-Adresse mehreren Servern gegeben werden: Diese Server können auch weltweit verteilt sein. Datenpakete und Anfragen für solche IP-Adresse werden an die topologisch nächstgelegene Anycast Instanz aka Server weitergeleitet.
Dies hat nur Vorteile:
Wir haben bereits seit einigen Wochen und teilweise Monaten unsere wichtigsten Infrastruktur-Domainnamen bezüglich der Namensauflösung um solche Anycast-IP-Adressen erweitert.
Davon profitieren alle unsere Kunden sofort: Unsere Namensauflösung ist jetzt noch schneller und sicherer geworden. Schneller vor allem aus anderen Ländern erreichbar und sicherer eben gegen verteilte DOS-Angriffe. Unsere DNS-Server sind damit fit für die heutigen Herausforderungen.
Damit aber nicht genug: Wir bieten diesen Anycast-Service nun auch unseren Domain- und Hosting-Kunden gegen kleinem Aufpreis für die eigenen Domains an.
Dies ist sicherlich nichts, was jetzt jede kleine Firma oder Organisation für jede Domain dazubuchen muss oder sollte - es schadet aber auch nicht ;)
Aber unsere größeren und überregional arbeitetenden Kunden empfehlen wir dies zumindestens für die wichtigsten eigenen Domains. Ein paar wenige Euro pro Monat beschleunigen vor allem internationale Anfragen zu den eigenen Domains und geben zusätzlichen Schutz gegen DOS-Angriffe auf die eigenen Domains auf DNS-Ebene. Ein erster wichtiger Baustein für mehr Sicherheit.
Weitere Angebots-Informationen und ein Auftragsformular haben wir auf einer speziellen Produktseite "Anycast-DNS Domain-Erweiterung" für Interessierte bereitgestellt.
Für Fragen hierzu stehen wir natürlich gerne auch in unseren Kommentaren sowie per eMail und Telefon unverbindlich bereit.
Bildquellen: Titelbild Weltkarte #78052000 von Fotolia - restlichen Bildbestandteile außer der Weltkarte Copyright by Portunity.
27.01.2023
Kommentare
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.