Какво е Anycast мрежа и как работи?

Anycast е метод за мрежово адресиране и маршрутизиране, при който един destination IP адрес е споделен от устройства (обикновено сървъри) на множество места.

Рутерите насочват пакетите, адресирани до това местоназначение, което е най-близко до подателя, като използват своите нормални алгоритми за вземане на решения, обикновено най-малкия брой BGP (Border Gateway Protocol) мрежови скокове (броя на мрежовите устройства или мрежи през, които преминава пакета).

Илюстрация на хопове(скокове) в кабелната мрежа. Броят на скоковете между компютрите в този случай е 2.

BGP (Border Gateway Protocol) протокол, предназначен за обмен на информация за маршрутизиране и достъпност между автономни системи (AS) в интернет. Класифицира се като протокол за маршрутизиране на векторен път и взема решения за маршрутизиране въз основа на пътища, мрежови политики или набори от правила, конфигурирани от мрежов администратор.

CDN (Content Delivery Network) може да означава мрежа за доставка на съдържание или мрежа за разпространение на съдържание. Когато потребител посети уебсайт, данните от сървъра на този уебсайт трябва да преминат през интернет, за да достигнат до компютъра на потребителя. Ако потребителят се намира далеч от този сървър, зареждането на голям файл, като видео или изображение на уебсайт, ще отнеме много време. Вместо това съдържанието на уебсайта се съхранява на CDN сървъри, географски по-близо до потребителите и достига до техните компютри много по-бързо.

Методи за адресиране 

Има четири основни метода за адресиране в Интернет протокола : 

  • Unicast - изпраща съобщение до един конкретен възел (доставя съобщения от един хост до друг хост).
  • Multicast - изпраща съобщение до група от възли, които са изразили интерес да получат съобщението (изпраща съобщения до няколко хоста, но не към всички).
  • Broadcast - изпраща съобщение до всички възли в мрежата.
  • Anycast - изпраща съобщение до всеки член на определена група, типично до най-близкия до източника.

В контекста на CDN (мрежа от взаимосвързани сървъри, която ускорява зареждането на уеб страници за приложения, натоварени с данни), Anycast обикновено насочва входящия трафик към най-близкия център за данни (data center) с капацитет за ефективна обработка на заявката. Селективното маршрутизиране позволява на Anycast мрежата да бъде устойчива при голям обем трафик, претоварване на мрежата и DDoS атаки.

Защо да използвате Anycast мрежа?

Ако много заявки са насочени едновременно към един и същ сървър, той може да бъде претоварен и да не може да отговори бързо на допълнителни входящи заявки.

С Anycast мрежа, вместо един първоначален сървър да поема тежестта на трафика, натоварването може да се разпредели и в други налични центрове за данни (data centers), всеки от които ще има сървъри, способни да обработват и отговарят на входящата заявка.

Каква е разликата между Anycast и Unicast?

По-голямата част от Интернет работи чрез схема за маршрутизиране, наречена Unicast. При Unicast всеки възел в мрежата получава уникален IP адрес. Домашните и офис мрежи използват Unicast, когато компютър е свързан към безжична мрежа и получи съобщение, че IP адресът вече се използва, възникнал е IP адрес конфликт, защото друг компютър в същата Unicast мрежа вече използва същия IP адрес. В повечето случаи това не е позволено.

Когато CDN използва Unicast адрес, трафикът се насочва директно към конкретния възел. Това създава уязвимост, когато има извънреден трафик, като например по време на DDoS атака. Тъй като трафикът се насочва директно към конкретен център за данни (data center), местоположението или заобикалящата го инфраструктура може да се претоварят с трафик, което потенциално да доведе до отказ на услуга (DDoS) за легитимни заявки.

Използването на Anycast означава, че мрежата може да бъде изключително устойчива. Тъй като трафикът ще намери най-добрия път, цял център за данни (data center) може да бъде изключен и трафикът автоматично ще тече към проксимален център за данни (data center).

Как с Anycast мрежа се смекчава DDoS атака?

След като други инструменти за смекчаване на DDoS атака филтрират част от трафика, Anycast разпределя оставащия трафик в множество центрове за данни, предотвратявайки всяко едно място да бъде претоварено със заявки.

Ако капацитетът на Anycast мрежата е по-голям от трафика на атаката, атаката е ефективно смекчена. В повечето DDoS атаки много компрометирани „зомбита“ или „бот“ компютри се използват за формиране на това, което е известно като ботнет. Тези машини могат да бъдат разпръснати из мрежата и да генерират толкова много трафик, че да могат да претоварят типична Unicast свързана машина.

Правилен Anycast CDN увеличава площта на мрежата, така че нефилтрираният трафик от ботнет ще бъде погълнат от всеки от центровете за данни (data centers) на CDN. В резултат на това, тъй като мрежата продължава да расте по размер и капацитет, става все по-трудно и по-трудно да се стартира ефективна DDoS атака срещу всеки, който използва CDN.

Не е лесно да настроите Anycast мрежа. Правилното внедряване изисква доставчикът на CDN да поддържа свой собствен мрежов хардуер, да изгражда директни връзки със своите оператори и да настройва своите мрежови маршрути.

DDoS защита от Delta.BG в Anycast мрежа с 20+ PoPs

DDoS защитата, която ние от Delta.BG предлагаме е в глобална Anycast мрежа с капацитет (network edge capacity) - 12Tbps и над 20 PoPs (scrubbing centers) по целия свят:

Anycast мрежа с PoPs

Един от тези центрове е в София, България, в дейта центъра, в който е разгърната нашата инфраструктура - Equinix SO2.

Ето част от ключовите предимства на нашето решение за DDoS защита, а за повече информация - посетете страницата ни за услугата, като натиснете бутона на изображението по-долу:

PoP в София - scrubbing център в гр. София, България, в data center Equinix    Anycast мрежа - cloud-базирана технология с  над 20 центъра за филтрация (PoPs) с  капацитет 12+ Tbps    Свързаност с 23+ IXs - в топ 16 на известните  пиъри глобално (>3000) и в топ 9 на известните  пиъри в САЩ    Ниска латенция - динамична защитна стена  (stateful mitigation) с hole-punching метод  (патент 2022 г.)    Висока ефективност - eBPF/XDP (eXpress Data Path)  технология - пакетите се обработват директно в  ядрото на Linux  •AI технология с ML - анализира мрежовия трафик в  реално време и дефинира как той да се  маршрутизира  •Custom филтри - персонализирана логика за  обработка на пакети - ключово за елиминиране на  специфични типове DDoS атаки
Теодора Боянова

Теодора Боянова

Теди има интереси в областта на Киберсигурността и успешно се дипломира с тази специалност в ВВМУ „Н. Й. Вапцаров“ гр. Варна, непосредствено след което се присъединява към нашия екип. Желае да се развива в сферата на дигиталния маркетинг, в областта на киберсигурността, цифровата криминалистика, SEO и др.

Избрахме за вас

Какво е DDoS Blackholing Routing?

Теодора Боянова