Anycast - Définition
La liste des auteurs de cet article est disponible ici.
Déni de service (distribué) et anycast
Anycast sur Internet peut aider à répartir les attaques par déni de service et à réduire leur efficacité. Comme le trafic est routé vers le nœud le plus proche (et que l'attaquant n'a pas le contrôle de ce comportement), le trafic de déni de service va être réparti sur les nœuds les plus proches. L'attaque n'aura la plupart du temps aucune portée. C'est souvent la raison principale invoquée pour le déploiement d'anycast.
Cet effet peut être diminué quand les adresses unicast (utilisées pour l'administration) sont faciles à récupérer. Un attaquant peut ainsi se concentrer sur un nœud précis, comme s'il n'existait pas d'adresse anycast et que les serveurs étaient séparés. C'est pourquoi ces adresses d'administration unicast ne sont jamais annoncées et presque toujours sévèrement filtrées.
Fiabilité d'anycast
Anycast est habituellement de haute fiabilité, vu qu'il peut fournir une redondance sur panne automatique. Les applications anycast fournissent généralement une surveillance par heartbeat ("battement de cœur") des services et stoppe l'annonce de route si une erreur se produit. Dans certains cas, ceci est effectué par les serveurs qui annoncent le préfixe anycast au routeur par OSPF ou un autre protocole IGP. Si le serveur tombe, le routeur écarte automatiquement l'annonce.
La surveillance par heartbeat est importante car si l'annonce est prolongée sur un serveur défaillant, ce dernier va agir comme un trou noir pour les clients de proximité. Cette défaillance est la plus grave pour un système anycast. Malgré cela, cette défaillance ne va poser problème que pour les clients les plus proches et non une défaillance globale. Dans le cas du DNS, cette défaillance ne pose aucun problème, elle n'est pas différente du cas où un seul des serveurs de la zone est arrêtée.
Local ou global
Dans certaines situations de déploiement anycast, on peut faire une différence entre nœuds locaux et globaux. Les nœuds locaux sont destinés majoritairement à fournir un avantage à la communauté directe et locale. Leurs annonces sont souvent faites avec la communauté BGP no-export pour éviter que les routeurs les annoncent à leurs pairs (c’est-à-dire que l'annonce reste dans la zone locale).
Quand des nœuds locaux et globaux sont déployés en même temps, l'annonce des nœuds globaux est souvent préfixée de plusieurs AS pour forcer le chemin le plus court vers le nœud local. Les serveurs DNS racine F et K utilisent aujourd'hui des nœuds locaux et globaux.
