Anycast: schema d’in­stra­da­men­to per reti fles­si­bi­li e stabili

Gli schemi d’in­stra­da­men­to or­ga­niz­za­no il traffico di dati e la di­stri­bu­zio­ne associata dei servizi nelle reti. I singoli metodi di routing servono profili di richiesta speciali. Il metodo multicast è spesso usato nello streaming video, poiché consente di inviare pacchetti di dati a diversi de­sti­na­ta­ri allo stesso tempo (ad esempio, ai set-top box dei con­su­ma­to­ri IPTV). Un’altra strategia di routing è rap­pre­sen­ta­ta dall’Anycast. In questo articolo vi spie­ghia­mo come funziona, e vi pre­sen­tia­mo i vantaggi di questo metodo.

Anycast è un metodo di routing che mira a rendere le reti e il tra­sfe­ri­men­to di dati più ef­fi­cien­te, più af­fi­da­bi­le e più fles­si­bi­le. Lo schema di routing è usato prin­ci­pal­men­te in con­nes­sio­ne con il pro­to­col­lo Internet versione 6 (IPv6) usato come metodo standard per tra­smet­te­re pacchetti di dati at­tra­ver­so le reti di computer (suc­ces­so­re di IPv4).

Con Anycast, il routing è gestito in modo specifico: a un gruppo di computer viene assegnato un indirizzo IP comune. Per quanto riguarda gli obiettivi e i metodi di Anycast, essi vanno for­te­men­te con­tro­cor­ren­te. Con il metodo usuale di in­di­riz­za­men­to Unicast, gli indirizzi IP sono chia­ra­men­te assegnati a una sola istanza (in­di­riz­za­men­to in­di­vi­dua­le classico).

L’as­se­gna­zio­ne multipla non è comunque un problema, poiché non influisce sulla co­mu­ni­ca­zio­ne client-server. Un client non può di­stin­gue­re tra indirizzi Anycast sin­tat­ti­ca­men­te identici e indirizzi Unicast. Se, ad esempio, un client fa una richiesta specifica, ge­ne­ral­men­te comunica solo con un server Anycast del gruppo. Questo server elabora quindi la query DNS del client. Lo schema di routing funziona nella sua forma prevista solo se l’indirizzo IP che viene uti­liz­za­to è stato anche espli­ci­ta­men­te di­chia­ra­to un indirizzo Anycast sui router cor­ri­spon­den­ti di una rete Anycast.

I server di una rete Anycast sono spa­zial­men­te separati, il che significa, ad esempio, che possono trovarsi in diverse regioni e paesi. Ogni computer Anycast rap­pre­sen­ta un percorso cor­ri­spon­den­te che viene co­mu­ni­ca­to tramite un pro­to­col­lo di routing. Su Internet viene uti­liz­za­to a tale scopo il BGP (Border Gateway Protocol), che permette di tra­spor­ta­re i dati al di là delle singole reti dei provider. At­tra­ver­so la com­bi­na­zio­ne dello schema di routing (Anycast) e la co­mu­ni­ca­zio­ne di rete basata su BGP, si possono rendere di­spo­ni­bi­li varie al­ter­na­ti­ve di routing a livello nazionale e persino mondiale.

Anycast DNS è una routine di co­mu­ni­ca­zio­ne frequente in una rete. Se, ad esempio, un server fallisce durante una richiesta DNS o non è at­tual­men­te di­spo­ni­bi­le, un certo percorso non viene più propagato at­tra­ver­so la rete di server anycast e i suc­ces­si­vi pacchetti di dati vengono inoltrati a un altro server. Per il percorso al­ter­na­ti­vo, di solito viene se­le­zio­na­ta l’in­ter­fac­cia più vicina in un gruppo per ri­spar­mia­re tempo e denaro.

A causa del principio di tra­spa­ren­za, i client non si accorgono che il percorso originale non è più di­spo­ni­bi­le. Tutti i server ri­spon­do­no alla richiesta del client con la stessa risposta e l’indirizzo IP usato per l’in­stra­da­men­to non cambia anche se, a livello tecnico, un’altra istanza del gruppo Anycast è ora re­spon­sa­bi­le del trasporto del pacchetto di dati. Lo schema di routing unicast è spesso usato per gestire e con­fi­gu­ra­re una rete di computer anycast. Un indirizzo unicast unico viene uti­liz­za­to per in­di­riz­za­re di­ret­ta­men­te i singoli server, in­di­pen­den­te­men­te dall’indirizzo anycast ambiguo (che viene assegnato a diversi server), e per am­mi­ni­strar­li a distanza at­tra­ver­so la rete.

Lo scambio di dati tramite Anycast assicura la di­stri­bu­zio­ne del carico, poiché il traffico di dati può essere di­stri­bui­to su un’area più grande. I server di un gruppo anycast possono anche agire in reti diverse. Il mittente non deve in­ter­ve­ni­re per­so­nal­men­te per di­stri­bui­re i dati inviati nel modo più ottimale possibile su molti server. I server root DNS, ad esempio, be­ne­fi­cia­no di questa strategia di routing au­to­ma­ti­co. Oltre al DNS, anche altri servizi Internet possono essere resi di­spo­ni­bi­li in tutto il mondo e con­tem­po­ra­nea­men­te essere di­stri­bui­ti nel modo più ef­fi­cien­te e uniforme possibile at­tra­ver­so le reti.

Il principio di ri­don­dan­za aumenta anche la di­spo­ni­bi­li­tà dei servizi. Ad esempio, le query DNS Anycast non sono inviate a un resolver DNS specifico, ma a una rete di resolver. Viene quindi se­le­zio­na­to il resolver più ac­ces­si­bi­le. Ciò significa che le query e le risposte DNS sono sempre in­stra­da­te at­tra­ver­so percorsi di trasporto ot­ti­miz­za­ti. Se un resolver DNS va offline, altri server sono ancora di­spo­ni­bi­li nella rete per le query.

Il principio di di­stri­bu­zio­ne di questo schema d’in­stra­da­men­to aiuta anche con i problemi di rete. Spe­cial­men­te nelle ore di punta o in caso di guasti isolati della rete, dell’in­ter­fac­cia o del router, Anycast può con­tri­bui­re ad ac­ce­le­ra­re il tra­sfe­ri­men­to dei dati con un percorso al­ter­na­ti­vo de­ter­mi­na­to ra­pi­da­men­te e au­to­ma­ti­ca­men­te, poiché vengono se­le­zio­na­ti i percorsi più brevi possibili per rein­di­riz­za­re e di­stri­bui­re i flussi di dati.

Le aziende che hanno più punti di accesso a Internet be­ne­fi­cia­no par­ti­co­lar­men­te di una maggiore fles­si­bi­li­tà. In questo modo, il fal­li­men­to di una con­nes­sio­ne al provider o a un router del provider può essere com­pen­sa­to im­me­dia­ta­men­te da un altro percorso di tra­sfe­ri­men­to at­tra­ver­so un percorso al­ter­na­ti­vo. Con l’in­stra­da­men­to Anycast, tuttavia, i mittenti non possono se­le­zio­na­re au­to­no­ma­men­te l’in­ter­fac­cia di ricezione, poiché questa è definita esclu­si­va­men­te dal pro­to­col­lo di routing.

Anycast non solo rende le reti e il tra­sfe­ri­men­to di flussi di dati più ef­fi­cien­ti e più re­si­sten­ti a mal­fun­zio­na­men­ti e guasti. Anche la sicurezza beneficia di questo schema di routing. Il di­stri­bu­ted computing (o calcolo di­stri­bui­to) è di solito meno soggetto agli attacchi degli hacker e spesso può reagire meglio ad essi. L’in­stra­da­men­to Anycast è un mezzo par­ti­co­lar­men­te efficace contro gli attacchi tramite denial of service (chiamati anche attacchi DDoS), che gli hacker possono usare per mettere in ginocchio le in­fra­strut­tu­re digitali.

A causa dell’enorme quantità di traffico, generato da computer e di­spo­si­ti­vi IoT dirottati in tutto il mondo, diretto spe­ci­fi­ca­men­te alla vittima di un attacco, i siti web e i server so­vrac­ca­ri­chi non possono più essere raggiunti, almeno tem­po­ra­nea­men­te. Gli am­mi­ni­stra­to­ri di siti web o di server che, ad esempio, stanno ef­fet­tuan­do una grande campagna di vendita online o vogliono tra­smet­te­re in streaming un im­por­tan­te evento dal vivo, sono poi spesso ricattati e si trovano a dover cedere alle richieste imposte per evitare un danno fi­nan­zia­rio.

Anycast può di­stri­bui­re gli attacchi DDoS su una vasta area, secondo il principio di dif­fu­sio­ne, riuscendo così a in­de­bo­lir­li (questo è pa­ra­go­na­bi­le alla forza di un fiume impetuoso, che viene diffusa di­stri­buen­do abilmente l’acqua su canali di deflusso). Allo stesso tempo, la di­stri­bu­zio­ne può limitare l’ampiezza dell’attacco e con­ti­nua­re a dare a molti utenti l’accesso all’in­fra­strut­tu­ra colpita at­tra­ver­so percorsi al­ter­na­ti­vi. Tuttavia, la rete Anycast deve essere suf­fi­cien­te­men­te grande ed ef­fi­cien­te per com­bat­te­re in modo efficace e af­fi­da­bi­le tali attacchi, alcuni dei quali sono estre­ma­men­te complessi.

Oltre ad Anycast, per il traffico dati in una rete vengono usati anche altri metodi di routing, come broadcast. La tabella seguente illustra le dif­fe­ren­ze tra Anycast e altri schemi di routing comuni: