Anycast: schema d’instradamento per reti flessibili e stabili

Gli schemi d’instradamento organizzano il traffico di dati e la distribuzione associata dei servizi nelle reti. I singoli metodi di routing servono profili di richiesta speciali. Il metodo multicast è spesso usato nello streaming video, poiché consente di inviare pacchetti di dati a diversi destinatari allo stesso tempo (ad esempio, ai set-top box dei consumatori IPTV). Un’altra strategia di routing è rappresentata dall’Anycast. In questo articolo vi spieghiamo come funziona, e vi presentiamo i vantaggi di questo metodo.

Anycast è un metodo di routing che mira a rendere le reti e il trasferimento di dati più efficiente, più affidabile e più flessibile. Lo schema di routing è usato principalmente in connessione con il protocollo Internet versione 6 (IPv6) usato come metodo standard per trasmettere pacchetti di dati attraverso le reti di computer (successore di IPv4).

Con Anycast, il routing è gestito in modo specifico: a un gruppo di computer viene assegnato un indirizzo IP comune. Per quanto riguarda gli obiettivi e i metodi di Anycast, essi vanno fortemente controcorrente. Con il metodo usuale di indirizzamento Unicast, gli indirizzi IP sono chiaramente assegnati a una sola istanza (indirizzamento individuale classico).

L’assegnazione multipla non è comunque un problema, poiché non influisce sulla comunicazione client-server. Un client non può distinguere tra indirizzi Anycast sintatticamente identici e indirizzi Unicast. Se, ad esempio, un client fa una richiesta specifica, generalmente comunica solo con un server Anycast del gruppo. Questo server elabora quindi la query DNS del client. Lo schema di routing funziona nella sua forma prevista solo se l’indirizzo IP che viene utilizzato è stato anche esplicitamente dichiarato un indirizzo Anycast sui router corrispondenti di una rete Anycast.

I server di una rete Anycast sono spazialmente separati, il che significa, ad esempio, che possono trovarsi in diverse regioni e paesi. Ogni computer Anycast rappresenta un percorso corrispondente che viene comunicato tramite un protocollo di routing. Su Internet viene utilizzato a tale scopo il BGP (Border Gateway Protocol), che permette di trasportare i dati al di là delle singole reti dei provider. Attraverso la combinazione dello schema di routing (Anycast) e la comunicazione di rete basata su BGP, si possono rendere disponibili varie alternative di routing a livello nazionale e persino mondiale.

Anycast DNS è una routine di comunicazione frequente in una rete. Se, ad esempio, un server fallisce durante una richiesta DNS o non è attualmente disponibile, un certo percorso non viene più propagato attraverso la rete di server anycast e i successivi pacchetti di dati vengono inoltrati a un altro server. Per il percorso alternativo, di solito viene selezionata l’interfaccia più vicina in un gruppo per risparmiare tempo e denaro.

A causa del principio di trasparenza, i client non si accorgono che il percorso originale non è più disponibile. Tutti i server rispondono alla richiesta del client con la stessa risposta e l’indirizzo IP usato per l’instradamento non cambia anche se, a livello tecnico, un’altra istanza del gruppo Anycast è ora responsabile del trasporto del pacchetto di dati. Lo schema di routing unicast è spesso usato per gestire e configurare una rete di computer anycast. Un indirizzo unicast unico viene utilizzato per indirizzare direttamente i singoli server, indipendentemente dall’indirizzo anycast ambiguo (che viene assegnato a diversi server), e per amministrarli a distanza attraverso la rete.

Lo scambio di dati tramite Anycast assicura la distribuzione del carico, poiché il traffico di dati può essere distribuito su un’area più grande. I server di un gruppo anycast possono anche agire in reti diverse. Il mittente non deve intervenire personalmente per distribuire i dati inviati nel modo più ottimale possibile su molti server. I server root DNS, ad esempio, beneficiano di questa strategia di routing automatico. Oltre al DNS, anche altri servizi Internet possono essere resi disponibili in tutto il mondo e contemporaneamente essere distribuiti nel modo più efficiente e uniforme possibile attraverso le reti.

Il principio di ridondanza aumenta anche la disponibilità dei servizi. Ad esempio, le query DNS Anycast non sono inviate a un resolver DNS specifico, ma a una rete di resolver. Viene quindi selezionato il resolver più accessibile. Ciò significa che le query e le risposte DNS sono sempre instradate attraverso percorsi di trasporto ottimizzati. Se un resolver DNS va offline, altri server sono ancora disponibili nella rete per le query.

Il principio di distribuzione di questo schema d’instradamento aiuta anche con i problemi di rete. Specialmente nelle ore di punta o in caso di guasti isolati della rete, dell’interfaccia o del router, Anycast può contribuire ad accelerare il trasferimento dei dati con un percorso alternativo determinato rapidamente e automaticamente, poiché vengono selezionati i percorsi più brevi possibili per reindirizzare e distribuire i flussi di dati.

Le aziende che hanno più punti di accesso a Internet beneficiano particolarmente di una maggiore flessibilità. In questo modo, il fallimento di una connessione al provider o a un router del provider può essere compensato immediatamente da un altro percorso di trasferimento attraverso un percorso alternativo. Con l’instradamento Anycast, tuttavia, i mittenti non possono selezionare autonomamente l’interfaccia di ricezione, poiché questa è definita esclusivamente dal protocollo di routing.

Anycast non solo rende le reti e il trasferimento di flussi di dati più efficienti e più resistenti a malfunzionamenti e guasti. Anche la sicurezza beneficia di questo schema di routing. Il distributed computing (o calcolo distribuito) è di solito meno soggetto agli attacchi degli hacker e spesso può reagire meglio ad essi. L’instradamento Anycast è un mezzo particolarmente efficace contro gli attacchi tramite denial of service (chiamati anche attacchi DDoS), che gli hacker possono usare per mettere in ginocchio le infrastrutture digitali.

A causa dell’enorme quantità di traffico, generato da computer e dispositivi IoT dirottati in tutto il mondo, diretto specificamente alla vittima di un attacco, i siti web e i server sovraccarichi non possono più essere raggiunti, almeno temporaneamente. Gli amministratori di siti web o di server che, ad esempio, stanno effettuando una grande campagna di vendita online o vogliono trasmettere in streaming un importante evento dal vivo, sono poi spesso ricattati e si trovano a dover cedere alle richieste imposte per evitare un danno finanziario.

Anycast può distribuire gli attacchi DDoS su una vasta area, secondo il principio di diffusione, riuscendo così a indebolirli (questo è paragonabile alla forza di un fiume impetuoso, che viene diffusa distribuendo abilmente l’acqua su canali di deflusso). Allo stesso tempo, la distribuzione può limitare l’ampiezza dell’attacco e continuare a dare a molti utenti l’accesso all’infrastruttura colpita attraverso percorsi alternativi. Tuttavia, la rete Anycast deve essere sufficientemente grande ed efficiente per combattere in modo efficace e affidabile tali attacchi, alcuni dei quali sono estremamente complessi.

Oltre ad Anycast, per il traffico dati in una rete vengono usati anche altri metodi di routing, come broadcast. La tabella seguente illustra le differenze tra Anycast e altri schemi di routing comuni: