Anycast: Routing-Schema für flexible und stabile Netzwerke

Routing-Schemata or­ga­ni­sie­ren den Verkehr von Daten und damit verbunden auch die Ver­tei­lung von Diensten und Dienst­leis­tun­gen in Netz­wer­ken. Dabei bedienen einzelne Routing-Methoden spezielle An­for­de­rungs­pro­fi­le. So wird das Multicast-Verfahren häufig im Video-Streaming verwendet, da es Da­ten­pa­ke­te gleich­zei­tig an viele Empfänger senden kann (etwa an die Set-Top-Boxen von IPTV-Kon­su­men­ten). Eine andere Routing-Strategie ist Anycast. Wir erklären die Funk­ti­ons­wei­se und stellen die Vorteile des Ver­fah­rens dar.

Anycast ist eine Routing-Methode, die Netzwerke und Da­ten­trans­por­te leis­tungs­fä­hi­ger, zu­ver­läs­si­ger und flexibler machen soll. Das Routing-Schema wird haupt­säch­lich in Ver­bin­dung mit dem Internet Protocol Version 6 (IPv6) verwendet, das als Stan­dard­ver­fah­ren zur Über­tra­gung von Da­ten­pa­ke­ten in Rech­ner­net­zen genutzt wird (Nach­fol­ger von IPv4).

Bei Anycast wird Routing auf eine spe­zi­fi­sche Weise betrieben: Man vergibt an eine Gruppe von Rechnern eine ge­mein­sa­me IP-Adresse. Was bei Anycast gewollt und Methode ist, verstößt streng genommen gegen die Norm. Denn beim üblichen Verfahren der Unicast-Adres­sie­rung werden IP-Adressen eindeutig nur einer einzigen Instanz zu­ge­ord­net (klas­si­sche Ein­zel­adres­sie­rung).

Die Mehr­fach­zu­ord­nung ist aber kein Problem, da sie sich nicht auf die Client-Server-Kom­mu­ni­ka­ti­on auswirkt. Ein Client kann nicht zwischen syn­tak­tisch iden­ti­schen Anycast-Adressen und Unicast-Adressen un­ter­schei­den. Wenn er z. B. eine konkrete Anfrage stellt, kom­mu­ni­ziert der Client grund­sätz­lich nur mit einem Anycast-Server aus der Gruppe. Dieser wickelt dann bei­spiels­wei­se die DNS-Abfrage eines Clients ab. Das Routing-Schema funk­tio­niert in der be­ab­sich­tig­ten Form aber nur, wenn die ver­wen­de­te IP-Adresse auch explizit als Anycast-Adresse auf den ent­spre­chen­den Routern eines Anycast-Netz­wer­kes de­kla­riert ist.

Die Server eines Anycast-Netz­wer­kes sind räumlich getrennt, stehen also bei­spiels­wei­se in ver­schie­de­nen Regionen und Ländern. Jeder Anycast-Rechner steht für eine ent­spre­chen­de Route, die über ein Routing-Protokoll kom­mu­ni­ziert wird. Im Internet wird für solche Zwecke das BGP (Border Gateway Protocol) genutzt, mit dessen Hilfe ein Da­ten­trans­port auch über einzelne In­ter­net­pro­vi­der-Netze hinaus möglich ist. Durch die Kom­bi­na­ti­on aus Routing-Schema (Anycast) und BGP-basierter Netz­werk­kom­mu­ni­ka­ti­on können über­re­gio­nal und sogar weltweit ver­schie­de­ne Routing-Al­ter­na­ti­ven zur Verfügung gestellt werden.

Eine häufige Kom­mu­ni­ka­ti­ons­rou­ti­ne im Netz ist Anycast-DNS. Fällt z. B. bei einer DNS-Anfrage ein Server aus oder ist aktuell nicht er­reich­bar, wird eine bestimmte Route im Anycast-Server-Verbund nicht mehr pro­pa­giert und später folgende Da­ten­pa­ke­te werden zu einem anderen Server wei­ter­ge­lei­tet. Für die al­ter­na­ti­ve Route wird in der Regel das nächst­ge­le­ge­ne Interface einer Gruppe aus­ge­wählt, um Zeit und Kosten zu sparen.

Aufgrund des Trans­pa­renz­prin­zips bemerken Clients nichts vom Wegfall der ur­sprüng­li­chen Route. Alle Server reagieren auf die Client-Anfrage mit der gleichen Antwort und die für das Routing ver­wen­de­te IP-Adresse ändert sich nicht, obwohl auf tech­ni­scher Ebene nun eine andere Instanz der Anycast-Gruppe den Wei­ter­trans­port des Da­ten­pa­kets übernimmt. Für die Ver­wal­tung und Kon­fi­gu­ra­ti­on eines Anycast-Rech­ner­ver­bun­des wird oft das Routing-Schema Unicast verwendet. Die ein­deu­ti­ge Unicast-Adresse wird genutzt, um einzelne Server un­ab­hän­gig von der un­ein­deu­ti­gen (da mehreren Servern zu­ge­ord­ne­ten) Anycast-Adresse direkt an­zu­spre­chen und aus der Ferne übers Netz zu ad­mi­nis­trie­ren.

Der Da­ten­aus­tausch via Anycast sorgt für eine Las­ten­ver­tei­lung, da der Da­ten­ver­kehr groß­flä­chi­ger verteilt werden kann. Die Server einer Anycast-Gruppe können dabei sogar in ver­schie­de­nen Netzen agieren, wobei der Absender nicht selbst tätig werden muss, um den Versand von Daten möglichst optimal auf viele Server zu verteilen. Von dieser Strategie des au­to­ma­ti­sier­ten Routings pro­fi­tie­ren zum Beispiel DNS-Root­ser­ver. Neben DNS können aber auch andere In­ter­net­diens­te weltweit zur Verfügung gestellt und zugleich möglichst effizient und gleich­mä­ßig in Netz­wer­ken verteilt werden.

Durch das Red­un­danz­prin­zip steigt auch die Ver­füg­bar­keit von Diensten. Bei­spiels­wei­se werden bei Anycast-DNS Abfragen nicht an einen be­stimm­ten DNS-Resolver, sondern an ein Netzwerk von Resolvern gesendet. Der am besten er­reich­ba­re Resolver wird dann aus­ge­wählt. Somit werden DNS-Abfragen und -Antworten immer über op­ti­mier­te Trans­port­we­ge geroutet. Geht ein DNS-Resolver offline, stehen für Abfragen trotzdem weitere Server im Netzwerk zur Verfügung.

Das Ver­tei­lungs­prin­zip des Routing-Schemas hilft auch bei Netz­werk­pro­ble­men. Gerade in Stoß­zei­ten oder bei punk­tu­el­len Netz-, Interface- oder Router-Ausfällen kann Anycast mit einer zügig und au­to­ma­tisch er­mit­tel­ten Al­ter­na­tiv-Route zur Be­schleu­ni­gung des Da­ten­trans­ports beitragen, da möglichst kurze Wege für die Umleitung und Ver­tei­lung von Da­ten­strö­men gewählt werden.

Speziell Un­ter­neh­men, die mehrere Zu­gangs­punk­te zum Internet haben, pro­fi­tie­ren von einem Zugewinn an Fle­xi­bi­li­tät. So lässt sich der Ausfall einer Ver­bin­dung zum Provider oder zu einem Router des Providers un­ver­züg­lich durch einen anderen Trans­port­weg über eine al­ter­na­ti­ve Route aus­glei­chen. Sender können beim Anycast-Routing das Emp­fangs­in­ter­face al­ler­dings nicht ei­gen­stän­dig wählen, da dies aus­schließ­lich vom Routing-Protokoll definiert wird.

Netzwerke und der Transport von Da­ten­strö­men werden durch Anycast nicht nur ef­fi­zi­en­ter und re­sis­ten­ter gegenüber Störungen und Ausfällen. Auch die Si­cher­heit pro­fi­tiert von dem Routing-Schema. Dis­tri­bu­ted Computing (bzw. verteilte In­fra­struk­tu­ren) sind für Ha­cker­an­grif­fe meist weniger anfällig und können auf Angriffe häufig auch besser reagieren. Anycast-Routing ist ins­be­son­de­re ein wirksames Mittel gegen Denial-of-Service-Attacken (auch DDoS-Angriffe genannt), mit denen Hacker digitale In­fra­struk­tu­ren in die Knie zwingen können.

Durch einen enormen Traffic, der durch gekaperte Computer und IoT-Geräte auf der ganzen Welt generiert und gezielt dem Opfer eines Angriffs zu­ge­lei­tet wird, sind über­las­te­te Webseiten und Server zumindest vor­über­ge­hend nicht mehr er­reich­bar. Die Betreiber von Websites oder Servern, die bei­spiels­wei­se eine großen Online-Sales-Aktion abwickeln oder ein be­deu­ten­des Live-Ereignis streamen wollen, werden dann häufig erpresst und müssen sich frei­kau­fen, um etwa fi­nan­zi­el­len Schaden ab­zu­wen­den.

Durch Anycast können DDoS-Angriffe nach dem Dif­fu­si­ons­prin­zip groß­flä­chig verteilt und dadurch zumindest ab­ge­schwächt werden (ver­gleich­bar einem reißenden Fluss, dessen Wucht durch ge­schick­te Ver­tei­lung der Was­ser­mas­sen in Über­schwem­mungs­ge­bie­te und Sei­ten­adern ent­schärft wird). Zugleich kann man durch die Ver­tei­lung den Angriff in der Breite ein­gren­zen und über Al­ter­na­tiv-Routen vielen Nutzern den Zugriff auf die an­ge­schla­ge­ne In­fra­struk­tur weiterhin er­mög­li­chen. Al­ler­dings muss das Anycast-Netzwerk aus­rei­chend groß und effizient sein, um solche teils äußerst komplexen Attacken wirksam und zu­ver­läs­sig zu bekämpfen.

Neben Anycast kommen beim Da­ten­ver­kehr im Netz noch andere Routing-Verfahren wie Broadcast zum Einsatz. Folgende Tabelle ver­deut­licht die Un­ter­schie­de zwischen Anycast und weiteren ge­bräuch­li­chen Routing-Schemata: