Anycast: Routing-Schema für flexible und stabile Netzwerke

Routing-Schemata organisieren den Verkehr von Daten und damit verbunden auch die Verteilung von Diensten und Dienstleistungen in Netzwerken. Dabei bedienen einzelne Routing-Methoden spezielle Anforderungsprofile. So wird das Multicast-Verfahren häufig im Video-Streaming verwendet, da es Datenpakete gleichzeitig an viele Empfänger senden kann (etwa an die Set-Top-Boxen von IPTV-Konsumenten). Eine andere Routing-Strategie ist Anycast. Wir erklären die Funktionsweise und stellen die Vorteile des Verfahrens dar.

Anycast ist eine Routing-Methode, die Netzwerke und Datentransporte leistungsfähiger, zuverlässiger und flexibler machen soll. Das Routing-Schema wird hauptsächlich in Verbindung mit dem Internet Protocol Version 6 (IPv6) verwendet, das als Standardverfahren zur Übertragung von Datenpaketen in Rechnernetzen genutzt wird (Nachfolger von IPv4).

Bei Anycast wird Routing auf eine spezifische Weise betrieben: Man vergibt an eine Gruppe von Rechnern eine gemeinsame IP-Adresse. Was bei Anycast gewollt und Methode ist, verstößt streng genommen gegen die Norm. Denn beim üblichen Verfahren der Unicast-Adressierung werden IP-Adressen eindeutig nur einer einzigen Instanz zugeordnet (klassische Einzeladressierung).

Die Mehrfachzuordnung ist aber kein Problem, da sie sich nicht auf die Client-Server-Kommunikation auswirkt. Ein Client kann nicht zwischen syntaktisch identischen Anycast-Adressen und Unicast-Adressen unterscheiden. Wenn er z. B. eine konkrete Anfrage stellt, kommuniziert der Client grundsätzlich nur mit einem Anycast-Server aus der Gruppe. Dieser wickelt dann beispielsweise die DNS-Abfrage eines Clients ab. Das Routing-Schema funktioniert in der beabsichtigten Form aber nur, wenn die verwendete IP-Adresse auch explizit als Anycast-Adresse auf den entsprechenden Routern eines Anycast-Netzwerkes deklariert ist.

Die Server eines Anycast-Netzwerkes sind räumlich getrennt, stehen also beispielsweise in verschiedenen Regionen und Ländern. Jeder Anycast-Rechner steht für eine entsprechende Route, die über ein Routing-Protokoll kommuniziert wird. Im Internet wird für solche Zwecke das BGP (Border Gateway Protocol) genutzt, mit dessen Hilfe ein Datentransport auch über einzelne Internetprovider-Netze hinaus möglich ist. Durch die Kombination aus Routing-Schema (Anycast) und BGP-basierter Netzwerkkommunikation können überregional und sogar weltweit verschiedene Routing-Alternativen zur Verfügung gestellt werden.

Eine häufige Kommunikationsroutine im Netz ist Anycast-DNS. Fällt z. B. bei einer DNS-Anfrage ein Server aus oder ist aktuell nicht erreichbar, wird eine bestimmte Route im Anycast-Server-Verbund nicht mehr propagiert und später folgende Datenpakete werden zu einem anderen Server weitergeleitet. Für die alternative Route wird in der Regel das nächstgelegene Interface einer Gruppe ausgewählt, um Zeit und Kosten zu sparen.

Aufgrund des Transparenzprinzips bemerken Clients nichts vom Wegfall der ursprünglichen Route. Alle Server reagieren auf die Client-Anfrage mit der gleichen Antwort und die für das Routing verwendete IP-Adresse ändert sich nicht, obwohl auf technischer Ebene nun eine andere Instanz der Anycast-Gruppe den Weitertransport des Datenpakets übernimmt. Für die Verwaltung und Konfiguration eines Anycast-Rechnerverbundes wird oft das Routing-Schema Unicast verwendet. Die eindeutige Unicast-Adresse wird genutzt, um einzelne Server unabhängig von der uneindeutigen (da mehreren Servern zugeordneten) Anycast-Adresse direkt anzusprechen und aus der Ferne übers Netz zu administrieren.

Der Datenaustausch via Anycast sorgt für eine Lastenverteilung, da der Datenverkehr großflächiger verteilt werden kann. Die Server einer Anycast-Gruppe können dabei sogar in verschiedenen Netzen agieren, wobei der Absender nicht selbst tätig werden muss, um den Versand von Daten möglichst optimal auf viele Server zu verteilen. Von dieser Strategie des automatisierten Routings profitieren zum Beispiel DNS-Rootserver. Neben DNS können aber auch andere Internetdienste weltweit zur Verfügung gestellt und zugleich möglichst effizient und gleichmäßig in Netzwerken verteilt werden.

Durch das Redundanzprinzip steigt auch die Verfügbarkeit von Diensten. Beispielsweise werden bei Anycast-DNS Abfragen nicht an einen bestimmten DNS-Resolver, sondern an ein Netzwerk von Resolvern gesendet. Der am besten erreichbare Resolver wird dann ausgewählt. Somit werden DNS-Abfragen und -Antworten immer über optimierte Transportwege geroutet. Geht ein DNS-Resolver offline, stehen für Abfragen trotzdem weitere Server im Netzwerk zur Verfügung.

Das Verteilungsprinzip des Routing-Schemas hilft auch bei Netzwerkproblemen. Gerade in Stoßzeiten oder bei punktuellen Netz-, Interface- oder Router-Ausfällen kann Anycast mit einer zügig und automatisch ermittelten Alternativ-Route zur Beschleunigung des Datentransports beitragen, da möglichst kurze Wege für die Umleitung und Verteilung von Datenströmen gewählt werden.

Speziell Unternehmen, die mehrere Zugangspunkte zum Internet haben, profitieren von einem Zugewinn an Flexibilität. So lässt sich der Ausfall einer Verbindung zum Provider oder zu einem Router des Providers unverzüglich durch einen anderen Transportweg über eine alternative Route ausgleichen. Sender können beim Anycast-Routing das Empfangsinterface allerdings nicht eigenständig wählen, da dies ausschließlich vom Routing-Protokoll definiert wird.

Netzwerke und der Transport von Datenströmen werden durch Anycast nicht nur effizienter und resistenter gegenüber Störungen und Ausfällen. Auch die Sicherheit profitiert von dem Routing-Schema. Distributed Computing (bzw. verteilte Infrastrukturen) sind für Hackerangriffe meist weniger anfällig und können auf Angriffe häufig auch besser reagieren. Anycast-Routing ist insbesondere ein wirksames Mittel gegen Denial-of-Service-Attacken (auch DDoS-Angriffe genannt), mit denen Hacker digitale Infrastrukturen in die Knie zwingen können.

Durch einen enormen Traffic, der durch gekaperte Computer und IoT-Geräte auf der ganzen Welt generiert und gezielt dem Opfer eines Angriffs zugeleitet wird, sind überlastete Webseiten und Server zumindest vorübergehend nicht mehr erreichbar. Die Betreiber von Websites oder Servern, die beispielsweise eine großen Online-Sales-Aktion abwickeln oder ein bedeutendes Live-Ereignis streamen wollen, werden dann häufig erpresst und müssen sich freikaufen, um etwa finanziellen Schaden abzuwenden.

Durch Anycast können DDoS-Angriffe nach dem Diffusionsprinzip großflächig verteilt und dadurch zumindest abgeschwächt werden (vergleichbar einem reißenden Fluss, dessen Wucht durch geschickte Verteilung der Wassermassen in Überschwemmungsgebiete und Seitenadern entschärft wird). Zugleich kann man durch die Verteilung den Angriff in der Breite eingrenzen und über Alternativ-Routen vielen Nutzern den Zugriff auf die angeschlagene Infrastruktur weiterhin ermöglichen. Allerdings muss das Anycast-Netzwerk ausreichend groß und effizient sein, um solche teils äußerst komplexen Attacken wirksam und zuverlässig zu bekämpfen.

Neben Anycast kommen beim Datenverkehr im Netz noch andere Routing-Verfahren wie Broadcast zum Einsatz. Folgende Tabelle verdeutlicht die Unterschiede zwischen Anycast und weiteren gebräuchlichen Routing-Schemata: