A contribuição do LACNIC para a resiliência do DNS
25/03/2024
Durante o webinar “Oportunidades para o desenvolvimento de Infraestrutura Crítica”, Carlos Martínez, CTO do LACNIC, frisou a contribuição do RIR da América Latina e o Caribe para o Anycast do DNS em três aspectos diferentes.
Anycast das zonas reversas do LACNIC. OLACNIC opera as zonas reversas associadas aos blocos delegados /8 do IPv4 e do /12 do IPv6. Essas zonas recebem muito tráfego, razão pela qual distribui-se em servidores anycast operados pelo LACNIC. Se a resolução dessas zonas falhar, todos os associados do LACNIC ficarão sem resolução reversa.
Anycast das zonas “in.addr.arpa” e “ipv6.arpa”: as zonas dos /8 e do/12 de todos os Registros dependem destas duas zonas de nível superior (top level) na hierarquia reversa do DNS. A resolução de ambas as zonas é fundamental para toda a Internet e é responsável de todos os RIRs. Nesse sentido o LACNIC contribui com servidores anycast, tanto para “in.addr.arpa” quanto para “ipv6.arpa”. É um esforço cooperativo com os outros RIRs.
Anycast de servidores raíz. A zona raiz do DNSdepende de 13 servidores autoritativos. O LACNIC contribui com cópias de vários deles. Há cerca de 20 anos o LACNIC apoiou a instalação de copias anycast através do programa +Raízes. Possuímos 36 cópias instaladas além de outras em processo de instalação. Instalar uma cópia de um servidor é um processo que envolve a cooperação com a operadora do servidor e aquisição do hardware, apontou CTO do LACNIC.
O que é anycast? É uma técnica de endereçamento e roteamento na qual um mesmo endereço IP é atribuído a múltiplos servidores de nomes (DNS) dispersos geograficamente. Quando um usuário realiza consulta DNS, esta é direcionada ao servidor mais próximo em termos de latência ou rota de rede.
Dá para utilizar a técnica anycast com o DNS? Por ser um protocolo baseado em UDP não é preciso batalhar com o estabelecimento de conexões. “Isto funciona e muito bem”, acrescentou o gerente técnico do LACNIC. Por exemplo, se um servidor de DNS que está publicando através de anycast desaparecer por ter se desligado ou produzido uma falha, o inconveniente será resolvido se o anúncio BGP continuar nas tabelas BGP mundiais. “O próprio BGP encarrega-se de escolher o servidor seguinte que for melhor. A maior parte do tempo os usuários nem ficam sabendo”, disse martínez.
Aprimoramento da latência. A utilização desta ferramenta anycast permite direcionar as solicitações dos usuários ao servidor DNS mais próximo, reduzindo significativamente a latência. Isso acontece em tempos mais rápidos de carga para websites e aplicativos, melhorando a experiência do usuário.
Martínez também sinalizou que ao ter múltiplos servidores que podem responder a um mesmo endereço IP, anycast melhora a redundância. Se um servidor falhar ou for inacessível, as solicitações podem ser automaticamente roteadas a outro servidor disponível, aumentando assim a disponibilidade do serviço.
Mitigação de ataques. Anycast pode ajudar a mitigar golpes de Denegação de Serviço Distribuído (DDoS), distribuindo o tráfego malicioso entre vários servidores, ao invés de sobrecarregar um único ponto. Isso faz com que seja mais difícil para os golpistas saturar a capacidade da rede ou do servidor. Com cópias anycast esse golpe é naturalmente dissolvido entre todas as cópias e, no suposto de não ser bem distribuído, será absorvido pela cópia que estiver mais próxima desses endereços, salvaguardando as outras cópias.
Desta forma o LACNIC está contribuindo para o acesso mais resiliente de um dos recursos críticos da Internet, o DNS. Os resultados são a redundância e a diminuição da criticidade, permitindo uma melhor solução perante os eventuais ataques de DDoS ou possíveis falhas na infraestrutura crítica da Internet.