Lokale DNS-anycast, SIDN’s nieuwe aanpak in reactie op de DDoS-rat race

Als beheerder van het .nl-domein, is SIDN verantwoordelijk voor de ontwikkeling en het stabiel functioneren van het ‘.nl’ -landendomein (ccTLD). Marco Davids, technisch adviseur bij SIDN, legt uit hoe lokale anycast daarbij helpt en waarin het verschilt van reguliere anycast.

Bij SIDN beschikken we over een indrukwekkende DNS-infrastructuur: te allen tijde beschikbaar en ontworpen om duizenden DNS-query’s per seconde aan te kunnen. Het nadeel van een dergelijke krachtige infrastructuur is dat het heel goed kan functioneren als een reflector voor het amplificeren van DDoS-verkeer. En dus proberen kwaadwillenden, naast de vele open resolvers, ook (onze) krachtige ‘authoritative’ name servers te misbruiken voor hun DDoS-aanvallen.

De laatste tijd zijn vooral gaming-gerelateerde DNS-amplification aanvallen populair. Daarvan zagen we het nodige voorbij komen op onze name servers. Gelukkig zijn we er met behulp van ‘response rate limiting’ in geslaagd de overlast enorm te beperken. Dankzij die tegenmaatregelen zijn we niet langer ongewild medeplichtige in DNS-amplificatie aanvallen, gericht tegen derden.

Medeplichtige of doelwit?

Behalve ongewild misbruikt worden voor DNS-amplificatieaanvallen tegen derden, bestaat ook de kans dat we ooit zelf het doelwit worden. En dan praat je over een heel ander scenario. Onze reactie op deze mogelijke bedreiging was tot voor kort: meer DNS-capaciteit toevoegen. Hoewel deze aanpak nog steeds zinvol is, maakte de gigantische DDoS-aanval tegen Spamhaus in maart vorig jaar duidelijk, dat het toevoegen van alsmaar meer capaciteit een ratrace is, die uiteindelijk niet valt te winnen. Daarom gingen we op zoek naar een andere benadering.

Anycast-technologyOnze oplossing: lokale anycast

Globale anycast is een bewezen en heel effectieve technologie. Het is al tijden in gebruik voor de root name servers. Ook voor het ‘.nl’-domein zetten we het al sinds jaar en dag in. De werking van anycast is even simpel als doeltreffend. Door gebruik te maken van het BGP-protocol en steeds dezelfde IP-prefix vanaf verschillende punten op het internet te ‘annonceren’, worden IP-pakketten gericht aan bestemmingen binnen die prefix doorgestuurd naar het (netwerk-topologisch gezien) ‘dichtstbijzijnde’ punt. Effectief komt dit neer op het verspreiden van de totale netwerkbelasting over meerdere exemplaren van in feite dezelfde server. En dat werkt heel goed, vooral voor UDP.

Wat onze aanpak anders maakt dan ‘traditionele’ anycast (gebruikt door vele collega registry’s), is dat we ook zogenaamde lokale nodes inzetten. De BGP-peerings daarvan worden zodanig geconfigureerd dat de geannonceerde IP-prefixen niet wereldwijd bekend worden, maar alleen lokaal. Voor wie bekend is met BGP: dit is wat een ‘community no-export’  instelling doet (hoewel we ook andere methoden gebruiken). In de bijgaande illustraties wordt dit verduidelijkt.

Een lokale node heeft voordelen. Want omdat de route daar naartoe uitsluitend lokaal bekend is, zal deze -per definitie- geen verkeer van buiten het lokale netwerk (autonomous system) aantrekken. Wereldwijd DDoS-verkeer kan, ongeacht de hoeveelheid, nooit bij een lokale node uitkomen. Alleen lokaal gegenereerd DDoS-verkeer, mocht daarvan sprake zijn, kan bij de lokale node aankomen. Maar als netwerkbeheerder, heb je dat verkeer veel beter onder controle.

Een lokale node heeft dus als voordeel dat er voor jou en jouw klanten altijd minimaal één goed en snel functionerende ‘.nl’ name server beschikbaar is.

Implementatiestrategie

Bij SIDN werken we voortdurend aan het verbeteren van onze DNS-infrastructuur en lokale anycast helpt daarbij. We voegen nieuwe nodes toe op plekken waar ze het meest tot hun recht komen. Denk aan grote ISP ‘s en hostingbedrijven. Kortom, op plaatsen waar ze helpen om ‘.nl’-domeinnamen beter te kunnen bereiken. Maar in theorie kunnen we er net zoveel installeren, in net zoveel netwerken, als we willen.

Wie als partner wil participeren in dit initiatief, moet wel aan een aantal criteria voldoen. We verwachten dat je serieus met ‘abuse’ omgaat en bijvoorbeeld een actief beleid voert tegen open resolvers. Uiteraard verwachten wij ook dat je IPv6-enabled bent.

Onze lokale anycast nodes zijn er in twee smaken: ‘dedicated’ nodes, exclusief voor één enkele partner en een ‘shared node’ die wordt gedeeld met meerdere, zorgvuldig geselecteerde partners. Afhankelijk van het belang en de relevantie (in termen van het aantal DNS-query’s per seconde en andere overwegingen) komt een organisatie wel of (nog) niet in aanmerking voor een ‘dedicated’ node. Als alternatief is er de mogelijkheid om te peeren met de gemeenschappelijke (shared) node.

LeaseWeb deelde onze visie en kwalificeerde zich al in een heel vroeg stadium voor een ‘dedicated’ node. Wij waarderen de flexibiliteit en efficiëntie van LeaseWeb bij het realiseren van onze eerste lokale anycast node. Het was een genoegen om met hen samen te werken. Gelukkig volgden een aanzienlijk aantal andere bekende Nederlandse ISP ‘s snel daarna op even enthousiaste wijze.

Mocht je geïnteresseerd zijn en meer willen weten over ons initiatief, of willen weten hoe je de bereikbaarheid van het ‘.nl’-domein voor jou en jouw klanten kunt verbeteren, aarzel dan niet contact op te nemen.


Marco Davids is Technisch Adviseur bij SIDN.

Dit artikel is gebaseerd op een artikel dat eerder op de blog van LeaseWeb verscheen en met toestemming van de auteur op ISP Today gepubliceerd.

Over Marco Davids

Marco Davids is Technisch Adviseur bij SIDN.