Advertorial

Door Tweakers Partners

Feedback • 01-07-2020 08:00 24

Hoe SIDN met dns anycast het .nl-domein steeds robuuster maakt

01-07-2020 • 08:00

24

Dns anycast is inmiddels bewezen technologie in het wereldwijde domeinnamensysteem (domain name system). De Nederlandse registry SIDN werkt al enkele jaren samen met internationale partners om het .nl-domein nog robuuster te maken. De wens bestond al langer om een anycast-opstelling in eigen beheer te hebben, maar de complexiteit van hardware in colocatie over de hele wereld was lange tijd een obstakel.

Dit kennisartikel is geschreven in opdracht van SIDN.

Het wereldwijde domeinnamensysteem dns is voor de gemiddelde internetgebruiker zo vanzelfsprekend dat we er eigenlijk nauwelijks nog bij stilstaan. Zoals smartphones telefoonnummers opslaan zodat we ze niet meer hoeven te onthouden, fungeert dns al sinds jaar en dag als ‘het telefoonboek van internet’. Dns is een gedelegeerd systeem: je browser weet in principe niet welk ip-adres bij een ingetypt webadres hoort en begint daarom te zoeken in het rootsysteem van dns. In het geval van een .nl-adres zal dit doorverwijzen naar een server van SIDN (Stichting Internet Domeinregistratie Nederland) die ook een doorverwijzing geeft. Op die manier vind je snel het ip-adres van bijvoorbeeld een website.

Op zich logisch, maar onder de motorkap is het een behoorlijk complex verhaal. Stel dat je in Sydney zit op het moment van zoeken. Wanneer de resolver van je provider in Sydney je gewenste gegevens helemaal in Nederland ophaalt, levert dit toch een vertraging op. Een ander, nijpender, probleem is dat name servers per definitie publiekelijk bekend moeten zijn en daardoor kwetsbaar zijn voor aanvallen. SIDN is zich bewust van dat risico. “Een ddos-aanval kan een flinke impact hebben op de kwaliteit van onze dienstverlening”, vertelt Niek Willems, systeembeheerder bij SIDN. “Dat willen we natuurlijk voorkomen, want dat zou kunnen betekenen dat .nl-domeinen tijdelijk slechter bereikbaar zijn.”

Dns is een van de fundamenten van internet

Dns is voor internet dus ongelooflijk belangrijk. Werkt het niet, dan is je internet effectief stuk. Kosten noch moeite worden daarom gespaard om het .nl-domein in de lucht te houden. Zo werden in het verleden zogeheten ‘secondary name servers’ ondergebracht bij collega-registries, en andersom.

Deze traditionele aanpak beschermt helaas niet meer afdoende tegen hedendaagse ddos-aanvallen. Als oplossing is er binnen het dns al enkele jaren anycast. Het is een techniek die eigenlijk neerkomt op een hack. “Door servers met dezelfde ip-adressen op verschillende plekken in de wereld te plaatsen (ook in Sydney), verdeelt het wereldwijde verkeer zich over die adressen en verdunt het eventueel ddos-verkeer, wat het risico op een succesvolle aanval drastisch verlaagt. Het is daardoor een prima manier om ‘resilience’ te krijgen tegen ddos, en tegelijkertijd een betere performance voor gebruikers.”

SIDN Labs, het researchteam van SIDN, onderzoekt in samenwerking met het ict-team hoe anycast optimaal kan worden ingezet en welke verbetermogelijkheden er zijn. Willems: “Het draaiend houden van een toplevel-domein en experimenteren met nieuwe technologieën komen op deze manier mooi samen.”

Bgp-hack voor resilience

Anycast is in essentie een bgp-mechanisme. Bgp, het border gateway protocol, zorgt als routeringsprotocol dat alle ip-adressen goed bereikbaar zijn. “Het mooie aan bgp is dat er meerdere routes naar hetzelfde adres kunnen zijn. Bgp kiest dan de beste route ernaartoe. Als je het slim aanpakt, kun je op verschillende plekken systemen hebben met hetzelfde ip-adres, zonder dat het protocol zich daarin verslikt. Bgp ‘denkt’ dan gewoon dat er meerdere routes naar dezelfde server zijn en zal flexibel herrouteren om telkens de beste route te kiezen tussen bron en bestemming”, zegt Marco Davids, research engineer bij SIDN Labs. “Deze eigenschappen van bgp kun je handig benutten met anycast. Door meerdere servers met hetzelfde ip-adres op verschillende plekken in de wereld te plaatsen, wat feitelijk indruist tegen internetprincipes, gaan er niet langer verschillende routes naar één systeem, maar meerdere routes naar verschillende systemen. Iemand die vanuit Florida, in de VS, een dns-verzoek doet voor een .nl-domein, komt daardoor niet langer op een name server in Nederland uit, maar bijvoorbeeld op eentje in Miami, waardoor hij sneller antwoord krijgt en daarmee een veel betere ervaring.”

Afbeelding met vasthouden, man, mensen, groep Automatisch gegenereerde beschrijving

Afbeelding 1: Zo werkt dns anycast

Wereldwijd en lokaal robuust

De technologie bestaat zoals gezegd al jaren. Iemand die bijvoorbeeld vanuit Nederland naar 8.8 8.8 (de Google-resolver), 1.1.1.1 of 9.9.9.9 gaat, komt door anycast in Nederland uit en niet in Los Angeles. Een aantal cdn’s, zoals Cloudflare, zijn ook op deze technologie gebaseerd. Daarnaast houden populaire mediasites die veel verkeer veroorzaken dit relatief lokaal met verschillende technieken, waaronder anycast. SIDN gebruikt anycast op verschillende niveaus. Globaal, dankzij servers in andere geografische regio’s, maar ook lokaal, met name servers voor het .nl-domein op locatie bij Nederlandse providers. Davids: “Mocht een klant van bijvoorbeeld Ziggo of KPN een ddos uitvoeren op een name server, dan valt deze alleen de lokale server aan. Klanten van andere providers ondervinden daar geen last van. Andersom geldt dat ook. Als er een wereldwijde ddos is, bijvoorbeeld vanuit Azië en Amerika, komt dat ddos-verkeer niet uit op de lokale node bij Ziggo.”

Voor anycast werkt SIDN met verschillende internationale partijen samen. Dat zijn op dit moment de Zweedse internet exchange Netnod - die traditioneel veel met dns doet en hiervoor ook een van de rootservers draait - en Nic.at in Oostenrijk. Buiten Europa levert CIRA in Canada anycast aan SIDN als dienst. Al langer was het de wens om meer anycast in eigen beheer te kunnen uitvoeren. Dat was nog niet zo gemakkelijk. Het plaatsen, beheren en onderhouden van fysieke servers op verschillende plekken in de wereld heeft de nodige voeten in aarde. “Het ontbrak ons tot nu toe vooral aan tijd om dit te kunnen doen.”

Testbed

Met een proefopstelling, nu nog genoemd het ‘Anycast 2020 Testbed’, benadert SIDN het probleem op een andere manier. Het testbed is uitgezet over drie cloudleveranciers en op zeventien plekken zijn in totaal negentien nodes geactiveerd. Waarom juist nu? Davids: “Deze markt heeft zich de laatste jaren flink ontwikkeld. Wij willen onderzoeken of de tijd rijp is om dit soort enorm bedrijfskritische diensten (deels) in ‘de cloud’ te draaien en hoe zich dat verhoudt tot de traditionele manier van werken.” Voor het project zijn de providers Packet, Vultr en Heficed geselecteerd, die een mix van ‘bare metal’ en virtuele servers leveren. “Hierbij hebben wij nadrukkelijk ook gekeken naar de connectiviteit. Zo dekken wij met Heficed bijvoorbeeld onze connectiviteitsbehoefte af voor Zuid-Amerika en Afrika. Het is overigens nog behoorlijk lastig om aanbieders te vinden die hun klanten toestaan via bgp hun eigen ip-adresruimte aan te kondigen. Een aantal grote tech-aanbieders bieden deze mogelijkheid niet.”

Cloudleveranciers leveren de connectiviteit, dus SIDN onderzoekt ook de kwaliteit daarvan. In principe zou SIDN de benodigde connectiviteit zelf kunnen regelen, met eigen servers op bijvoorbeeld een internet exchange. “Maar juist de vraag wat het effect is op connectiviteit wanneer je daarvoor afhankelijk bent van een cloudleverancier, is voor ons interessant”, zegt Davids.

Voor het project werkt SIDN Labs samen met de operationele collega’s van ict. “De stabiliteit van het .nl-domein is voor onze operatie belangrijk en deze vorm van samenwerken kan daarbij helpen. De samenwerking voorkomt ook bedrijfsblindheid, omdat in onze operatie mensen werken met verschillende expertisegebieden. Van netwerken tot Unix, kantoorautomatisering en security.”

Virtuele anycast in eigen beheer

Het ‘bijschakelen’ van nodes bleek in het testbed heel eenvoudig, maar hierin schuilt ook een risico. Willems: “In de testfase ben je vrij om dingen te proberen. Het is geen probleem om even handmatig wat software te installeren, maar zo werkt dat in de uiteindelijke situatie natuurlijk niet. Daar moet alles voldoen aan strakke richtlijnen om fouten te voorkomen. Daarom kijken wij voor de transitie naar de operationele fase ook naar het automatiseren van configuratiemanagement, monitoring en back-ups. En dat luistert voor een bedrijfskritische toepassing als .nl heel nauw.” Vooralsnog is het doel om binnen afzienbare tijd met een enkele node van testen naar productie te gaan. “We werken nu nog met vrij lichte apparatuur en kleine zonefiles. Het idee is om een zwaardere server af te nemen en deze in te richten op het door ons vereiste kwaliteitsniveau, dus onder meer met de veel grotere .nl-zonefile. Als dat bevalt, haken we deze server aan op het bestaande .nl-dns-platform. En als dat goed gaat, is virtuele anycast in eigen beheer vooral een kwestie van opschalen.”

Hoe draagt het anycast-project bij aan een nog robuuster .nl-domein? “Als het gaat om robuustheid, is diversiteit belangrijk”, zegt Davids. “Wij draaien bepaalde name servers in ons testbed, maar onze bestaande anycast-leveranciers draaien misschien wel andere name servers, of zijn in staat om bij securityproblemen te schakelen tussen softwarepakketten. Robuustheid komt ook neer op diversificatie. We zullen daarom altijd blijven samenwerken met andere partijen, maar willen daarnaast ook in eigen beheer systemen draaien”. Ons belangrijkste doel is om kwaliteit te leveren. Dat is ook nodig, want de schade aan de Nederlandse economie zou gigantisch zijn wanneer het .nl-domein plat komt te liggen. Dat willen we natuurlijk koste wat kost voorkomen.” De eerste onderzoeksresultaten van het anycast-project zijn veelbelovend, wat positief is voor het Nederlandse deel van internet. En als samenwerking tussen SIDN Labs en ict is het ten slotte een geslaagd voorbeeld van hoe het experiment en de operatie elkaar kunnen versterken.

Afbeelding met elektronica, monitor, laptop, scherm Automatisch gegenereerde beschrijving

Afbeelding 2: het Anycast 2020 Testbed

Webinar SIDN: Internet of Things

Op donderdag 3 september organiseert SIDN van 15.00 – 16.00 uur het interactieve webinar: ‘Internet of Things: kansen, keerzijdes én oplossingsrichtingen’. Hierin bespreken we de context van de IoT-problemen en bediscussiëren we de verschillende mogelijke oplossingen. Lijkt je dit interessant? Lees meer en meld je gratis aan.

Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.

Lees meer

Hoe dnssec de .nl-zone steeds veiliger maakt
Hoe dnssec de .nl-zone steeds veiliger maakt .Plan van 25 augustus 2020
Dns over https maakt internet veiliger, maar tegen welke prijs?
Dns over https maakt internet veiliger, maar tegen welke prijs? .Plan van 16 juli 2020
Websites en community's SIDN

Reacties (24)

-Moderatie-faq
24
22
9
1
0
6
Wijzig sortering
iApp 1 juli 2020 08:16
Pfff, wat een gezwijmel. Kom to the point, SIDN! Dit artikel is in Jip en Janneke taal geschreven en had linea recta de Linda in gekund. Op Tweakers had ik een wetenschappelijke beandering verwacht, niet: "dus SIDN onderzoekt ook de kwaliteit daarvan" maar "SIDN benchmarkt X", en: "Het is overigens nog behoorlijk lastig om aanbieders te vinden die hun klanten toestaan via bgp hun eigen ip-adresruimte aan te kondigen" maar: "er is geen hond die zich er nu druk om maakt, maar na dit artikel hopelijk wel". :)
StefanJanssen @iApp1 juli 2020 09:00
Persoonlijk vond ik het fijn om iets in leesbare taal te lezen. Wat verbeteren jouw voorbeelden aan het artikel? Het zegt hetzelfde in woorden die minder mensen begrijpen.
Anoniem: 710428 @StefanJanssen1 juli 2020 09:04
Dat staat stoer,
pennywiser @Anoniem: 7104281 juli 2020 09:55
Je wordt gedownvote, maar het is wel de enige reden die ik ook kan bedenken. Waarom zou een stuk tekst niet toegankelijk mogen zijn.
Anoniem: 710428 @pennywiser1 juli 2020 11:10
Daarnaast slaat zijn comment nergens op.

Op Tweakers had ik een wetenschappelijke benadering verwacht, niet: "dus SIDN onderzoekt ook de kwaliteit daarvan" maar "SIDN benchmarkt X",, dus het woordje benchmarkt, en de X dus het daadwerkelijk concreet benoemen wat onderzocht wordt is een wetenschappelijke benadering 8)7

Als dit artikel niet in jip en janneke taal was geschreven, had meneer het überhaupt niet begrepen.
twizzle @Anoniem: 7104282 juli 2020 00:10
De kwaliteit van een dienst onderzoeken is niet hetzelfde als een benchmark doen in mijn ogen.

Hoe snel kan een bedrijf bij uitval een vervangende server opzetten, hoe betrouwbaar zijn de lokale monteurs, zijn backup generatoren aanwezig etc. zijn prima vragen wanneer je kwaliteit onderzoekt maar hebben niets met benchmarks te maken.
Nyarlathotep @iApp1 juli 2020 08:46
Ik vind het juist prettig dat er niet van die geforceerde Engelse 'vaktermen' worden gebruikt als er gewoon een prima Nederlands alternatief is.
Je stukje tekst wordt er namelijk écht niet interessanter op; ik prik er in ieder geval zo doorheen.

Voor de rest: dit is een 'advertorial'. Interpreteer het dan ook als zodanig ;)
adje123 @iApp1 juli 2020 09:07
Het is een advertorial, en die moet je simpel houden zodat het voor iedereen te volgen is.
Believe it or not, er bestaan simpele zielen, zoals ik.
Anoniem: 1301524 1 juli 2020 08:03
Vroeg me altijd al af wat de geheime saus was voor hetzelfde IP en toch verschillende servers te gebruiken. Verhelderend artikel!
Jago2 1 juli 2020 09:47
Maar waarom deze "advertorial", er wordt geen product verkocht?

[Reactie gewijzigd door Jago2 op 23 juli 2024 11:43]

StefanJanssen @Jago21 juli 2020 13:09
het SIDN wordt hier "verkocht". Ze kopen gewoon naamsbekendheid in, het zou een plek kunnen zijn om bijvoorbeeld te gaan werken terwijl je er anders niet over na had gedacht.
D11 @Jago21 juli 2020 10:30
Ik neem aan omdat dit artikel is geschreven in opdracht en samenspraak met de SIDN.
phonixor @Jago21 juli 2020 20:13
SIDN is een non profit, en maakt teveel winst, dus probeert het van zijn geld af te komen :)
itlee 3 juli 2020 14:42
Ze hadden er ook wel even bij mogen vertellen dat DNS verkeer UDP is, UDP is een fire en forget pakket, een TCP pakket stuurt info (ACK) terug. Daarom kan je ook anycasten met t DNS protocol. anycasten met dezelfde ip adressen op basis van tcp wordt wel een rommeltje, want een host verwacht een antwoord van dezelfde host en niet een antwoord van host nummer 2 uit een ander land (die heeft immers geen request geen gekregen en gaat dus ook niet antwoorden).

Voor de rest wel interessant verhaal, prima tekst. had misschien nog wel een laagje dieper gemogen.
Meteen @itlee3 juli 2020 19:19
En op een UDP request volgt geen antwoord?

Het bijzondere zit in het routeringsmechanisme. Normaal gesproken heeft elke computer op het netwerk een uniek adres. Vergelijk het maar met huisadressen, daar is het ook “niet handig” voor je navigatiesysteem als twee huizen hetzelfde adres hebben. Bouw je deze eis van unieke adressen in het routeringsprotocol in, dan worden computers met niet-unieke adressen onbereikbaar.
In dit geval wil je een kopie van een DNS computer met hetzelfde adres in het netwerk opnemen, zodat een gebruiker de dichtstbijzijnde DNS gebruikt. En dus gebruikers over de verschillende DNS-en verdeeld worden. Daar moet het routeringsprotocol en het nummerplan dan wel op berekent zijn. IP6 kent anycast adressen, IP4 niet. Hier worden IP4 adressen gebruikt. Zie https://en.m.wikipedia.org/wiki/Anycast

[Reactie gewijzigd door Meteen op 23 juli 2024 11:43]

Bundin 3 juli 2020 15:08
Goed verhaal, geen idee wat het achterliggende doel van SIDN is voor dit betaalde verhaal, maar ik vond het helder, duidelijk en interessant. Zo wil ik nog wel een paar keer op een ad klikken :)
jesse! @Freekers1 juli 2020 10:54
Misschien dat de titel ondertussen aangepast is, maar op moment van schrijven is de titel als volgt:
"Hoe SIDN met dns anycast het .nl-domein steeds robuuster maakt"

Ik zie hier 0 clickbait in. Er is ook nog eens precies, in duidelijke taal, uitgelegd wat anycast is, hoe het werkt en hoe SIDN het voor .nl toepast.
Denk dat je teveel op TikTok en Facebook zit meneer Freekers.
wifikabelhuren @Freekers1 juli 2020 10:05
Wat gebeurde er dan? Nu heb je mijn interesse gewekt zonder dit artikel te lezen.
MMaI @wifikabelhuren1 juli 2020 10:53
Niks, want anycast op zichzelf heeft geen directe impact op de dienstverlening.

Een beetje meer diepgang in het artikel over voordelen of details van technische oplossingen zou fijn geweest zijn. Ook de animatie met RFC1918 adressen is wat misplaatst gezien SIDN anycast in publieke CIDR ranges gebruikt en anycast in de private ip ruimte niet relevant is.
twizzle @MMaI2 juli 2020 00:37
Het 10.0.0.1 IP wordt als voorbeeld gebruikt.

Er zijn meerdere .NL nameserver IPs actief (54?).
wifikabelhuren @Freekers1 juli 2020 12:35
zo slecht is hij dus haha
twizzle @Freekers2 juli 2020 00:19
De -1 komt omdat je reactie geen toegevoegde waarde heeft en je de titel die letterlijk noemt wat er gebeurd is als clickbait definieert.

Feit is dat er een single point of failure was en dit door meerdere servers vermeden word en als conclusie wordt het systeem robuuster.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq