Anycast-DNS aktiv: weltweit verteilt, gegen DDoS gehärtet
Wir haben unser DNS auf ein globales Anycast-Netz mit über 60 POPs umgestellt — kürzere Antwortzeiten weltweit und integrierter DDoS-Schutz, ohne Aufpreis.
DNS ist die Schicht im Stack, an der niemand merkt, ob sie gut läuft — bis sie es nicht tut. Genau deshalb haben wir unsere Nameserver auf ein globales Anycast-Netz Mehrere Server an verschiedenen Standorten teilen sich dieselbe IP. Anfragen landen automatisch beim geografisch nächsten Knoten. bei ClouDNS umgestellt: über 60 Points-of-Presence auf allen Kontinenten, integrierter DDoS-Schutz, automatisches Failover ohne manuellen Eingriff.
Anycast statt zwei Servern in zwei Ländern
Klassische DNS-Setups bestehen oft aus zwei Nameservern an zwei Standorten — einer in Europa, einer in den USA, fertig. Fällt einer aus, wird umgeschaltet, bestenfalls. Wird einer überlastet, merken es alle.
Anycast funktioniert anders: alle Knoten weltweit kündigen dieselbe IP-Adresse an, das BGP-Routing entscheidet pro Anfrage, welcher Knoten am nächsten ist. Fällt ein Standort aus, kündigt er die Route nicht mehr an — Anfragen landen automatisch beim nächsten verfügbaren Knoten. Kein DNS-Flap, kein Failover-Skript, kein Wartezeitfenster.
Konkret heißt das: ein Besucher aus Singapur fragt nicht mehr unseren europäischen Nameserver an, sondern den Knoten in Singapur. Ein Besucher aus São Paulo bekommt eine Antwort aus São Paulo. Was vorher transatlantisch dreistellige Millisekunden gekostet hat, sind jetzt einstellige bis zum nächsten POP.
Was sich konkret ändert
Der spürbarste Effekt sitzt am Anfang jedes Seitenaufrufs. Bevor der Browser überhaupt mit deinem Webserver spricht, muss er den Domainnamen auflösen — und genau dieser DNS-Lookup ist mit Anycast bei vielen Besuchern jetzt deutlich schneller. Das ist keine Behauptung, sondern eine direkte Folge davon, dass der DNS-Knoten näher beim Nutzer steht.
Drei Effekte zusätzlich:
- Bessere Werte in synthetischen Tests. GTmetrix, PageSpeed Insights und WebPageTest messen den DNS-Lookup als eigenen Block. Der wird kleiner, ohne dass du an deiner Seite etwas geändert hast.
- Höhere Verfügbarkeit unter Last. Lastspitzen verteilen sich automatisch auf das Netz, nicht auf einen einzelnen Server.
- Robustheit gegen DDoS-Floods. Volumetrische Angriffe auf einen Punkt verpuffen, wenn dieser Punkt gleichzeitig in über 60 Rechenzentren steht.
Warum DNS überhaupt angegriffen wird
DNS-Infrastruktur ist ein dankbares Ziel: kippt der Nameserver, ist der Dienst nicht mehr erreichbar, auch wenn Webserver, Datenbank und CDN völlig in Ordnung sind. Klassische DNS-Floods schießen auf wenige IPs — bei Anycast ist „die IP” überall.
Ein Angreifer müsste also alle POPs gleichzeitig überlasten, um die Auflösung wirklich zu stören. Möglich ist das im Worst Case immer; die nötige Bandbreite und Verteilung steigen aber um Größenordnungen. Für die Profile, die wir bei rack::SPEED-Kunden typischerweise sehen — Onlineshops, Behörden, Schulen, mittelständische Unternehmen — sind DNS-Floods damit kein realistisches Ausfall-Szenario mehr.
Was du tun musst
Wenn dein Setup bereits auf unserer aktuellen Plattform-Generation läuft: nichts. Die Umstellung war für uns ein Wechsel der Nameserver-Infrastruktur, nicht der Domain-Konfiguration. Du nutzt das neue Netz seit der Migration automatisch.
Wenn du noch auf der Vorgänger-Plattform sitzt, ist das ein guter Anlass für den Wechsel. Bestehende Kunden migrieren wir ohne Downtime — der DNS-Anteil ist dabei der unkomplizierteste Schritt. Ablauf und Konditionen stehen unter Hosting-Migration, die Plattform selbst beschreibt unsere Seite Managed Hosting. Parallel zum DNS-Umbau haben wir IPv6 für rackspeed.de und das neue Performance-Monitoring im Kundencenter ausgerollt — beides spielt im selben Modernisierungs-Pfad.
Fragen zur Migration oder zur eigenen Domain beantwortet unser Team direkt im Kundencenter — keine Ticket-Schleife, kein Funnel.
Mehr POPs, weniger Single-Points-of-Failure, kein Aufpreis. Geprüft, nicht behauptet.