Hay 13 direcciones del servidor de nombres raíz, cada una correspondiente a un sistema de servidor de nombres raíz distinto. Los sistemas de servidores de nombres no son máquinas individuales, sino una colección de servidores físicos conectados entre sí como un sistema distribuido. Cada colección de servidores está distribuida geográficamente (una técnica conocida como multihoming ), por lo que es poco probable que un desastre natural afecte al resto de los sistemas En total, hay alrededor de 328 servidores distribuidos directamente involucrados.
Cada red distribuida que representa un servidor de nombres raíz se puede direccionar mediante una única dirección IP, es decir, una de las IP raíz que ha nombrado. Esto es posible a través de una tecnología llamada anycast , que hace que el tráfico enviado a una IP del servidor de nombres raíz se enrute a cualquier servidor participante disponible.
Solotresservidoresdenombresderaíz(B,DyH)noutilizananycast.
LarazónporlaqueanycastesútilenlosescenariosDDoSesquepermitequeunsolosistemadistribuyaeltráficoatravésdemúltiplesmáquinas,conectadasatravésderedesdealtavelocidad.Básicamente,estoactúacomounaformadedividirlaDDoSenpartesmáspequeñas,dondesepuedentratarconmayorfacilidad.
HahabidodosataquesDDoSprincipalescontralosservidoresdenombresraíz.Elprimerofueen2002,dondeunataquedeunahoracausóproblemasimportantes.Despuésdeesto,másservidoresdenombresderaízsemovieronaanycast.En2007,unataquede24horascausóseriosproblemascondosservidoresdenombresyalgunosproblemasderendimientoenotrosdos.Laescaladelataquefueenorme,peroelresultadofueinsignificanteparalosusuariosfinales.
Endefinitiva,laprobabilidaddequealguienrealiceunataqueefectivocontraunsistematanaltamentedistribuidoycuidadosamentemonitoreadoesmínima.CuandosecombinaconlastécnicastradicionalesdemitigacióndeDDoS,comoblack-holing,anycastniegaefectivamentelosataquesdeinundación.Dadoquelossistemasestántanaltamentedistribuidos,losataquesfísicoscontralossitiosdelosservidorestambiénseríaninviables.
Lecturaadicional: