ライブストリーミングスイッチ（LSS） ーブロードバンドインターネット

情報流通プラットフォーム技術
ライブストリーミングスイッチ（LSS）
ーブロードバンドインターネット配信サーバー
自律分散型移動式ファイアウォール（Moving Firewall）
によるDDoS攻撃対策の研究
ネットワークで見るストリームメディアは、コンテンツ配信や広
分散サービス不能攻撃（DDoS*攻撃）は、2000年2月にインター
告などのブロードバンドビジネスのけん引役として大きな期待が寄
ネットの有名サイトに対して次々と行われたことで広く認知されま
せられています。LSS*1は、ブロードバンド配信を大規模・低コス
したが、それ以前からも行われており、現在もその件数は増加して
トに提供するスプリッタサーバソフトウェアです。スプリッタサー
います。Webなどのサービス提供者は、DDoS攻撃を受けている間、
バでは、1対1通信（ユニキャスト）が基本のIP網であっても、リアル
通常にサービスが提供できなくなるため大きな経済的損失を被りま
タイム配信や蓄積映像データをコピーし、エンドユーザの宛先アド
す。このDDoS攻撃は、悪意のあるデータを攻撃対象のサーバに多
レスに付け替えてユニキャストで大量同時配信が可能となります。
地点から大量に送る攻撃であり、従来のサーバの設置されたサイト
業界標準のウィンドウズメディア（WMT*2）形式によるPCへの配信
だけでの防御システムでは、攻撃を防ぐことも、攻撃中に通常の利用
に加え、TV/DVD品質のMPEG-2形式の配信を初めて実現しました。
者にサービスを継続することも困難でした。特に最近は、DDoS攻撃の
LSSは、スプリッタ（SPL*3）、分散管理ツール（SMS）、品質可視
機能を備えたウイルスが広まるなど状況が悪化してきており、DDoS
化ツール（SQS* 4）の3つのモジュールから構成されます。SPLは、
攻撃からサーバを守るための技術がより求められてきています。
100万人配信やメガビット級の高品質映像配信など、トータル配信
研究所では、このDDoS攻撃の被害を抑止し、攻撃中にも通常の
能力が要求される本格サービスに対して、新しいサーバ構成技術に
利用者へのサービスを継続させるための手段として、Moving
より桁違いのコストダウンを実現しました。汎用OSのボトルネック
Firewallを開発しました。Moving FirewallはISPなどのネットワー
であった通信処理（ソケット処理）をバイパス処理させることにより、
ク上に設置するDDoS攻撃対策システムです。ISPに接続している
一桁上の性能（6Mbit/sコンテンツで100人に同時配信）を引き出す
防御対象であるサーバ近くのMoving Firewallは、DDoS攻撃を検
ことが可能です。また、適応レート制御やパケット再送により、ベ
知すると複数の攻撃元近くのMoving Firewallシステムを探知し、
ストエフォートIP網の輻輳やパケットロスによる映像品質の劣化を
攻撃情報の伝達を行った上で分散的に攻撃を抑止します。このよう
ある程度まで抑えることができます。SMSは、点在するブロードバ
にDDoS攻撃の悪意のあるデータを攻撃者のネットワークに局所的
ンド拠点に配置されたSPLやサーバマシンの稼動状態を集中監視す
に閉じ込めることで、ネットワークに接続された防御したいサーバ
るとともに、障害時にプロセスを自動復旧することにより、フィー
をネットワークで保護します。さらに、Moving Firewallは攻撃元
ルドでの運用コストの削減に大きな効果を発揮します。さらに、
近くでDDoS攻撃のトラヒックを抑えるとともに、不正パターン解
SQSは、業界で初めてユーザごとの視聴品質を推定・表示する機能
析により、善意の利用者には通信路を確保します。すなわち、これ
を実現しました。これにより、コンテンツ提供者への付加価値が加
まで難しかった攻撃被害を抑止しつつ、通常の利用者の利用性低下
わりサービス性が大きく向上することが期待できます。
を防ぐことを可能にしています。
今後は、本格版ブロードバンド配信に向け、プロバイダー向けの
今後は、このシステムの実証実験を通じて、未知のDDoS攻撃へ
プロフェッショナルな運用支援ツールやコミュニティ向けの配信パ
の対応、および正規利用者の保護技術を向上し、キャリア向けのシ
ッケージの開発を計画していきます。
ステムとして実用化する予定です。
（情報流通プラットフォーム研究所）
*1
*2
*3
*4
LSS: Live Streaming Switch
WMT: Windows Media Technologies
SPL: Splitter
SQS: Stream Quality Management System
（情報流通プラットフォーム研究所）
* DDoS: Distributed Denial of Service
●ライブストリーミングスイッチ（LSS）の構成例
LSS-SQS（品質可視化ツール）
LSS-SPL（スプリッタ）
・エンドユーザごとの体感品質を
推定し、3つのレベルで表示が
可能
・コンテンツホルダーへのサービス
性を向上するツール
・ＷＭＴ形式およびMPEG-2形式のブロードバンド
配信をギガビット級で配信するスプリッタサーバソフト
ウェアであり、汎用PCサーバ上でギガビット級の配信
性能を実現
・ベストエフォートIP網での配信であっても、品質劣化
をある程度抑えることができる品質制御機能を実装
●Moving Firewallコンセプト
LSS-SMS（分散管理ツール）
MovingFirewall装置
SQS
・ＳＰＬ、サーバの 状 態 の
集中監視とプロセス自律
復旧機能
・サービス運用品質向上
攻撃防御
SMS
サーバ
SPL
MovingFirewall装置
ルータ／ＳＷ
IPネットワーク
攻撃防御
制御信号（要求、状態）
エンドユーザ
Set Top Box
サービス提供者
ク
ラッ
クト
ッ
バ
ＳＴＢ*による接続
ソフトプレイヤーによる視聴
*STB:
DDoS攻撃者
映像情報ストリーム
エンドユーザ
攻撃検知
映像
SPL
データセンター
エンドユーザ
市販ルータ
エンコーダ
既存Ｉ
Ｐ網
SPL
MovingFirewall装置
DDoS攻撃者
15