さくら、「レンタルサーバ」サービスに国外IPフィルタ設定を適用へ：OpenFlowを活用したDDoS対策機能も提供予定

　さくらインターネットは2014年3月10日、不正アクセス対策を目的に、「さくらのレンタルサーバ」サービスにおいて、国外IPアドレスからのアクセスを制限する「国外IPフィルタ設定」機能を提供することを明らかにした。2014年3月13日より順次、設定作業を開始する。

　国外IPフィルタ機能の対象となるのは、「さくらのマネージドサーバ」「さくらのメールボックス」も含む「さくらのレンタルサーバ」サービスだ。FTP、SSH、SMTP（SMTP認証、POP before SMTP時を含む）、WebDAVの各プロトコルに加え、HTTP／HTTPSではWordPress環境の/wp-admin/wp-login.phpやMovableTypeのmt.cgi、/phpmyadmin/php.cgi、admin.cgiなど、主要なWebアプリケーションの設定データが保管されているディレクトリへの海外からの接続を制限する。詳細な適用範囲の情報はオンラインサポートで提供するという。

　国外IPフィルタ機能はデフォルトで「オン」となるが、海外から接続する必要のある場合などは無効化することも可能だという。

OpenFlowとvoltDBを活用したDDoS対策も

　さくらインターネットはまた、今期（3月末）中をめどに、OpenFlowを活用したDDoS対策機能を実装する計画だ。OpenFlowを活用して、攻撃パケットとそうでない正常なパケットを別のフローとして処理することにより、サービスを継続しつつ攻撃のみを遮断することが特徴。2014年2月19日に実施した「さくらの夕べ」において、同社代表取締役社長の田中邦裕氏は、全サービスを対象に、オプションではなく「標準サービスとして提供する」と述べた。

　サービスプロバイダーにとってDDoS対策は頭の痛い問題だ。特に最近は、DNSやNTPといったインターネットで普遍的に使われているプロトコルの実装や設定上の脆弱性を悪用し、パケットを何倍にも増幅させて攻撃する手法が登場した。この結果、数十Gbps単位から数百Gbps単位というこれまでには考えられなかった規模のDDoS攻撃が発生している。

　さくらインターネット 運用部 技術チーム 東常行氏によると、同社にも2013年夏、40Gbps超クラスのDDoS攻撃が押し寄せたことがあったそうだ。また最近は、話題のNTPを悪用した攻撃も受けているという。

さくらインターネット 運用部 技術チーム 東常行氏

　東氏によると、4〜5年前までは、実際にDDoS攻撃が発生してからしか対処できなかった。「DDoSを検知するのは、ICMP監視エラーやSNMPの帯域監視のアラート、あるいはお客さまからの申告がきっかけで、DDoS自体の監視はできていなかった。輻輳が発生して実際にエラーが生じない限り、攻撃を把握できなかった」という。

　運用チームでは輻輳を確認したら宛先IPアドレスを特定し、そのパケットの内容を確認。「UDP lengthが0」などの特徴を持つ、明らかに不正なパケットであると判明すれば、その宛先のパケットを全てBGPで特殊なアドレスに流し込む「Remotely Triggered Black Hole」（RTBH）という手法を適用して対処することで、「つかの間の平和」を得ていたという。

　ただ、この処理では「正規のトラフィックも巻き添えになる」（東氏）ことが難点だった。輻輳は避けられても、外部との通信が全く行えなくなるという副作用が生じるが、同社が預かっている他のサーバーなどへの影響を考慮し、やむを得ずこうした対策を取っていた。

　しかも、この方法では攻撃発生後に事後的な対処しかできない。何とか予防的にDDoS攻撃に対処できないかと考え2〜3年前に採用したのが、sFlowによるDDoS検出アラートの仕組みだ。sFlowを用いて5分ごとにトラフィックの統計を取り、DDoSと思われる攻撃が一定のしきい値を超えた場合にアラートを出すという方式だ。

　これで少しは能動的にDDoS攻撃を検出できるようになった上、さくらインターネット側から外に出て行く攻撃パケットも検出できるようになった。ただ、統計を基にトラフィック量やパケット数の推移で攻撃を検出するため、誤検出が発生するという課題があった。加えて、「5分ごとの集計のため、最低でも5分間経過するまで攻撃に気付けない。中にはほんの一瞬で終わってしまうDDoSも多々あって、それには気付けなかった」（東氏）。

　こうした課題を踏まえて現在では、インメモリデータベースの「voltDB」を活用し、高速に集計、解析を行って「リアルタイム」にDDoSを検出するシステムを導入しているという。運用面でもWebインタフェースを用意し、手動で設定ファイルをコピー＆ペーストすることなく、ワンクリックでRTBHを実施し、対処できるようにした。

　これらの対応に加え、今後は冒頭で言及した通りOpenFlowも活用する。ボーダーとアグリゲーション、データセンター側のコアの各ポイントに設置したルーターとOpenFlowのスイッチを接続し、OpenFlowコントローラーからの制御によってDDoSパケットはドロップしつつ、正常なトラフィックのみを通すようクリーニングする。

　「DDoSを落としつつ、きれいなパケットはそのまま流して、攻撃先のサービスを使える状態にする。従来のやり方ではどうしても通信を遮断せざるを得なかったが、新しい方式ではDoSを遮断しつつサービスを守り、継続させることができるようになる」（東氏）。特にVPS環境では、RTBHによってDDoS対策が実施されると、攻撃のターゲットとなったサーバーのみならず周囲のサーバーも巻き添えになっていたが、「新しい方式では、そうした事態を防ぐことができる」と田中氏は述べている。

　ちなみに、東氏によると最近は、帯域を食いつぶす代わりに、大量のショートパケットを送り付けてパケット処理能力をオーバーさせる攻撃が増えてきたそうだ。また、「最近話題のNTPを悪用した攻撃については、多数受けただけでなく、実はさくらインターネットのネットワークからも攻撃を出していたことが分かった」という。

　原因は、ハンズオントレーニングのために一時的しか使わないはずのクラウド環境だったそうで、「気軽に作ると大変なことになる」と同氏は警鐘を鳴らしている。なお同社は、NTPサーバに対し適切なアクセス制限を行うよう呼び掛ける注意喚起を公開している。