ネットワークスペシャリスト 2016年 午前2 問18
問題文
NTPを使った増幅型のDDoS攻撃に対して、NTPサーバが踏み台にされることを防止する対策として、適切なものはどれか。
選択肢
ア:NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。(正解)
イ:NTPサーバの設定変更によって、自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
ウ:ファイアウォールの設定変更によって,NTPサーバが存在するネットワークのブロードキャストアドレス宛てのパケットを拒否する。
エ:ファイアウォールの設定変更によって、自ネットワーク外からの,NTP以外のUDPサービスへのアクセスを拒否する。
NTPを使った増幅型のDDoS攻撃に対する対策【午前2 解説】
要点まとめ
- 結論:NTPサーバの状態確認機能(monlist)を無効にすることが最も効果的な対策です。
- 根拠:monlistは過去の接続情報を返す機能で、これを悪用した増幅攻撃が多発しています。
- 差がつくポイント:単に外部アクセスを制限するだけでなく、攻撃の踏み台となる機能自体を停止することが重要です。
正解の理由
ア: NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。
NTPのmonlist機能は、過去に接続したクライアントのIPアドレスリストを返すもので、これを利用して攻撃者が大量の応答を生成し増幅型DDoS攻撃を仕掛けます。monlistを無効にすることで、攻撃の踏み台にされるリスクを根本的に減らせます。
NTPのmonlist機能は、過去に接続したクライアントのIPアドレスリストを返すもので、これを利用して攻撃者が大量の応答を生成し増幅型DDoS攻撃を仕掛けます。monlistを無効にすることで、攻撃の踏み台にされるリスクを根本的に減らせます。
よくある誤解
monlistを無効にしなくてもファイアウォールで外部アクセスを制限すれば十分と考えがちですが、攻撃は内部からのリクエストを悪用する場合もあり、機能自体の停止が必要です。
解法ステップ
- NTPの増幅型DDoS攻撃の仕組みを理解する(monlist機能の悪用)。
- monlistが攻撃の踏み台となることを把握する。
- monlist機能を無効にする設定が可能か確認する。
- 他の選択肢と比較し、根本的な対策であるかを判断する。
- monlist無効化が最も効果的な対策と結論づける。
選択肢別の誤答解説
- イ: 自ネットワーク外のNTPサーバへの時刻問合せ制限は、攻撃踏み台の防止には直接関係しません。
- ウ: ブロードキャストアドレス宛てのパケット拒否は有効な場合もありますが、monlist機能の悪用を防ぐ根本策ではありません。
- エ: NTP以外のUDPサービスへのアクセス拒否はNTP攻撃対策としては不十分で、monlist無効化に比べ効果が劣ります。
補足コラム
NTPのmonlist機能は古いバージョンで使われていましたが、現在は
ntpdcコマンドの
monlistの代わりに
ntpdc -c mrulistなど新しいコマンドが推奨されています。最新のNTPサーバではこの機能自体が廃止または制限されています。常に最新のセキュリティパッチ適用が重要です。
FAQ
Q: monlist機能を無効にするとNTPの時刻同期に影響はありますか?
A: monlistは時刻同期とは無関係な管理用機能なので、無効にしても時刻同期には影響しません。
A: monlistは時刻同期とは無関係な管理用機能なので、無効にしても時刻同期には影響しません。
Q: ファイアウォールでNTPのUDPポート123を閉じれば攻撃は防げますか?
A: 内部ネットワークからの攻撃もあるため、単にポートを閉じるだけでは不十分です。monlist無効化が必要です。
A: 内部ネットワークからの攻撃もあるため、単にポートを閉じるだけでは不十分です。monlist無効化が必要です。
関連キーワード: NTP, 増幅型DDoS攻撃、monlist, UDP, ファイアウォール、セキュリティ対策
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!