ネットワークスペシャリスト 2017年 午前2 問17
問題文
未使用のIPアドレス空間であるダークネットに到達する通信の観測において、送信元IPアドレスがA、送信元ポート番号が80/tcpのSYN/ACKパケットを受信した場合に想定できる攻撃はどれか。
選択肢
ア:IPアドレスAを攻撃先とするサービス妨害攻撃
イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
ダークネットに到達するSYN/ACKパケットの観測から推測される攻撃【午前2 解説】
要点まとめ
- 結論:送信元IPアドレスAからのSYN/ACKパケットは、IPアドレスAを攻撃元とするサービス妨害攻撃(ウ)が想定される。
- 根拠:SYN/ACKはTCPの3ウェイハンドシェイクの応答であり、未使用IP(ダークネット)に送られることは通常ありえず、IP偽装による反射攻撃の兆候である。
- 差がつくポイント:送信元ポート80/tcpのSYN/ACKがダークネットに届く意味を理解し、攻撃元・攻撃先の区別と攻撃手法の特徴を正確に把握すること。
正解の理由
SYN/ACKパケットはTCP接続の応答であり、通常はクライアントからのSYNに対するサーバの応答です。未使用のIPアドレス空間(ダークネット)にSYN/ACKが届く場合、これは攻撃者がIPアドレスAを偽装して大量のSYNパケットを送信し、応答として返ってきたSYN/ACKがダークネットに届いている状態を示します。つまり、IPアドレスAは攻撃元であり、サービス妨害攻撃(DDoSの一種)に利用されていると考えられます。
よくある誤解
- SYN/ACKパケットが攻撃先から送られてくると誤解しやすいが、実際は攻撃元のIPアドレスを偽装している場合が多い。
- ポート番号80/tcpはHTTPサーバの標準ポートであり、攻撃の種類を判断する重要な手がかりとなる。
解法ステップ
- ダークネットとは未使用のIPアドレス空間であることを確認する。
- SYN/ACKパケットの意味を理解し、TCPの3ウェイハンドシェイクの応答であることを認識する。
- 送信元IPアドレスAが攻撃元か攻撃先かを考える。
- ダークネットにSYN/ACKが届く状況は、IP偽装による反射型サービス妨害攻撃の可能性が高いと判断する。
- 選択肢の中から「IPアドレスAを攻撃元とするサービス妨害攻撃(ウ)」を選ぶ。
選択肢別の誤答解説
- ア: IPアドレスAを攻撃先とするサービス妨害攻撃
→ ダークネットにSYN/ACKが届く場合、Aは攻撃元の可能性が高く、攻撃先ではない。 - イ: IPアドレスAを攻撃先とするパスワードリスト攻撃
→ パスワードリスト攻撃は通常SYN/ACKとは関係なく、認証試行が主体。 - ウ: IPアドレスAを攻撃元とするサービス妨害攻撃
→ 正解。IP偽装による反射攻撃の特徴に合致する。 - エ: IPアドレスAを攻撃元とするパスワードリスト攻撃
→ パスワードリスト攻撃は攻撃元・攻撃先の区別はあるが、SYN/ACKの観測とは関連が薄い。
補足コラム
ダークネットは未割り当てのIPアドレス空間であり、通常は通信が発生しません。ここにパケットが届く場合は、IP偽装やスキャン、反射攻撃の兆候とされます。反射攻撃は攻撃者が送信元IPを偽装し、第三者のサーバから攻撃対象に大量の応答を送らせる手法で、サービス妨害攻撃の一種です。ポート80/tcpはHTTPサービスの標準ポートであり、攻撃者がHTTPサーバを悪用している可能性があります。
FAQ
Q: なぜダークネットにパケットが届くことが攻撃の兆候になるのですか?
A: ダークネットは未使用のIP空間であり、通常通信がないため、ここに届くパケットはIP偽装や攻撃の痕跡と判断されます。
A: ダークネットは未使用のIP空間であり、通常通信がないため、ここに届くパケットはIP偽装や攻撃の痕跡と判断されます。
Q: SYN/ACKパケットはどのような攻撃で使われますか?
A: SYN/ACKは反射型DDoS攻撃で、攻撃者が偽装したIPアドレスに対して大量のSYNを送信し、応答のSYN/ACKを攻撃対象に送らせる手法で使われます。
A: SYN/ACKは反射型DDoS攻撃で、攻撃者が偽装したIPアドレスに対して大量のSYNを送信し、応答のSYN/ACKを攻撃対象に送らせる手法で使われます。
関連キーワード: ダークネット、SYN/ACKパケット、反射型DDoS攻撃、IP偽装、サービス妨害攻撃、TCP三者間ハンドシェイク
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!