ネットワークスペシャリスト 2017年 午前2 問17
問題文
未使用のIPアドレス空間であるダークネットに到達する通信の観測において、送信元IPアドレスがA、送信元ポート番号が80/tcpのSYN/ACKパケットを受信した場合に想定できる攻撃はどれか。
選択肢
ア:IPアドレスAを攻撃先とするサービス妨害攻撃(正解)
イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
ダークネットで受信した送信元IPがA・送信元ポートが80/tcpのSYN/ACKを観測した場合に想定される攻撃【午前2 解説】
正解の理由
SYN/ACKはTCPの2番目の応答パケットで、通常はクライアント(接続要求元)がSYNを送り、サーバがSYN/ACKで応答します。ダークネット(未使用IP)へSYN/ACKが届く状況は、Aを送信元とするパケットがダークネット宛に返送されている、すなわちAが何らかの方法で多数の宛先にSYNを送っており、それに対する応答(SYN/ACK)が未使用アドレスへ向かっている、あるいはAのIPが偽装されており反射攻撃で多量の応答を生成していることを示します。これらはサービス妨害(DDoS等)に典型的な振る舞いであり、選択肢の「IPアドレスAを攻撃先とするサービス妨害攻撃」が該当します。したがって正解はアです。
解法ステップ
- パケット種類を確認する(ここではSYN/ACK)。TCPハンドシェイクにおける位置づけを把握する。
- 宛先がダークネット(未使用IP)である点を理解する。応答が戻ってくること自体が異常であると判断する。
- 送信元IPと送信元ポートの意味を整理する(送信元ポート80は応答を示唆)。
- 応答がダークネットへ来る原因を列挙(IP偽装による反射、ボットによるスキャンや多数の接続試行の副作用など)。
- これらの原因がサービス妨害(過剰なトラフィック生成や反射増幅)に合致するか評価する。
選択肢別の誤答解説
- ア: IPアドレスAを攻撃先とするサービス妨害攻撃 — 正解。SYN/ACKがダークネットに届く状況は反射や偽装でAが攻撃の対象になっていると解釈できる。
- イ: IPアドレスAを攻撃先とするパスワードリスト攻撃 — 誤り。パスワードリスト攻撃(ブルートフォース)は通常SSHやRDP等への接続試行を伴い、ダークネットへSYN/ACKが返る特徴的兆候ではない。
- ウ: IPアドレスAを攻撃元とするサービス妨害攻撃 — 誤り。観測されているのはダークネット宛の応答であり、送信元Aが攻撃トラフィックを発生させている(=攻撃元)可能性もあるが、この設問文では「送信元IPがA、SYN/ACKを受信した」=Aが攻撃の対象となって応答が発生しているという解釈が妥当で、「攻撃元」と断定するのは不適切。
- エ: IPアドレスAを攻撃元とするパスワードリスト攻撃 — 誤り。パスワードリスト攻撃は認証試行の特徴を持ち、SYN/ACKのダークネット応答という観測とは整合しない。
よくある誤解
- 誤解1: 送信元ポート80/tcpだから「Webサーバが攻撃している」と決めつける。送信元ポートは単にパケットの送信元ポートを示すだけで、攻撃の主体や目的は別に判断する必要があります。
- 誤解2: ダークネットに届く応答=攻撃がダークネットを狙っている。実際はダークネットは観測用で、ここに届く応答は第三者の通信の副産物であり、攻撃対象は観測された送信元IPの可能性が高いです。
- 誤解3: SYN/ACKが来ているから必ずDDoSの反射攻撃とは限らないが、未使用宛先での大量応答は妨害系の兆候と考えるのが妥当です。
補足コラム
- ダークネット観測の意義:未割当IPに向かうパケットは正当な通信ではないため、スキャン、ミスルーティング、反射攻撃、IP偽装などの早期検出に有用です。
- SYN/ACKが大量に観測されるケース:反射型DDoS(例えばHTTP/HTTPSを悪用した反射)では、送信元ポートが80や443になることがあり、被害者IPが偽装されることで第三者(ダークネット含む)に応答が波及します。
- ログ分析ポイント:到達時間、頻度、送信元IPの分布、送信元ポート、TTL値の比較などから偽装やボットの特徴を分析できます。
FAQ
Q1: なぜ送信元ポートが80/tcpのSYN/ACKが重要なのですか?
A1: 80/tcpはHTTPの標準ポートで、SYN/ACKはサーバ側の応答です。ダークネットにSYN/ACKが届くということは、本来対話しているはずのクライアントが存在しないため、反射や偽装など異常な通信経路を疑います。
A1: 80/tcpはHTTPの標準ポートで、SYN/ACKはサーバ側の応答です。ダークネットにSYN/ACKが届くということは、本来対話しているはずのクライアントが存在しないため、反射や偽装など異常な通信経路を疑います。
Q2: 送信元がAなら必ずAが攻撃対象ですか?
A2: ほとんどの場合、ダークネットに送られる応答の「送信元IPがA」はAが攻撃対象であることを示す重要な手がかりですが、IP偽装もあり得るため追加の相関分析が必要です。
A2: ほとんどの場合、ダークネットに送られる応答の「送信元IPがA」はAが攻撃対象であることを示す重要な手がかりですが、IP偽装もあり得るため追加の相関分析が必要です。
Q3: どのような対処が考えられますか?
A3: ネットワーク境界でのフィルタリング、ISPへの報告、被害トラフィックの相関分析、TTLやパケット指紋から偽装の有無を調査することが有効です。
A3: ネットワーク境界でのフィルタリング、ISPへの報告、被害トラフィックの相関分析、TTLやパケット指紋から偽装の有無を調査することが有効です。
関連キーワード: ダークネット観測、SYN/ACK、反射攻撃、DDoS、IP偽装、TCPハンドシェイク、ネットワークフォレンジック

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

