ネットワークスペシャリスト 2019年午前2 問18

問題文

送信元IPアドレスがA、送信元ポート番号が80/tcpのSYN/ACKパケットを、未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合、推定できる攻撃はどれか。

選択肢

ア：IPアドレスAを攻撃先とするサービス妨害攻撃（正解）

イ：IPアドレスAを攻撃先とするパスワードリスト攻撃

ウ：IPアドレスAを攻撃元とするサービス妨害攻撃

エ：IPアドレスAを攻撃元とするパスワードリスト攻撃

送信元IPアドレスがA、送信元ポート番号が80/tcpのSYN/ACKパケットを、未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合、推定できる攻撃はどれか。【午前2 解説】

要点まとめ

結論：送信元IPアドレスAを攻撃先とするサービス妨害攻撃（ア）が正解です。
根拠：ダークネットは未使用のIPアドレス空間であり、そこに大量のSYN/ACKパケットが届くのは、IPアドレスAが攻撃対象であることを示します。
差がつくポイント：送信元が攻撃先のIPアドレスであること、SYN/ACKパケットの意味、ダークネットの役割を正確に理解することが重要です。

正解の理由

送信元IPアドレスがAで、送信元ポート番号が80/tcpのSYN/ACKパケットがダークネットに大量に届く状況は、IPアドレスAが攻撃の標的であることを示しています。
これは、IPアドレスAが第三者により偽装され、攻撃者がサービス妨害攻撃（特にSYNフラッド攻撃の反射攻撃）を仕掛けている可能性が高いです。
ダークネットは通常通信が発生しないため、そこに届くパケットは異常なトラフィックであり、攻撃の痕跡と判断されます。
したがって、送信元IPアドレスAは攻撃先であり、サービス妨害攻撃（ア）が正解です。

よくある誤解

送信元IPアドレスが攻撃元だと誤解しやすいですが、IP偽装により攻撃先を示す場合があります。
SYN/ACKパケットは通信の応答であり、単なるパスワードリスト攻撃とは異なります。

解法ステップ

ダークネットの意味を理解する（未使用IPアドレス空間で通常通信はない）
SYN/ACKパケットの役割を確認する（TCP接続の応答パケット）
送信元IPアドレスが攻撃先を示す可能性を考慮する（IP偽装の可能性）
大量のSYN/ACKパケットがダークネットに届く状況から攻撃の種類を推定する
選択肢の中で攻撃先が送信元IPアドレスAで、サービス妨害攻撃に該当するものを選ぶ

選択肢別の誤答解説

イ: パスワードリスト攻撃は認証試行が主体であり、SYN/ACKパケットの大量送信とは関連しません。
ウ: 攻撃元がIPアドレスAとするサービス妨害攻撃は誤り。送信元IPは偽装されている可能性が高く、攻撃先を示します。
エ: パスワードリスト攻撃は通常TCP接続の確立後に行われるため、SYN/ACKパケットの大量観測とは無関係です。

補足コラム

ダークネットモニタリングは、未使用IPアドレスに届く異常なトラフィックを検知し、攻撃の兆候を早期に発見する手法です。
SYNフラッド攻撃はTCP接続の初期段階で大量のSYNパケットを送る攻撃ですが、反射攻撃ではSYN/ACKパケットが大量に送られることもあります。
IPアドレスの偽装（スプーフィング）は攻撃者が自身の正体を隠すために用いる技術であり、攻撃の解析で重要なポイントです。

FAQ

Q: なぜダークネットにパケットが届くことが攻撃の兆候になるのですか？
A: ダークネットは通常通信が発生しないため、そこに届くパケットは異常なトラフィックであり、攻撃やスキャンの痕跡と判断されます。

Q: SYN/ACKパケットが大量に観測される攻撃とは何ですか？
A: 反射型のサービス妨害攻撃（DDoS攻撃）で、攻撃者が第三者を利用して標的に大量のSYN/ACKパケットを送らせる手法です。

関連キーワード: ダークネット、SYN/ACKパケット、サービス妨害攻撃、IPスプーフィング、反射攻撃

← 前の問題へ次の問題へ →

\ せっかくなら /

ネットワークスペシャリストを
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！