ネットワークスペシャリスト 2023年 午前2 問17
問題文
NTPを使った増幅型のDDoS攻撃に対して、NTPサーバが踏み台にされることを防止する対策の一つとして、適切なものはどれか。
選択肢
ア:NTPサーバの設定変更によって、NTPサーバの状態確認機能(monlist)を無効にする。(正解)
イ:NTPサーバの設定変更によって、自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
ウ:ファイアウォールの設定変更によって、NTPサーバが存在するネットワークのブロードキャストアドレス宛てのパケットを拒否する。
エ:ファイアウォールの設定変更によって、自ネットワーク外からのUDPサービスへのアクセスはNTPだけを許す。
NTPを使った増幅型のDDoS攻撃に対する対策【午前2 解説】
要点まとめ
- 結論:NTPサーバの状態確認機能「monlist」を無効にすることが増幅型DDoS攻撃の踏み台防止に有効です。
- 根拠:「monlist」は過去に接続したクライアントのIPアドレス一覧を返し、攻撃者がこれを悪用して大量の応答を生成します。
- 差がつくポイント:単に外部アクセス制限やブロードキャスト拒否だけでは不十分で、NTPサーバ自体の設定変更が必要です。
正解の理由
ア: NTPサーバの状態確認機能(monlist)を無効にする。
この機能はNTPの旧バージョンで利用され、攻撃者が小さなリクエストで大量の応答を得る増幅攻撃の原因となります。無効化することで踏み台にされるリスクを大幅に減らせます。
この機能はNTPの旧バージョンで利用され、攻撃者が小さなリクエストで大量の応答を得る増幅攻撃の原因となります。無効化することで踏み台にされるリスクを大幅に減らせます。
よくある誤解
NTPサーバへの外部アクセスを制限すれば十分と考えがちですが、攻撃者は内部ネットワークのNTPサーバを悪用するため、設定変更が不可欠です。
解法ステップ
- NTPの増幅型DDoS攻撃の仕組みを理解する(monlist機能の悪用)。
- 攻撃に使われるNTPサーバの特徴を把握する。
- monlist機能が攻撃の踏み台になることを認識する。
- monlist機能を無効にする設定方法を確認する。
- 選択肢の中でmonlist無効化を示すものを選ぶ。
選択肢別の誤答解説
- イ: 自ネットワーク外のNTPサーバへの時刻問合せ制限は攻撃防止に直接関係しません。
- ウ: ブロードキャストアドレス宛のパケット拒否は一般的なセキュリティ対策ですが、NTP増幅攻撃の根本対策ではありません。
- エ: UDPサービスへのアクセス制限は有効ですが、NTPのmonlist機能を無効にしなければ増幅攻撃は防げません。
補足コラム
NTPのmonlist機能はNTPv3以前の古い機能で、NTPv4では「ntpdc」コマンドの代替として「ntpq -c rv」などが使われています。最新のNTPサーバではmonlistを無効にするか、アップデートで対応することが推奨されています。
FAQ
Q: monlist機能を無効にすると時刻同期に影響はありますか?
A: いいえ、monlistは状態確認用の機能であり、時刻同期自体には影響しません。
A: いいえ、monlistは状態確認用の機能であり、時刻同期自体には影響しません。
Q: NTP以外に増幅型DDoS攻撃で使われるプロトコルはありますか?
A: はい、DNSやSNMPなども増幅攻撃に悪用されることがあります。
A: はい、DNSやSNMPなども増幅攻撃に悪用されることがあります。
関連キーワード: NTP, DDoS攻撃、増幅攻撃、monlist, UDP, ファイアウォール、セキュリティ対策
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!