ホーム > 情報処理安全確保支援士試験 > 2014年 春期
情報処理安全確保支援士試験 2014年 春期 午前2 問12
脆弱性検査で、対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち、適切なものはどれか。
ア:対象ポートに SYNパケットを送信し、対象ホストから “RST/ACK” パケットを受信するとき、対象ポートが開いていると判定する。
イ:対象ポートに SYNパケットを送信し、対象ホストから “SYN/ACK” パケットを受信するとき、対象ポートが閉じていると判定する。
ウ:対象ポートに UDPパケットを送信し、対象ホストからメッセージ “port unreachable” を受信するとき、対象ポートが閉じていると判定する。(正解)
エ:対象ポートに UDPパケットを送信し、対象ホストからメッセージ “port unreachable” を受信するとき、対象ポートが開いていると判定する。
解説
脆弱性検査におけるポートスキャンの判定方法【午前2 解説】
要点まとめ
- 結論:UDPパケット送信後に「port unreachable」メッセージを受信した場合、対象ポートは閉じていると判定します。
- 根拠:UDPはコネクションレスで応答がない場合は開いている可能性が高く、ICMPの「port unreachable」は閉じている証拠です。
- 差がつくポイント:TCPのSYN/ACKやRST/ACKの意味を正確に理解し、UDPの応答の有無で開閉を判断する点が重要です。
正解の理由
UDPポートスキャンでは、対象ポートにUDPパケットを送信し、応答がなければポートが開いている可能性が高いと判断します。一方、対象ホストからICMPの「port unreachable」メッセージが返ってきた場合は、そのポートが閉じていることを示します。
したがって、「対象ポートにUDPパケットを送信し、対象ホストからメッセージ ‘port unreachable’ を受信するとき、対象ポートが閉じていると判定する」ウが正解です。
したがって、「対象ポートにUDPパケットを送信し、対象ホストからメッセージ ‘port unreachable’ を受信するとき、対象ポートが閉じていると判定する」ウが正解です。
よくある誤解
TCPのSYNパケットに対する応答の意味を誤解しやすく、RST/ACKを受け取ると開いていると誤判断することがあります。UDPは応答がないことが開いている証拠である点も混同しやすいです。
解法ステップ
- ポートスキャンの種類(TCPかUDPか)を確認する。
- TCPの場合、SYNパケット送信後の応答パケットの種類を理解する。
- UDPの場合、ICMPの「port unreachable」メッセージの意味を把握する。
- 応答の有無と内容からポートの状態を判定する。
- 選択肢の説明と照らし合わせて正しい判定方法を選ぶ。
選択肢別の誤答解説
- ア: TCPのSYNパケットに対しRST/ACKが返る場合はポートが閉じていることを示すため誤り。
- イ: SYN/ACKが返る場合はポートが開いているため、閉じていると判定するのは誤り。
- ウ: UDPパケット送信後に「port unreachable」メッセージを受信した場合、ポートは閉じていると判定するため正解。
- エ: 「port unreachable」メッセージはポートが閉じていることを示すため、開いていると判定するのは誤り。
補足コラム
TCPポートスキャンでは、SYNスキャンが一般的で、SYNパケットに対してSYN/ACKが返ればポートは開いており、RST/ACKが返れば閉じています。UDPはコネクションレスのため応答がないことが多く、ICMPの「port unreachable」メッセージが返るかどうかで判定します。これらの違いを理解することが脆弱性検査の基本です。
FAQ
Q: なぜUDPポートは応答がないと開いていると判断するのですか?
A: UDPはコネクションレスで応答が必須ではないため、応答がない場合はポートが開いているか、フィルタリングされている可能性があります。
A: UDPはコネクションレスで応答が必須ではないため、応答がない場合はポートが開いているか、フィルタリングされている可能性があります。
Q: TCPのRST/ACKパケットは何を意味しますか?
A: RST/ACKは接続拒否を示し、ポートが閉じていることを意味します。
A: RST/ACKは接続拒否を示し、ポートが閉じていることを意味します。
関連キーワード: ポートスキャン, UDPポートスキャン, TCP SYNスキャン, ICMP port unreachable, 脆弱性検査, ネットワークセキュリティ