ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問10
NTPを使った増幅型のDDoS攻撃に対して,NTPサーバが踏み台にされることを防止する対策として、適切なものはどれか。
ア:NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。(正解)
イ:NTPサーバの設定変更によって,自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
ウ:ファイアウォールの設定変更によって,NTPサーバが存在する自ネットワークのブロードキャストアドレス宛てのパケットを拒否する。
エ:ファイアウォールの設定変更によって,自ネットワーク外からの,NTP以外のUDPサービスへのアクセスを拒否する。
解説
NTPを使った増幅型のDDoS攻撃に対する対策【午前2 解説】
要点まとめ
- 結論:NTPサーバの状態確認機能(monlist)を無効にすることが最も効果的な対策です。
- 根拠:monlistは過去の接続情報を返す機能で、これを悪用されると大量の応答パケットが送信され増幅攻撃の踏み台になります。
- 差がつくポイント:単に外部アクセスを制限するだけでなく、攻撃の根源となる機能自体を無効化することが重要です。
正解の理由
ア: NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。
NTPのmonlistコマンドは、過去に接続したクライアントのIPアドレスリストを返す機能で、これが増幅型DDoS攻撃の踏み台に悪用されます。monlistを無効にすることで、攻撃者が大量の応答を引き出せなくなり、攻撃の拡大を防止できます。
NTPのmonlistコマンドは、過去に接続したクライアントのIPアドレスリストを返す機能で、これが増幅型DDoS攻撃の踏み台に悪用されます。monlistを無効にすることで、攻撃者が大量の応答を引き出せなくなり、攻撃の拡大を防止できます。
よくある誤解
NTPサーバへの外部アクセスを単に制限するだけでは、内部ネットワークからの攻撃や設定ミスによる悪用を完全に防げません。monlist機能の無効化が根本的な対策です。
解法ステップ
- NTPの増幅型DDoS攻撃の仕組みを理解する(monlist機能の悪用)。
- 攻撃の踏み台となるNTPサーバの機能を特定する(monlist)。
- monlist機能を無効にする設定方法を確認する。
- 他の選択肢が攻撃防止に直接効果があるか検討する。
- monlist無効化が最も効果的な対策であると判断する。
選択肢別の誤答解説
- ア: 正解。monlist機能を無効にし、増幅攻撃の踏み台を防止する。
- イ: 自ネットワーク外のNTPサーバへの時刻問い合わせ制限は、攻撃防止には直接関係しない。
- ウ: ブロードキャストアドレス宛てのパケット拒否は有効な場合もあるが、NTP増幅攻撃の根本対策ではない。
- エ: NTP以外のUDPサービスへのアクセス拒否は範囲が広すぎて、NTP増幅攻撃対策としては不適切。
補足コラム
NTP(Network Time Protocol)は時刻同期のためのプロトコルですが、monlistコマンドは過去のクライアント情報を返すため、攻撃者が偽装IPアドレスを使い大量の応答を引き出す増幅攻撃に利用されやすいです。最新のNTPサーバではmonlistの代わりにより安全な機能が推奨されています。
FAQ
Q: monlist機能を無効にすると時刻同期に影響はありますか?
A: monlistは時刻同期には不要な機能なので、無効化しても時刻同期自体には影響ありません。
A: monlistは時刻同期には不要な機能なので、無効化しても時刻同期自体には影響ありません。
Q: 増幅型DDoS攻撃とは何ですか?
A: 小さなリクエストに対して大きな応答を返す仕組みを悪用し、攻撃対象に大量のトラフィックを送りつける攻撃手法です。
A: 小さなリクエストに対して大きな応答を返す仕組みを悪用し、攻撃対象に大量のトラフィックを送りつける攻撃手法です。
関連キーワード: NTP, 増幅型DDoS攻撃, monlist, ネットワークセキュリティ, ファイアウォール設定