ホーム > 情報処理安全確保支援士試験 > 2016年 秋期
情報処理安全確保支援士試験 2016年 秋期 午前2 問02
NTPリフレクション攻撃の特徴はどれか。
ア:攻撃対象であるNTPサーバに高頻度で時刻を問い合わせる。
イ:攻撃対象であるNTPサーバの時刻情報を書き換える。
ウ:送信元を偽ってNTPサーバにecho requestを送信する。
エ:送信元を偽ってNTPサーバにレスポンスデータが大きくなる要求を送信する。(正解)
解説
NTPリフレクション攻撃の特徴はどれか【午前2 解説】
要点まとめ
- 結論:NTPリフレクション攻撃は送信元IPを偽装し、大きなレスポンスを返す要求を送る攻撃です。
- 根拠:NTPサーバのモニリクエストなど大きなレスポンスを返す機能を悪用し、攻撃対象に大量のトラフィックを集中させます。
- 差がつくポイント:送信元偽装とレスポンスの増幅効果を理解し、単なる高頻度アクセスや時刻改ざんとは異なる点を押さえることが重要です。
正解の理由
NTPリフレクション攻撃は、攻撃者が送信元IPアドレスを攻撃対象に偽装し、NTPサーバに対してレスポンスが大きくなる特定の要求(例えばモニリクエスト)を送信します。NTPサーバはその要求に対して大きなレスポンスを偽装された送信元(攻撃対象)に返すため、攻撃対象に大量のトラフィックが集中し、サービス妨害(DDoS)を引き起こします。
したがって、「送信元を偽ってNTPサーバにレスポンスデータが大きくなる要求を送信する」エが正解です。
したがって、「送信元を偽ってNTPサーバにレスポンスデータが大きくなる要求を送信する」エが正解です。
よくある誤解
NTPリフレクション攻撃は単にNTPサーバに高頻度でアクセスする攻撃ではなく、送信元偽装とレスポンス増幅を組み合わせた攻撃です。時刻情報を書き換える攻撃ではありません。
解法ステップ
- NTPリフレクション攻撃の基本構造を理解する(送信元偽装+増幅)。
- 選択肢の内容を「送信元偽装」「レスポンスの大きさ」「攻撃対象の役割」で分類する。
- 「送信元偽装」と「レスポンスが大きくなる要求」を含む選択肢を探す。
- それが「エ」であることを確認し、正解とする。
選択肢別の誤答解説
- ア: 高頻度で時刻を問い合わせるだけではリフレクション攻撃の特徴を満たしません。単なる負荷増加であり偽装も増幅もありません。
- イ: NTPサーバの時刻情報を書き換える攻撃は別の攻撃手法であり、リフレクション攻撃の特徴ではありません。
- ウ: 送信元を偽ってecho requestを送るのはICMPリフレクション攻撃の特徴であり、NTPリフレクション攻撃とは異なります。
- エ: 送信元偽装とレスポンス増幅を組み合わせており、NTPリフレクション攻撃の典型的な特徴です。
補足コラム
NTPリフレクション攻撃はDDoS攻撃の一種で、NTPサーバの「monlist」コマンドなどを悪用します。monlistは過去に接続したクライアントのリストを返すため、リクエストに対してレスポンスが非常に大きくなり、攻撃の増幅効果が高いです。現在は多くのNTPサーバでこの機能が無効化されていますが、依然として注意が必要です。
FAQ
Q: なぜ送信元IPを偽装するのですか?
A: 攻撃対象に大量のレスポンスを送りつけるため、送信元IPを攻撃対象に偽装してNTPサーバからのレスポンスを集中させます。
A: 攻撃対象に大量のレスポンスを送りつけるため、送信元IPを攻撃対象に偽装してNTPサーバからのレスポンスを集中させます。
Q: NTPリフレクション攻撃はどのように防止できますか?
A: NTPサーバで不要なモニリクエスト機能を無効化し、IPアドレスの送信元偽装を防ぐためにISPレベルでのフィルタリングを行うことが有効です。
A: NTPサーバで不要なモニリクエスト機能を無効化し、IPアドレスの送信元偽装を防ぐためにISPレベルでのフィルタリングを行うことが有効です。
関連キーワード: NTPリフレクション攻撃, DDoS攻撃, IP偽装, モニリクエスト, ネットワークセキュリティ