戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2022年 秋期

情報処理安全確保支援士試験 2022年 秋期 午前205

送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスが未使用のIPアドレス空間内のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推定できる攻撃はどれか。
IPアドレスAを攻撃先とするサービス妨害攻撃(正解)
IPアドレスAを攻撃先とするパスワードリスト攻撃
IPアドレスAを攻撃元とするサービス妨害攻撃
IPアドレスAを攻撃元とするパスワードリスト攻撃

解説

送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスが未使用のIPアドレス空間内のIPパケットを大量に観測した場合の攻撃推定【午前2 解説】

要点まとめ

  • 結論:送信元IPアドレスAを攻撃先とするサービス妨害攻撃(DDoSの一種)と推定されます。
  • 根拠:未使用IPアドレス宛のSYN/ACKパケットが大量に観測されるのは、IPアドレス偽装による反射攻撃の典型的な特徴です。
  • 差がつくポイント:送信元ポート80/tcpはWebサーバーを示し、未使用IP宛の応答パケットは攻撃トラフィックの反射元を隠すための偽装である点を理解することが重要です。

正解の理由

選択肢ア「IPアドレスAを攻撃先とするサービス妨害攻撃」が正解です。
送信元IPアドレスがAで、送信元ポート番号が80/tcpのSYN/ACKパケットが大量に観測される状況は、攻撃者がIPアドレスAを偽装して大量のリクエストを送信し、未使用のIPアドレス空間に向けて反射させる反射型DDoS攻撃の典型例です。未使用IPアドレスは応答しないため、SYN/ACKパケットが戻ってこず、攻撃トラフィックがAに集中しサービス妨害が発生します。

よくある誤解

未使用IPアドレス宛のパケットは無意味と考えがちですが、反射攻撃の仕組みを理解すると攻撃の手口が見えてきます。
また、ポート番号80はHTTPサービスを示すため、パスワードリスト攻撃とは異なる攻撃目的であることに注意が必要です。

解法ステップ

  1. 送信元IPアドレスAと送信元ポート80/tcpの意味を確認する。
  2. 宛先IPアドレスが未使用のIPアドレス空間であることから、正常な通信先ではないと判断。
  3. SYN/ACKパケットが大量に観測されている点から、反射型の攻撃を疑う。
  4. 反射攻撃は攻撃元IPを偽装し、攻撃先に大量のトラフィックを送るサービス妨害攻撃であると推定。
  5. 選択肢の中で攻撃先がAでサービス妨害攻撃を示すアを選択。

選択肢別の誤答解説

  • ア: 正解。攻撃先IPアドレスAを狙ったサービス妨害攻撃である。
  • イ: パスワードリスト攻撃は認証試行を繰り返す攻撃であり、SYN/ACKパケット大量観測とは異なる。
  • ウ: 攻撃元がAとするサービス妨害攻撃は誤り。送信元IPアドレスは偽装されているため攻撃先がA。
  • エ: 攻撃元がAのパスワードリスト攻撃は状況と合致しない。ポート80のSYN/ACK大量観測はサービス妨害の兆候。

補足コラム

反射型DDoS攻撃は、攻撃者が送信元IPアドレスを偽装し、未使用や応答しないIPアドレスに大量のリクエストを送ることで、攻撃先に大量の応答パケットを集中させる手法です。これにより攻撃先のネットワークやサービスが過負荷となり、正常な通信が妨害されます。ポート80はWebサービスの標準ポートであり、攻撃者はよく使われるサービスを狙って反射元を選びます。

FAQ

Q: なぜ未使用IPアドレス宛にパケットを送るのですか?
A: 未使用IPアドレスは応答しないため、反射元として機能し、攻撃トラフィックの追跡を困難にします。
Q: SYN/ACKパケットが大量に観測される意味は?
A: 通常は通信の応答ですが、大量に観測される場合は反射攻撃による異常トラフィックの兆候です。
Q: パスワードリスト攻撃とサービス妨害攻撃の違いは?
A: パスワードリスト攻撃は認証情報を狙う攻撃で、サービス妨害攻撃はネットワークやサービスの停止を狙う攻撃です。
関連キーワード: 反射型DDoS攻撃, IPアドレス偽装, SYN/ACKパケット, サービス妨害攻撃, ポート80, 未使用IPアドレス
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ