ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問05
送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推定できる攻撃はどれか。
ア:IPアドレスAを攻撃先とするサービス妨害攻撃(正解)
イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
解説
送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推定できる攻撃はどれか【午前2 解説】
要点まとめ
- 結論:送信元IPアドレスAを攻撃対象としたサービス妨害攻撃(DoS攻撃)が推定されます。
- 根拠:未使用のIPアドレス宛にSYN/ACKパケットが大量に送られるのは、IPアドレスAが偽装されている反射型攻撃の特徴です。
- 差がつくポイント:送信元ポート80/tcpはHTTPサーバーを示し、反射攻撃の踏み台として悪用されることを理解することが重要です。
正解の理由
この問題は、未使用のIPアドレス宛に大量のSYN/ACKパケットが観測されている点に注目します。未使用のIPアドレスは応答しないため、これらのパケットは本来の送信先ではなく、送信元IPアドレスAを狙った攻撃の一部と考えられます。送信元ポート番号が80/tcpであることから、HTTPサーバーを踏み台にした反射型のサービス妨害攻撃(DoS攻撃)が推測されます。つまり、攻撃者はIPアドレスAを偽装し、HTTPサーバーに大量のSYNパケットを送信、HTTPサーバーはSYN/ACKで応答しますが、その応答先は未使用IPアドレスであり、結果的にIPアドレスAに大量の応答が返ることでサービス妨害が発生します。よって「ア」が正解です。
よくある誤解
SYN/ACKパケットの大量観測は必ずしも攻撃元のIPアドレスが本物とは限らず、偽装されていることが多い点を見落としがちです。
また、パスワードリスト攻撃は通常、認証試行のログなどで検知されるため、今回のパケット特徴とは異なります。
また、パスワードリスト攻撃は通常、認証試行のログなどで検知されるため、今回のパケット特徴とは異なります。
解法ステップ
- パケットの送信元IPアドレスと宛先IPアドレスを確認する。
- 宛先IPアドレスが未使用であることから、正常な通信先ではないと判断。
- 送信元ポート番号80/tcpがHTTPサーバーを示すことを理解。
- SYN/ACKパケットの大量観測は反射型DoS攻撃の特徴であると推定。
- 攻撃対象は送信元IPアドレスAであるため、選択肢から「ア」を選ぶ。
選択肢別の誤答解説
- ア: IPアドレスAを攻撃先とするサービス妨害攻撃
→ 正解。反射型DoS攻撃の典型的な特徴を示している。 - イ: IPアドレスAを攻撃先とするパスワードリスト攻撃
→ パスワードリスト攻撃は認証試行が主体であり、SYN/ACKパケットの大量観測とは関連しない。 - ウ: IPアドレスAを攻撃元とするサービス妨害攻撃
→ 攻撃元ではなく攻撃対象がAであるため誤り。 - エ: IPアドレスAを攻撃元とするパスワードリスト攻撃
→ 攻撃元の誤認とパスワードリスト攻撃の特徴が合致しない。
補足コラム
反射型サービス妨害攻撃(反射型DoS攻撃)は、攻撃者が第三者のサーバーを踏み台にして攻撃対象に大量の応答パケットを送らせる手法です。送信元IPアドレスを偽装し、攻撃対象に負荷をかけるため、攻撃元の特定が困難になります。HTTP(ポート80)やDNS(ポート53)などのサービスがよく悪用されます。
FAQ
Q: なぜ未使用のIPアドレス宛にパケットが送られるのですか?
A: 攻撃者が送信元IPアドレスを偽装し、反射サーバーからの応答が攻撃対象に集中するように仕組んでいるためです。
A: 攻撃者が送信元IPアドレスを偽装し、反射サーバーからの応答が攻撃対象に集中するように仕組んでいるためです。
Q: SYN/ACKパケットが大量に観測されると何が問題ですか?
A: 攻撃対象のネットワークやサーバーに過剰な負荷がかかり、正常なサービス提供が妨害される恐れがあります。
A: 攻撃対象のネットワークやサーバーに過剰な負荷がかかり、正常なサービス提供が妨害される恐れがあります。
関連キーワード: 反射型DoS攻撃, SYN/ACKパケット, IPアドレス偽装, サービス妨害攻撃, TCPポート80, ネットワークセキュリティ