ネットワークスペシャリスト令和元年秋期 午前U 問18

午前U 問18

送信元IPアドレスがA,送信元ポート番号が80/tcpのSYN/ACKパケットを,未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合,推定できる攻撃はどれか。
  • IPアドレスAを攻撃先とするサービス妨害攻撃
  • IPアドレスAを攻撃先とするパスワードリスト攻撃
  • IPアドレスAを攻撃元とするサービス妨害攻撃
  • IPアドレスAを攻撃元とするパスワードリスト攻撃
  • [この問題の出題歴]
  • ネットワーク H29秋期 問17

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

SYN/ACKパケットは、コネクション確立要求のSYNパケットを受けた端末が、要求元に対して返信するパケットです。
"ダークネットを宛先とするSYN/ACKパケット"を観測したということは、Aが"未使用領域に属するIPアドレスからのコネクション確立要求(SYNパケット)"を受信し、それに対する応答を行った事実を示しています。未使用領域のIPアドレスは使われていないのですから、SYNパケットの送信元IPアドレスをもつホストは実際には存在しません。また、SYN/ACKに対する応答(ACK)が返ってくることもありません。すなわち、SYNパケットの送信元IPアドレスは偽装されており、Aが受信したSYNパケットは本来の目的以外で発信されたパケットであると判断できます。

SYNパケットを使用したDoS攻撃に「SYN flood攻撃」があります。これは、TCPのSYNパケットを大量に送りつけることで攻撃対象のサービス停止を狙う攻撃です。DoS攻撃の多くは攻撃元を悟られないために送信元IPアドレスを偽装しています。設問の事例では、何者かが送信元IPアドレスを偽装したSYNパケットをAに対して送りつけているので、AへのSYN flood攻撃を想定できます。

したがって「ア」が正解です。
© 2015-2020 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop