情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ 問5: 送信元 IP アドレスが A,送信元ポート番号が 80/tcp,宛先 IP アドレスが未使用の IP アドレス空間内の IP アドレスである SYN/ACK パ
←情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ
送信元 IP アドレスが A,送信元ポート番号が 80/tcp,宛先 IP アドレスが未使用の IP アドレス空間内の IP アドレスである SYN/ACK パケットを大量に観測した場合,推定できる攻撃はどれか。
問題本文
送信元 IP アドレスが A,送信元ポート番号が 80/tcp,宛先 IP アドレスが未使用の IP アドレス空間内の IP アドレスである SYN/ACK パケットを大量に観測した場合,推定できる攻撃はどれか。
選択肢
- ア.IP アドレス A を攻撃先とするサービス妨害攻撃
- イ.IP アドレス A を攻撃先とするパスワードリスト攻撃
- ウ.IP アドレス A を攻撃元とするサービス妨害攻撃
- エ.IP アドレス A を攻撃元とするパスワードリスト攻撃
正解
ア. IP アドレス A を攻撃先とするサービス妨害攻撃
解説
送信元がIP-A・ポート80/tcp、宛先が未使用IP空間というSYN/ACKを大量観測した状況は、攻撃者が宛先(被害者)のIPを偽装してA宛にSYNを送り、Aがそれに応答した『バックスキャッタ』。つまりAがDoS攻撃の標的にされており、観測されたSYN/ACKはAから返った応答である。AはWebサーバ(80番)として攻撃を受けており、Aを攻撃先とするサービス妨害攻撃と推定できるアが正解。実務では送信元偽装DoSの被害推定に役立つ知識。
選択肢ごとの解説
- ア.偽装SYNを受けたAが返したSYN/ACKが未使用空間に飛んでおり、Aを標的とするDoSと推定でき正解。
- イ.観測はAからの応答パケットで、ログイン試行を伴うパスワードリスト攻撃の兆候ではないため誤り。
- ウ.AはSYN/ACKを返す側、すなわち標的であり攻撃元ではない。攻撃元とするのは誤り。
- エ.Aは攻撃元ではなく標的で、パスワードリスト攻撃とも無関係なため誤り。
情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ の過去問一覧へ戻る・問5