情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問5: 送信元 IP アドレスが A,送信元ポート番号が 80/tcp,宛先 IP アドレスがホストに割り振られていない未使用の IP アドレスである SYN/ACK
←情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ
送信元 IP アドレスが A,送信元ポート番号が 80/tcp,宛先 IP アドレスがホストに割り振られていない未使用の IP アドレスである SYN/ACK パケットを大量に観測した場合,推定できる攻撃はどれか。
問題本文
送信元 IP アドレスが A,送信元ポート番号が 80/tcp,宛先 IP アドレスがホストに割り振られていない未使用の IP アドレスである SYN/ACK パケットを大量に観測した場合,推定できる攻撃はどれか。
選択肢
- ア.IP アドレス A を攻撃先とするサービス妨害攻撃
- イ.IP アドレス A を攻撃先とするパスワードリスト攻撃
- ウ.IP アドレス A を攻撃元とするサービス妨害攻撃
- エ.IP アドレス A を攻撃元とするパスワードリスト攻撃
正解
ア. IP アドレス A を攻撃先とするサービス妨害攻撃
解説
送信元ポート80のSYN/ACKが、使われていない宛先IPへ大量に届く現象は、攻撃者が送信元IPをA(本来の通信相手)に詐称してSYNを多数のサーバへ送り、その応答であるSYN/ACKがAに集中する状況を示す。つまりAを標的とした反射型のサービス妨害(DoS)が進行中と推定でき、未使用IP宛の応答はバックスキャッターとして観測される。アが正しい。実務では送信元偽装を防ぐBCP38が有効。
選択肢ごとの解説
- ア.送信元偽装で各サーバの応答がAに集中する反射型DoSを示す。Aが攻撃先で正しい。
- イ.パスワードリスト攻撃はログイン試行であり、SYN/ACKの大量観測とは無関係で誤り。
- ウ.観測されるのはAへ向かう応答で、Aは攻撃元ではなく標的側であるため誤り。
- エ.認証試行の痕跡はなく、Aを攻撃元とするパスワードリスト攻撃とは推定できず誤り。
情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ の過去問一覧へ戻る・問5