HOME»情報処理安全確保支援士掲示板»令和4秋 午後II 問1 設問3(3)について
投稿する
»[1326] TLS1.3のRSA(鍵交))の廃止について 投稿数:6
»[1325] 平成31年春 午後1 問1 設問3 (3)の空欄h 投稿数:3
令和4秋 午後II 問1 設問3(3)について [1328]
つくちゅうさん(No.1)
令和4秋 午後II 問1
設問3(3)について、表9パケット記録j~oの回答をあまり理解できてないですが、
どなたに説明していただけますか
標準回答は
1. 標的PC -> X-PC :ARPスプーフィングで、宛先をDNSサーバからX-PCに変更、それは理解
2. X-PC -> DNS :なぜ送信元IPと宛先IPは51と98?
3. DNS -> X-PC :DNSサーバのARPキャッシュも汚染したので、宛先を標的PCからX-PCに変更、それは理解
4. X-PC -> 標的PC :なぜ送信もとIPと宛先は51と98?
設問3(3)について、表9パケット記録j~oの回答をあまり理解できてないですが、
どなたに説明していただけますか
標準回答は
1. 標的PC -> X-PC :ARPスプーフィングで、宛先をDNSサーバからX-PCに変更、それは理解
2. X-PC -> DNS :なぜ送信元IPと宛先IPは51と98?
3. DNS -> X-PC :DNSサーバのARPキャッシュも汚染したので、宛先を標的PCからX-PCに変更、それは理解
4. X-PC -> 標的PC :なぜ送信もとIPと宛先は51と98?
2024.01.30 11:37
pixさん(No.2)
★SC ダイヤモンドマイスター
この投稿は投稿者により削除されました。(2024.01.30 16:53)
2024.01.30 16:53
pixさん(No.3)
★SC ダイヤモンドマイスター
質問の回答ですが、理由は単純だが説明が難しいという厄介なものです。
ARPスプーフィングの目的は不正なARP情報を流し、同一セグメント内の通信を
盗聴することです。
通常の通信は
標的PC:192.168.15.51 -> DNSサーバ:192.168.15.98
ようになります。
通信は同一セグメントなので、IPアドレスではなくMACアドレスを基に通信が
行われます。
ARPスプーフィングによってAPRテーブルを汚染することにより
標的PC:192.168.15.51 -> X-PC:192.168.15.50 -> DNSサーバ:192.168.15.98
という経路で通信がX-PCに傍受されます。
この通信を2つに分解すると
・標的PC:192.168.15.51 -> X-PC:192.168.15.50 の通信
実際のパケットヘッダ構造
送信元IPアドレス:標的PC
宛先IPアドレス:DNSサーバ
送信元MACアドレス:標的PC
宛先MACアドレス:X-PC(ARPテーブルが汚染されているため)
※標的PCはDNSサーバと通信しているつもりだが、X-PCと通信してしまう
・X-PC:192.168.15.50 -> DNSサーバ:192.168.15.98 の通信
実際のパケットヘッダ構造
送信元IPアドレス:標的PC(X-PCが標的PCのふりをするため)
宛先IPアドレス:DNSサーバ
送信元MACアドレス:X-PC
宛先MACアドレス:DNSサーバ
※X-PCは盗聴した通信をさも標的PCからの通信に装い、DNSサーバへ送る。
DNSサーバも送信元IPアドレスが標的PCのため、標的PCからの通信と
信じてしまう。
戻りの通信
DNSサーバ:192.168.15.98 -> X-PC:192.168.15.50 -> 標的PC:192.168.15.51
は上記と逆の構造になります。
ARPスプーフィングの目的は不正なARP情報を流し、同一セグメント内の通信を
盗聴することです。
通常の通信は
標的PC:192.168.15.51 -> DNSサーバ:192.168.15.98
ようになります。
通信は同一セグメントなので、IPアドレスではなくMACアドレスを基に通信が
行われます。
ARPスプーフィングによってAPRテーブルを汚染することにより
標的PC:192.168.15.51 -> X-PC:192.168.15.50 -> DNSサーバ:192.168.15.98
という経路で通信がX-PCに傍受されます。
この通信を2つに分解すると
・標的PC:192.168.15.51 -> X-PC:192.168.15.50 の通信
実際のパケットヘッダ構造
送信元IPアドレス:標的PC
宛先IPアドレス:DNSサーバ
送信元MACアドレス:標的PC
宛先MACアドレス:X-PC(ARPテーブルが汚染されているため)
※標的PCはDNSサーバと通信しているつもりだが、X-PCと通信してしまう
・X-PC:192.168.15.50 -> DNSサーバ:192.168.15.98 の通信
実際のパケットヘッダ構造
送信元IPアドレス:標的PC(X-PCが標的PCのふりをするため)
宛先IPアドレス:DNSサーバ
送信元MACアドレス:X-PC
宛先MACアドレス:DNSサーバ
※X-PCは盗聴した通信をさも標的PCからの通信に装い、DNSサーバへ送る。
DNSサーバも送信元IPアドレスが標的PCのため、標的PCからの通信と
信じてしまう。
戻りの通信
DNSサーバ:192.168.15.98 -> X-PC:192.168.15.50 -> 標的PC:192.168.15.51
は上記と逆の構造になります。
2024.01.30 16:57
つくちゅうさん(No.4)
pixさん、ありがとうございます。
いま理解しました。
本来ARPスプーフィング無し状態だとDNS往復パケットは二つだけですが、
X-PCはMiTMで盗聴したら、L2SWでDNSパケットを四つキャプチャしました。
X-PCは、DNSクエリのIPパケットの送信元IPアドレスを標的PCのアドレスに、DNSレスポンスのIPパケットの宛先IPアドレスをDNSサーバのIPアドレスに、改ざんしました。
という理解です。
いま理解しました。
本来ARPスプーフィング無し状態だとDNS往復パケットは二つだけですが、
X-PCはMiTMで盗聴したら、L2SWでDNSパケットを四つキャプチャしました。
X-PCは、DNSクエリのIPパケットの送信元IPアドレスを標的PCのアドレスに、DNSレスポンスのIPパケットの宛先IPアドレスをDNSサーバのIPアドレスに、改ざんしました。
という理解です。
2024.01.31 17:24
pixさん(No.5)
★SC ダイヤモンドマイスター
はい。その理解であっています。
ARPスプーフィングでARPテーブルが汚染され、通信の盗聴が行われている場合、
L2SWではどのような通信が起きていたかを問う設問でした。
この結果から学べる点として、、通信の盗聴が行われていることを検知・調査するには
L2SWのログを確認するくらいしか有効な方法はないと考えられます。
ARPスプーフィングでARPテーブルが汚染され、通信の盗聴が行われている場合、
L2SWではどのような通信が起きていたかを問う設問でした。
この結果から学べる点として、、通信の盗聴が行われていることを検知・調査するには
L2SWのログを確認するくらいしか有効な方法はないと考えられます。
2024.01.31 17:34
その他のスレッド
»[1327] R3 午後I 大問3 設問1 (3) 投稿数:4»[1326] TLS1.3のRSA(鍵交))の廃止について 投稿数:6
»[1325] 平成31年春 午後1 問1 設問3 (3)の空欄h 投稿数:3