H21春午後Ⅰ問1解答ロジックまとめ

都内SEさん  
(No.1)
以下、スレタイに関して、自分の理解のもとで記載いたします。
※誤ってたらご指摘ください。(切実)
※正確性を担保できませんが、皆様の参考になれば幸いです。

設問1
(1):(r)
J主任が、Webページの画面取得に時間がかかる理由について、
実際、「DMZ上のDNSサーバに問題があるようです」主張した理由を
図1から選択する。
DNSは名前解決の機能を持つので、
この処理に時間を要していることが推察される記述を
図1から探せばよい。


(2)b:ウ、c:詐称 or さしょう or 偽装 or 不正に変換 etc…
パケットモニタZでDNSクエリ(名前解決のリクエスト)が観測されず、
そのレスポンスのみ観測されていることから、
社内LAN内のあるPC~DNSサーバの通信パケットの行きと帰りの通信方向が
異なっていることが分かる。そして、通常はそんな事象は起こらない。

しかし、DNSサーバがDNSクエリの送信元アドレスを
社内LAN内のあるPCではなく、インターネット上の謎ホストのIPアドレスと
解釈してしまったら、上記の事象が発生する。

つまり、社内LAN内のあるPCからのクエリ送信時に、
送信元IPアドレスが、インターネット上の謎ホストのIPアドレス
に書き換えられてしまったことが、図3ログ発生の要因である。

ここで、社内PCがbot化(マルウェアに感染して、異常なDNSクエリ通信を送ることを
強いられている)してしまったのではないか?といえる。

(3)イ
図3の異常な通信によって、DNSサーバが忙しくなり、
WebサーバFQDNに対する名前解決が遅延したと考えられる。
これは、DNSサーバの名前解決のサービスを虐げているといえるため、
Dos攻撃といえる。

DNSreflection攻撃は、txtレコードを利用して
レスポンスパケットをバカでかくし、DNSクエリの送信元アドレスを、
あるサーバのIPアドレスに書き換える(レスポンスの宛先をある
サーバのIPアドレスに指定する)ことで、そのサーバを虐める手法である。
(闇金業者が債務者の名を騙り、彼らが頼んでもないピザや寿司を大量に注文して
勝手に送りつけるようなイメージ。)
これを、増幅型Dos攻撃と言う。
つまり、Dos攻撃の一種であるこの攻撃が正解となる。


(4)e:Ⅱ、f:Ⅴ、➀インターネット上から取得したDNSクエリは、A社のドメインに関してのみ、名前解決結果を返却する。
「DNSサーバが踏み台にされる」とは、攻撃者によって、
DNSサーバが悪いことに利用されることである。

まず、eについて考える。
送信元がDNSサーバであるのは
レスポンスとして当たり前(悪くない)ので、Ⅰはセーフだ。
一方、上述のとおり、偽のDNSクエリ送信元に対して、
クエリレスポンスを返す(頼んでもないピザをr1.r2.r3.r4さんに送り付ける行為)
Ⅱは、DNSサーバが攻撃者に利用されたことを示すため、アウトだ。

次に、fについて考える。
Ⅲ:名前解決を失敗しただけで、秘匿情報を流出してないからセーフ。
Ⅳ:A社DMZ上のサーバのIPアドレスをインターネット上に送るのは何ら悪いことではないからセーフ。
(その通信を完全遮断したいなら、そもそもDMZ上ではなく、社内LAN上に各サーバを設置すべき。)
Ⅴ:A社が管理していないサーバのIPアドレスを外部の謎ホストに教えるのは異常である。
これは、社内LAN上のPCが業務利用する、インターネット上のホストのIPアドレスを、
攻撃者が窃取する目的で、DNSサーバが悪用されていることを示す。つまり、アウト。

どこからのDNSクエリでも真面目にレスポンスを返す
DNSキャッシュサーバを、オープンリゾルバという。

最後に、これらを踏まえたDNSサーバ設定の適切な修正内容を考える。

DNSクエリの送信元が詐称されているかどうかを見抜ければ嬉しいが、
そんな賢い仕組みは、残念ながら、DNSサーバには存在しない。

そこで、インターネット上のホストに対して、
DNSサーバが一切クエリレスポンスを返さないようにすれば、
DNSクエリの送信元に依らず、一応踏み台としてDNSサーバが利用されることはなくなる。

しかし、この手法ではインターネット上の顧客からの正規の名前解決要求に対しても、
Ⅳのレスポンスが顧客に返らず、顧客はA社のWebサーバを参照できなくなってしまう。

そのため、一切クエリレスポンスを返さないのではなく、
レスポンスの内容によって、インターネット上のホスト(r1.r2.r3.r4)に
レスポンスを返すかどうかを制御すればよい。


設問2
(1)g:エ、社外の複数のDNSサーバに、A社ドメインの名前解決要求を送る
M
2020.06.21 20:21
都内SEさん  
(No.2)
設問2(続きです)
(1)g:エ、社外の複数のDNSサーバに、A社ドメインの名前解決要求を送る
MXレコードはメールサーバのIPアドレスである。
gについて、メールサーバのIPアドレスを知って得をする攻撃はエのみ。
記述については、下記のいずれか、ないし全部を30字でまとめればよい。
・A社ドメインのメールサーバなのに、わざわざ外部に名前解決要求を出している。
・DMZ上のDNSサーバ使えば一発なのに、3種類以上のDNSサーバを使っている。
・A社のメールサーバはDMZ上に一つしかないのに、MXレコードのFQDNがバラバラ。

(2)ア、ウ
「a1.a2.a3.a4」から「e1.e2.e3.xxx」へのTCP-SYNが連続で発生しており、
この通信の前にDNSクエリ送信がないため、アが選択される。
また、これらの通信で、一切3wayハンドシェイクが進んでいない(ack/syn、ackがない)ため、
ウが選択される。SYNフラッドかな。


設問3
(1)宛先アドレスやポート番号が同一であり、かつ、短時間に大量発生する通信プロセス
通信プロセスモニタでは、下記4点の組み合わせが記録される。
・通信プロセス名
・実行ファイル名
・宛先IPアドレス
・宛先ポート番号

また、前問のとおり、a1.a2.a3.a4からは図4のような
偏った通信が記録されるはずであり、これをもとに不審な通信プロセスや、
ウイルスとみなせる実行ファイルを検出できる。


(2)ウイルス対策ソフトのパターンファイルの配布要求応答のパケット。
図5を見ると、ウイルス対策ソフトの配布サイトへのアクセスが
全て自分あてになるようにループバックしていることが分かる。

2020.06.21 20:25
ごろーさん 
(No.3)
この投稿は投稿者により削除されました。(2020.07.11 18:36)
2020.07.11 18:36

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop