平成29年春期午後Ⅰ問1 下線4について  

sunnyさん  
(No.1)
平成29年春期午後Ⅰ問1 について、    
まず、大前提の質問ですが、
図1のネットワーク構成の時、図3の8の「SSHのログインに成功する」というのは、SSHでログインする過程で、TCPコネクションの確立にも成功しているということで正しいでしょうか?


その前提が正しいとして、
下線4の周辺では、「図4のようにネットワーク構成を変えたため、TCPコネクションの確立を防げる」となっており、
設問3(2)を解いた後、「SYN-ACKが管理サーバーのほうにいく(AさんPCに行かない)から、防げるのか」、と理解したのですが、

「SYN-ACKが管理サーバーのほうにいく」というのは図1のネットワーク構成でも同じじゃないでしょうか?そのため、TCPの確立ができず、図1のネットワーク構成でも図3の8でSSHのログインが成功しないのではないでしょうか?


SYN-ACKがAさんのPCに行かなくても、AさんPCからSYNを送ればいいとも思ったのですが、これは図4のネットワーク構成でも可能だと思いました。

なぜ、図1の構成だとSSH成功(TCPコネクションの確立に成功)し、図4だとTCPコネクションの確立に失敗するのでしょうか?
2022.03.27 13:03
rhさん 
(No.2)
3ウェイハンドシェイクなので、
TCPコネクションの確立のためには、以下3工程を達成する必要があります。

①管理者PCがSYNパケットをLDAPサーバに送る
②LDAPサーバがSYN-ACKパケットを管理者PCに送る
③管理者PCがACKパケットをLDAPサーバに送る

図1の構成だと、汚染されたAさんPCが①を管理者PCを詐称して送り、②を盗聴して、③を返すことが可能です。
図4の構成だと、②を盗聴できない(下線3に図3の6を防ぐことができる旨記載)ので、仮に図3の6と異なる方法で①を成功させたとしても、③を返せないのでTCPコネクションを確立することができません。
2022.03.27 13:40
sunnyさん  
(No.3)
この投稿は投稿者により削除されました。(2022.03.27 14:32)
2022.03.27 14:32
sunnyさん  
(No.4)
rhさん、ご返信ありがとうございます。
たしかに、図4では、
②のSYN-ACKパケットを盗聴ができなさそうです。

「SYN-ACKを盗聴できないと、ACKが送れないのか?」疑問に思ったのですが、
ACKパケットのAckの値には、SYN-ACKの「Seq番号+1」を入れる必要があるのですね。
ありがとうございました。
2022.03.27 14:31

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop