令和4年秋期試験問題 午前Ⅱ 問5

送信元IPアドレスがA,送信元ポート番号が80/tcp,宛先IPアドレスが未使用のIPアドレス空間内のIPアドレスであるSYN/ACKパケットを大量に観測した場合,推定できる攻撃はどれか。

  • IPアドレスAを攻撃先とするサービス妨害攻撃
  • IPアドレスAを攻撃先とするパスワードリスト攻撃
  • IPアドレスAを攻撃元とするサービス妨害攻撃
  • IPアドレスAを攻撃元とするパスワードリスト攻撃
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
SYN/ACKパケットは、TCPのコネクション確立要求であるSYNパケットを受けた端末が、要求元に対して返信するパケットです。
05.png
未使用のIPアドレス空間(ダークネット)を宛先とするSYN/ACKパケットを観測したということは、Aが、未使用領域に属するIPアドレスからのコネクション確立要求(SYNパケット)を受け、それに対する応答を行ったことを示しています。未使用空間のIPアドレスはどこにも割り当てられていませんから、SYNパケットの送信元IPアドレスをもつホストは実際には存在しません。当然ながら、SYN/ACKに対する応答(ACKパケット)が返ってくることもありません。これらの事実より、SYNパケットの送信元IPアドレスは偽装されており、Aが受信したSYNパケットは本来の目的以外で発信されたパケットであると判断できます。

SYNパケットを使用したDoS攻撃に「SYN flood攻撃」があります。これは、TCPのSYNパケットを大量に送りつけることで攻撃対象のサービス停止を狙う攻撃です。DoS攻撃の多くは攻撃元を悟られないために送信元IPアドレスを偽装しています。設問の事例では、何者かが送信元IPアドレスを偽装したSYNパケットをAに対して送りつけているので、Aへのサービス妨害攻撃を想定できます。

したがって「ア」が正解です。

Pagetop