目次
問題文
送信元IPアドレスがA,送信元ポート番号が80/tcpのSYN/ACKパケットを,未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合,推定できる攻撃はどれか。
ア IPアドレスAを攻撃先とするサービス妨害攻撃
イ IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ IPアドレスAを攻撃元とするサービス妨害攻撃
エ IPアドレスAを攻撃元とするパスワードリスト攻撃
解説
解答
ア
この問題は「ダークネット観測で得られたパケットから攻撃内容を推定する」タイプの出題です。
順を追って整理しましょう。
観測状況の確認
- 観測されたパケット:送信元IPアドレス=A、送信元ポート=80/tcp、SYN/ACKパケット
- 観測場所:未使用のIPアドレス空間(ダークネット)
- 観測の特徴:ダークネットに届くはずのない応答パケット(SYN/ACK)が大量に届いている
→つまり「ダークネットに返す相手はいないはずなのに、大量の応答が飛んでくる」という点がヒントです。
SYN/ACKパケットが意味すること
通常、SYN/ACKパケットは「SYNを受け取ったサーバが返す応答」です。
しかし、ダークネット側は未使用IPであり、最初にSYNを送ることはありません。
それでもSYN/ACKが観測されるのは、攻撃者が 送信元IPを偽装(スプーフィング) して、未使用IPアドレス空間を「SYNを送ってきたクライアント」に見せかけているためです。
攻撃の推定
このような「大量のSYN/ACKが返ってくる」状況は、攻撃者が IPアドレスAを送信元として偽装したSYNフラッド攻撃 を行っていることを意味します。
つまり、実際には「IPアドレスAが攻撃を受けている(攻撃先)」ということです。
各選択肢の検討
- ア:IPアドレスAを攻撃先とするサービス妨害攻撃
→ 正しい。Aがターゲットにされ、踏み台サーバからのSYN/ACKがAに集中している。 - イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
→ パスワードリスト攻撃はログイン試行型の攻撃であり、SYN/ACKの観測とは無関係。 - ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
→ Aが「攻撃者」だとする説明だが、今回のケースではAは被害者(攻撃先)なので誤り。 - エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
→ これも誤り。観測されているのは認証試行ではなく、SYN/ACKによるフラッド。
