情報処理安全確保支援士試験 令和4年秋期午前Ⅱ SYN/ACKパケットを用いた攻撃
出典:令和4年秋期 午前Ⅱ 問5
分野:セキュリティ / 情報セキュリティ
送信元IPアドレスがA,送信元ポート番号が80/tcp,宛先IPアドレスが未使用のIPアドレス空間内のIPアドレスであるSYN/ACKパケットを大量に観測した場合,推定できる攻撃はどれか。
- ア:IPアドレスAを攻撃先とするサービス妨害攻撃
- イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
- ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
- エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
TSUNAGARU-ADVICE
まず押さえたいこと
送信元ポート番号が80/tcpのSYN/ACKパケットは、WebサーバがTCP接続要求に応答している状態を表します。つまり、IPアドレスAは、大量のSYNに対して応答しているWebサーバ側と考えられます。
迷ったときの判断軸
宛先が未使用のIPアドレス空間である点から、攻撃者が送信元IPアドレスを未使用アドレスに偽装して、Aに大量のSYNを送っていると推定できます。その結果、Aが未使用アドレス宛てにSYN/ACKを返しているため、Aを攻撃先とするサービス妨害攻撃と判断できます。
科目Bにつなげるために
科目Bでは、パケットの送信元・宛先だけでなく、TCPフラグやポート番号から通信の意味を読み取る力が問われます。SYN/ACKは応答側のパケットなので、誰が攻撃しているかではなく、誰が大量の接続要求に応答させられているかに注目しましょう。
`
SYN/ACKパケットは、通常、TCP接続要求であるSYNパケットを受け取ったサーバが、その応答として返すパケットです。
今回観測されているパケットは、送信元IPアドレスがA、送信元ポート番号が80/tcpです。これは、IPアドレスAのWebサーバが、何らかのSYNパケットに対してSYN/ACKを返している状態と考えられます。
宛先IPアドレスが未使用のIPアドレス空間内であることから、攻撃者が送信元IPアドレスを未使用IPアドレスに偽装して、IPアドレスAに大量のSYNパケットを送っていると推定できます。つまり、IPアドレスAを攻撃先とするサービス妨害攻撃です。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
⇒パスワードリスト攻撃は、流出したIDとパスワードの組合せなどを使ってログインを試行する攻撃です。今回観測されているのは、Aから未使用IPアドレス空間へ送られる大量のSYN/ACKパケットであり、ログイン試行を示すものではありません。
ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
⇒Aが攻撃元であれば、Aから攻撃対象に大量の攻撃パケットを送っている状況になります。しかし、SYN/ACKは通常、受け取ったSYNに対する応答です。Aは偽装されたSYNに応答している側と考えられるため、攻撃元ではなく攻撃先と推定できます。
エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
⇒パスワードリスト攻撃は、認証画面などに対してID・パスワードを試行する攻撃です。送信元ポート80/tcpのSYN/ACKパケットが大量に観測される状況は、WebサーバAが接続要求に応答していることを示しており、Aを攻撃元とするパスワードリスト攻撃とはいえません。