SYN/ACKパケットを用いた攻撃|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問5
出典:令和6年春期 午前Ⅱ 問5
分野:セキュリティ / 情報セキュリティ
- ア:IPアドレスAを攻撃先とするサービス妨害攻撃
- イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
- ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
- エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
TSUNAGARU-ADVICE
まず押さえたいこと
未使用のIPアドレス宛てにSYN/ACKパケットが大量に届く場合、攻撃者がその未使用IPアドレスを送信元に偽装して、IPアドレスAにSYNパケットを大量送信している可能性を考えます。
迷ったときの判断軸
SYN/ACKは、SYNを受け取ったサーバが返す応答です。送信元ポート番号が80/tcpであることから、IPアドレスAのWebサーバが攻撃対象となり、偽装された宛先へ応答を返していると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、パケットを見て単に送信元を攻撃者と決めつけるのではなく、そのパケットが要求なのか応答なのかを読み取る力が問われます。SYN/ACKは応答なので、Aは攻撃元ではなく、サービス妨害攻撃を受けている側と考えることが重要です。
SYN/ACKパケットは、TCPで通信を始めるときに使われる応答パケットです。TCPでは、通信を始めるときに次のようなやり取りを行います。
設問では、送信元IPアドレスがA、宛先IPアドレスが未使用のIPアドレスであるSYN/ACKパケットを大量に受信しています。
ここで重要なのは、未使用のIPアドレスには実際の端末が存在しないという点です。つまり、本来であれば、そのIPアドレスからSYNパケットが送られてくることはありません。
それにもかかわらず、Aから未使用IPアドレス宛てにSYN/ACKが返っているということは、Aは「未使用IPアドレスからSYNパケットを受け取った」と判断して応答したことになります。
しかし、未使用IPアドレスの端末は存在しないため、そのSYNパケットの送信元IPアドレスは偽装されていたと考えられます。
このように、送信元IPアドレスを偽装したSYNパケットを大量に送りつけ、攻撃対象にSYN/ACKを返させる攻撃は、SYN flood攻撃の特徴です。SYN flood攻撃は、攻撃対象の通信処理を大量に発生させ、サービス停止を狙うDoS攻撃の一種です。
したがって、この場合は、IPアドレスAを攻撃先とするサービス妨害攻撃が推定できます。
❌他選択肢が誤りの理由イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
⇒パスワードリスト攻撃、という点で違います。観測されているのはSYN/ACKパケットであり、ログイン試行ではなくサービス妨害攻撃が推定されます。
ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
⇒IPアドレスAを攻撃元とする、という点で違います。AはSYNに対してSYN/ACKを返している側であり、攻撃対象と推定されます。
エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
⇒攻撃元かつパスワードリスト攻撃、という点で違います。Aは攻撃対象であり、推定されるのはSYN floodなどのサービス妨害攻撃です。