情報処理安全確保支援士試験 令和7年秋期午前Ⅱ サービス妨害攻撃
出典:令和7年秋期 午前Ⅱ 問7
分野:セキュリティ / 情報セキュリティ
送信元IPアドレスがA,送信元ポート番号が80/tcp,宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に受信した場合,推定できる攻撃はどれか。
- ア:IPアドレスAを攻撃先とするサービス妨害攻撃
- イ:IPアドレスAを攻撃先とするパスワードリスト攻撃
- ウ:IPアドレスAを攻撃元とするサービス妨害攻撃
- エ:IPアドレスAを攻撃元とするパスワードリスト攻撃
TSUNAGARU-ADVICE
まず押さえたいこと
未使用のIPアドレス宛てに、送信元ポート番号が80/tcpのSYN/ACKパケットが大量に届く場合は、攻撃者が送信元IPアドレスを偽ってSYNを送り付け、その応答が別の相手に返る状況を疑います。
迷ったときの判断軸
SYN/ACKは、通常は相手からのSYNに対する応答として返るパケットです。未使用IPアドレスに大量のSYN/ACKが届くということは、そのIPアドレスになりすまして通信を始めた者がいると考えられます。したがって、IPアドレスAは攻撃先ではなく、踏み台的に悪用された攻撃元のWebサーバと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、パケットの種類、送信元ポート番号、宛先の状況から、誰が本当の攻撃者で、誰が応答を返しているだけなのかを切り分ける力が問われます。ログを見るときは、届いたパケットだけでなく、それがどの通信への応答かまで逆向きに考えることが重要です。
大量に受信したパケットは SYN/ACK であり、これは通常、送信元(ここではIPアドレスA、80/tcpのサービス)に対してSYNが届いたことへの応答として返されます。
一方、宛先IPアドレスが「ホストに割り振られていない未使用のIPアドレス」であることから、攻撃者が送信元IPアドレスを未使用IPに詐称してSYNを送信し、その結果としてAから未使用IP宛てにSYN/ACKが大量に返ってきている状況(バック散乱)と推定できます。
このとき、攻撃者がSYNを送り付けている攻撃対象(攻撃先)はAです。
したがって、推定できるのは IPアドレスAを攻撃先とするサービス妨害攻撃(典型的にはSYN flood) です。