送信元IPアドレスがA、送信元ポート番号が80/tcpのSYN/ACKパケットを、未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合、推測できる攻撃はどれか。
ア | IPアドレスAを攻撃先とするサービス妨害攻撃 |
イ | IPアドレスAを攻撃先とするパスワードリスト攻撃 |
ウ | IPアドレスAを攻撃元とするサービス妨害攻撃 |
エ | IPアドレスAを攻撃元とするパスワードリスト攻撃 |
答え ア
【解説】
TCPのSYN/ACKパケットはTCPのコネクション要求であるSYNパケットの応答である。
この、IPアドレスAからのSYN/ACKパケットが端末が存在しないダークネットで観測されたということは、攻撃者がIPアドレスを偽装してIPアドレスAのサーバ(ポート番号が80なのでWebサーバ)に対して大量のSYNパケットを送信していることがわかるので、推定される攻撃はIPアドレスAを攻撃先とするサービス妨害攻撃(ア)になる。
【キーワード】
・ダークネット