送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスが未使用のIPアドレス空間内のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推測できる攻撃はどれか。
| ア | IPアドレスAを攻撃先とするサービス妨害攻撃 |
| イ | IPアドレスAを攻撃先とするパスワードリスト攻撃 |
| ウ | IPアドレスAを攻撃元とするサービス妨害攻撃 |
| エ | IPアドレスAを攻撃元とするパスワードリスト攻撃 |
答え ア
【解説】
TCPのSYN/ACKパケットはTCPのコネクション要求であるSYNパケットの応答である。
この、IPアドレスAからのSYN/ACKパケットが端末が存在しないIPアドレス空間内(ダークネット)のIPアドレスで観測されたということは、攻撃者が送信元IPアドレスを偽装してIPアドレスAのサーバ(ポート番号が80なのでWebサーバ)に対して大量のSYNパケットを送信していることがわかるので、推定される攻撃はIPアドレスAを攻撃先とするサービス妨害攻撃(ア)になる。
【キーワード】
・ダークネット
- ダークネット(darknet)
インターネット上で到達可能なIPアドレスのうち、特定のホストコンピュータが割り当てられていないアドレス空間のことです。
ダークネットは未使用のIPアドレスであり、通常はダークネットに対してパケットが送信されることはないが、観測すると相当数のパケットが流れており、これらのパケットは不正な行為や不正な活動に関するものと考えられています。
もっと、「ダークネット」について調べてみよう。
戻る
一覧へ
次へ