HOME»情報処理安全確保支援士掲示板»H21春午後T問1解答ロジックまとめ

情報処理安全確保支援士掲示板

掲示板検索:

H21春午後T問1解答ロジックまとめ[0496]

都内SEさん(No.1)

以下、スレタイに関して、自分の理解のもとで記載いたします。
※誤ってたらご指摘ください。(切実)
※正確性を担保できませんが、皆様の参考になれば幸いです。

設問1
(1):(r)
J主任が、Webページの画面取得に時間がかかる理由について、
実際、「DMZ上のDNSサーバに問題があるようです」主張した理由を
図1から選択する。
DNSは名前解決の機能を持つので、
この処理に時間を要していることが推察される記述を
図1から探せばよい。


(2)b:ウ、c:詐称 or さしょう or 偽装 or 不正に変換 etc…
パケットモニタZでDNSクエリ(名前解決のリクエスト)が観測されず、
そのレスポンスのみ観測されていることから、
社内LAN内のあるPC〜DNSサーバの通信パケットの行きと帰りの通信方向が
異なっていることが分かる。そして、通常はそんな事象は起こらない。

しかし、DNSサーバがDNSクエリの送信元アドレスを
社内LAN内のあるPCではなく、インターネット上の謎ホストのIPアドレスと
解釈してしまったら、上記の事象が発生する。

つまり、社内LAN内のあるPCからのクエリ送信時に、
送信元IPアドレスが、インターネット上の謎ホストのIPアドレス
に書き換えられてしまったことが、図3ログ発生の要因である。

ここで、社内PCがbot化(マルウェアに感染して、異常なDNSクエリ通信を送ることを
強いられている)してしまったのではないか?といえる。

(3)イ
図3の異常な通信によって、DNSサーバが忙しくなり、
WebサーバFQDNに対する名前解決が遅延したと考えられる。
これは、DNSサーバの名前解決のサービスを虐げているといえるため、
Dos攻撃といえる。

DNSreflection攻撃は、txtレコードを利用して
レスポンスパケットをバカでかくし、DNSクエリの送信元アドレスを、
あるサーバのIPアドレスに書き換える(レスポンスの宛先をある
サーバのIPアドレスに指定する)ことで、そのサーバを虐める手法である。
(闇金業者が債務者の名を騙り、彼らが頼んでもないピザや寿司を大量に注文して
勝手に送りつけるようなイメージ。)
これを、増幅型Dos攻撃と言う。
つまり、Dos攻撃の一種であるこの攻撃が正解となる。


(4)e:U、f:X、➀インターネット上から取得したDNSクエリは、A社のドメインに関してのみ、名前解決結果を返却する。
「DNSサーバが踏み台にされる」とは、攻撃者によって、
DNSサーバが悪いことに利用されることである。

まず、eについて考える。
送信元がDNSサーバであるのは
レスポンスとして当たり前(悪くない)ので、Tはセーフだ。
一方、上述のとおり、偽のDNSクエリ送信元に対して、
クエリレスポンスを返す(頼んでもないピザをr1.r2.r3.r4さんに送り付ける行為)
Uは、DNSサーバが攻撃者に利用されたことを示すため、アウトだ。

次に、fについて考える。
V:名前解決を失敗しただけで、秘匿情報を流出してないからセーフ。
W:A社DMZ上のサーバのIPアドレスをインターネット上に送るのは何ら悪いことではないからセーフ。
(その通信を完全遮断したいなら、そもそもDMZ上ではなく、社内LAN上に各サーバを設置すべき。)
X:A社が管理していないサーバのIPアドレスを外部の謎ホストに教えるのは異常である。
これは、社内LAN上のPCが業務利用する、インターネット上のホストのIPアドレスを、
攻撃者が窃取する目的で、DNSサーバが悪用されていることを示す。つまり、アウト。

どこからのDNSクエリでも真面目にレスポンスを返す
DNSキャッシュサーバを、オープンリゾルバという。

最後に、これらを踏まえたDNSサーバ設定の適切な修正内容を考える。

DNSクエリの送信元が詐称されているかどうかを見抜ければ嬉しいが、
そんな賢い仕組みは、残念ながら、DNSサーバには存在しない。

そこで、インターネット上のホストに対して、
DNSサーバが一切クエリレスポンスを返さないようにすれば、
DNSクエリの送信元に依らず、一応踏み台としてDNSサーバが利用されることはなくなる。

しかし、この手法ではインターネット上の顧客からの正規の名前解決要求に対しても、
Wのレスポンスが顧客に返らず、顧客はA社のWebサーバを参照できなくなってしまう。

そのため、一切クエリレスポンスを返さないのではなく、
レスポンスの内容によって、インターネット上のホスト(r1.r2.r3.r4)に
レスポンスを返すかどうかを制御すればよい。


設問2
(1)g:エ、社外の複数のDNSサーバに、A社ドメインの名前解決要求を送る
M

2020.06.21 20:21
都内SEさん(No.2)

設問2(続きです)
(1)g:エ、社外の複数のDNSサーバに、A社ドメインの名前解決要求を送る
MXレコードはメールサーバのIPアドレスである。
gについて、メールサーバのIPアドレスを知って得をする攻撃はエのみ。
記述については、下記のいずれか、ないし全部を30字でまとめればよい。
・A社ドメインのメールサーバなのに、わざわざ外部に名前解決要求を出している。
・DMZ上のDNSサーバ使えば一発なのに、3種類以上のDNSサーバを使っている。
・A社のメールサーバはDMZ上に一つしかないのに、MXレコードのFQDNがバラバラ。

(2)ア、ウ
「a1.a2.a3.a4」から「e1.e2.e3.xxx」へのTCP-SYNが連続で発生しており、
この通信の前にDNSクエリ送信がないため、アが選択される。
また、これらの通信で、一切3wayハンドシェイクが進んでいない(ack/syn、ackがない)ため、
ウが選択される。SYNフラッドかな。


設問3
(1)宛先アドレスやポート番号が同一であり、かつ、短時間に大量発生する通信プロセス
通信プロセスモニタでは、下記4点の組み合わせが記録される。
・通信プロセス名
・実行ファイル名
・宛先IPアドレス
・宛先ポート番号

また、前問のとおり、a1.a2.a3.a4からは図4のような
偏った通信が記録されるはずであり、これをもとに不審な通信プロセスや、
ウイルスとみなせる実行ファイルを検出できる。


(2)ウイルス対策ソフトのパターンファイルの配布要求応答のパケット。
図5を見ると、ウイルス対策ソフトの配布サイトへのアクセスが
全て自分あてになるようにループバックしていることが分かる。

2020.06.21 20:25
ごろーさん(No.3)

この投稿は投稿者により削除されました。(2020.07.11 18:36)

2020.07.11 18:36

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop