HOME»情報処理安全確保支援士掲示板»令和4秋  午後II  問1 設問3(3)について
投稿する

令和4秋  午後II  問1 設問3(3)について [1328]

 つくちゅうさん(No.1) 
令和4秋  午後II  問1
設問3(3)について、表9パケット記録j~oの回答をあまり理解できてないですが、
どなたに説明していただけますか

標準回答は
1. 標的PC  -> X-PC  :ARPスプーフィングで、宛先をDNSサーバからX-PCに変更、それは理解
2. X-PC -> DNS  :なぜ送信元IPと宛先IPは51と98?
3. DNS -> X-PC  :DNSサーバのARPキャッシュも汚染したので、宛先を標的PCからX-PCに変更、それは理解
4. X-PC -> 標的PC  :なぜ送信もとIPと宛先は51と98?
2024.01.30 11:37
pixさん(No.2) 
SC ダイヤモンドマイスター
この投稿は投稿者により削除されました。(2024.01.30 16:53)
2024.01.30 16:53
pixさん(No.3) 
SC ダイヤモンドマイスター
質問の回答ですが、理由は単純だが説明が難しいという厄介なものです。
ARPスプーフィングの目的は不正なARP情報を流し、同一セグメント内の通信を
盗聴することです。

通常の通信は
標的PC:192.168.15.51 -> DNSサーバ:192.168.15.98
ようになります。
通信は同一セグメントなので、IPアドレスではなくMACアドレスを基に通信が
行われます。

ARPスプーフィングによってAPRテーブルを汚染することにより
標的PC:192.168.15.51 -> X-PC:192.168.15.50 -> DNSサーバ:192.168.15.98
という経路で通信がX-PCに傍受されます。
この通信を2つに分解すると

・標的PC:192.168.15.51 -> X-PC:192.168.15.50 の通信
実際のパケットヘッダ構造
  送信元IPアドレス:標的PC
  宛先IPアドレス:DNSサーバ
  送信元MACアドレス:標的PC
  宛先MACアドレス:X-PC(ARPテーブルが汚染されているため)
※標的PCはDNSサーバと通信しているつもりだが、X-PCと通信してしまう

・X-PC:192.168.15.50 -> DNSサーバ:192.168.15.98 の通信
実際のパケットヘッダ構造
  送信元IPアドレス:標的PC(X-PCが標的PCのふりをするため)
  宛先IPアドレス:DNSサーバ
  送信元MACアドレス:X-PC
  宛先MACアドレス:DNSサーバ
※X-PCは盗聴した通信をさも標的PCからの通信に装い、DNSサーバへ送る。
  DNSサーバも送信元IPアドレスが標的PCのため、標的PCからの通信と
  信じてしまう。

戻りの通信
DNSサーバ:192.168.15.98 -> X-PC:192.168.15.50 -> 標的PC:192.168.15.51
は上記と逆の構造になります。
2024.01.30 16:57
 つくちゅうさん(No.4) 
pixさん、ありがとうございます。
いま理解しました。

本来ARPスプーフィング無し状態だとDNS往復パケットは二つだけですが、
X-PCはMiTMで盗聴したら、L2SWでDNSパケットを四つキャプチャしました。
X-PCは、DNSクエリのIPパケットの送信元IPアドレスを標的PCのアドレスに、DNSレスポンスのIPパケットの宛先IPアドレスをDNSサーバのIPアドレスに、改ざんしました。
という理解です。
2024.01.31 17:24
pixさん(No.5) 
SC ダイヤモンドマイスター
はい。その理解であっています。
ARPスプーフィングでARPテーブルが汚染され、通信の盗聴が行われている場合、
L2SWではどのような通信が起きていたかを問う設問でした。

この結果から学べる点として、、通信の盗聴が行われていることを検知・調査するには
L2SWのログを確認するくらいしか有効な方法はないと考えられます。
2024.01.31 17:34
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop