HOME»情報処理安全確保支援士掲示板»R3春・午後Ⅰ・問3・設問4(2)について
投稿する
PC内にARPテーブルとして、ARP RequestとARP ReplyによってIPアドレスとMACアドレスが対応して記録されます。
ARPはネスペで嫌でもやるのでそのとき覚えてもらっても大丈夫です
Windowsの場合、基本時間を60秒として、0.5から1.5のランダムな値を掛けた数値がARPテーブルの保持時間です(※)。たまに10分とかあったりしますが、レジストリ値の変更で無理矢理変更しないとそんなもんです。
ちなみに、Ciscoルータだとデフォルトが4時間です。
つまり、夜間にはARPテーブルは空です。
※:Address Resolution Protocol caching behavior - Windows Server | Microsoft Learn
これについて、キャッシュ時間で説明しましたが、そもそも電源落ちていたら、ARPテーブルの格納領域はRAM(揮発性メモリ)だから消えるだろということを説明してませんでした。
»[1866] 令和3年度 秋季 午後1 (その他午後問の採点基準) 投稿数:3
»[1865] 令和6年度 春期 午後3 SSRFについて 投稿数:3
R3春・午後Ⅰ・問3・設問4(2)について [1868]
あきむさん(No.1)
表題の設問について、ご教示いただけると幸いです。
https://www.sc-siken.com/pdf/03_haru/pm1_3.pdf
17ページ・上から6〜7行目に登場する対策3をどう実現するか?という趣旨の問題です。
14ページ・表1「エージェント」の概要欄の末尾3行に、当設問の根拠となる部分があります。
私の解答:エージェントにより、夜間にpingコマンドを実行した場合に当該PCの通信を遮断する設定を行う。
IPAの解答:エージェントによって夜間にarpコマンドの実行を検知したら、当該PCをネットワークから隔離する。
「自PCのarpテーブルを確認するためにarpコマンドを実行する必要がある」という知識が無かったので、「”夜間”に不審な振る舞いをするPCが実行するのはpingコマンドである」と解釈し、pingコマンドを検知する解答を作成しました。
①arpコマンドを実行してarpテーブル確認
↓
②pingコマンドを実行して社内ネットワーク内のPCの状態を確認
↓
③起動しているPCへの感染拡大
というフローなので、当然①のarpコマンドを検知するのが適切ですが、②を検知した時点で隔離しても感染は防げるので、私の解答は誤りとは言えないのではないか?と考えています。
ご助言・ご指摘いただけますと幸いです。
よろしくお願いいたします。
https://www.sc-siken.com/pdf/03_haru/pm1_3.pdf
17ページ・上から6〜7行目に登場する対策3をどう実現するか?という趣旨の問題です。
14ページ・表1「エージェント」の概要欄の末尾3行に、当設問の根拠となる部分があります。
>PC上で起動する全てのプロセスを監視する。指定した時間帯に指定したコマンドが実行された場合・・・
私の解答:エージェントにより、夜間にpingコマンドを実行した場合に当該PCの通信を遮断する設定を行う。
IPAの解答:エージェントによって夜間にarpコマンドの実行を検知したら、当該PCをネットワークから隔離する。
「自PCのarpテーブルを確認するためにarpコマンドを実行する必要がある」という知識が無かったので、「”夜間”に不審な振る舞いをするPCが実行するのはpingコマンドである」と解釈し、pingコマンドを検知する解答を作成しました。
①arpコマンドを実行してarpテーブル確認
↓
②pingコマンドを実行して社内ネットワーク内のPCの状態を確認
↓
③起動しているPCへの感染拡大
というフローなので、当然①のarpコマンドを検知するのが適切ですが、②を検知した時点で隔離しても感染は防げるので、私の解答は誤りとは言えないのではないか?と考えています。
ご助言・ご指摘いただけますと幸いです。
よろしくお願いいたします。
2025.03.27 13:11
GinSanaさん(No.2)
★SC シルバーマイスター
https://www.sc-siken.com/bbs/1787.html
にも関連しますが、②を検知した時点で隔離するとなにが困るのかというと、pingが飛んでから隔離したところで、①のarpで他のPCのことがわかっている(自身のARPテーブルに記載されている内容を見る)わけです。
にも関連しますが、②を検知した時点で隔離するとなにが困るのかというと、pingが飛んでから隔離したところで、①のarpで他のPCのことがわかっている(自身のARPテーブルに記載されている内容を見る)わけです。
2025.03.27 19:16
あきむさん(No.3)
GinSana様
毎度丁寧な解説をいただきありがとうございます。
他のPCについて情報を得てから隔離する、というプロセスが不適切ということですね。
ちなみに、この設問を解くまでは、ARPテーブルは「PC内にキャッシュ」しているものと理解していました。
仮にキャッシュしている場合
(本問の設定だと)
・昼間にARPコマンドを実行してARPテーブルを作成
↓
・夜間にキャッシュしていたARPテーブル情報を参照
となり、夜間にARPコマンドを実行する必要はなくなると思うのですが、私の理解は合っていますでしょうか?
毎度丁寧な解説をいただきありがとうございます。
他のPCについて情報を得てから隔離する、というプロセスが不適切ということですね。
ちなみに、この設問を解くまでは、ARPテーブルは「PC内にキャッシュ」しているものと理解していました。
仮にキャッシュしている場合
(本問の設定だと)
・昼間にARPコマンドを実行してARPテーブルを作成
↓
・夜間にキャッシュしていたARPテーブル情報を参照
となり、夜間にARPコマンドを実行する必要はなくなると思うのですが、私の理解は合っていますでしょうか?
2025.03.28 13:55
GinSanaさん(No.4)
★SC シルバーマイスター
>この設問を解くまでは、ARPテーブルは「PC内にキャッシュ」しているものと理解していました。
PC内にARPテーブルとして、ARP RequestとARP ReplyによってIPアドレスとMACアドレスが対応して記録されます。
ARPはネスペで嫌でもやるのでそのとき覚えてもらっても大丈夫です
>・昼間にARPコマンドを実行してARPテーブルを作成
>↓
>・夜間にキャッシュしていたARPテーブル情報を参照
Windowsの場合、基本時間を60秒として、0.5から1.5のランダムな値を掛けた数値がARPテーブルの保持時間です(※)。たまに10分とかあったりしますが、レジストリ値の変更で無理矢理変更しないとそんなもんです。
ちなみに、Ciscoルータだとデフォルトが4時間です。
つまり、夜間にはARPテーブルは空です。
※:Address Resolution Protocol caching behavior - Windows Server | Microsoft Learn
The "Reachable Time" value is calculated as follows:
Reachable Time = BaseReachable Time × (A random value between MIN_RANDOM_FACTOR and MAX_RANDOM_FACTOR)
RFC provides the following calculated results.
BaseReachable Time 30,000 milliseconds (ms)
MIN_RANDOM_FACTOR 0.5
MAX_RANDOM_FACTOR 1.5
(・・・)
Note
The "Base Reachable Time" value has changed to 60000 ms.
Reachable Time = BaseReachable Time × (A random value between MIN_RANDOM_FACTOR and MAX_RANDOM_FACTOR)
RFC provides the following calculated results.
BaseReachable Time 30,000 milliseconds (ms)
MIN_RANDOM_FACTOR 0.5
MAX_RANDOM_FACTOR 1.5
(・・・)
Note
The "Base Reachable Time" value has changed to 60000 ms.
「到達可能時間」の値は次のように計算されます:
到達可能時間 = Base Reachable Time × (MIN_RANDOM_FACTOR から MAX_RANDOM_FACTOR までのランダムな値)
手記
「Base Reachable Time」の値が60000ミリ秒に変更されました。
到達可能時間 = Base Reachable Time × (MIN_RANDOM_FACTOR から MAX_RANDOM_FACTOR までのランダムな値)
手記
「Base Reachable Time」の値が60000ミリ秒に変更されました。
2025.03.28 16:31
あきむさん(No.5)
詳細にご教示いただきありがとうございます。
大変勉強になりました。
ありがとうございました。
大変勉強になりました。
ありがとうございました。
2025.03.28 23:11
GinSanaさん(No.6)
★SC シルバーマイスター
>・昼間にARPコマンドを実行してARPテーブルを作成
>↓
>・夜間にキャッシュしていたARPテーブル情報を参照
これについて、キャッシュ時間で説明しましたが、そもそも電源落ちていたら、ARPテーブルの格納領域はRAM(揮発性メモリ)だから消えるだろということを説明してませんでした。
2025.04.06 15:21
あきむさん(No.7)
GinSanaさん
追加でご教示いただきありがとうございます。
知識を補強してくださり、助かりました!
追加でご教示いただきありがとうございます。
知識を補強してくださり、助かりました!
2025.04.07 18:04
その他のスレッド
»[1867] セキュアプログラミングについて 投稿数:1»[1866] 令和3年度 秋季 午後1 (その他午後問の採点基準) 投稿数:3
»[1865] 令和6年度 春期 午後3 SSRFについて 投稿数:3