H23春PM1問4設2のセンタの解答は不十分では

こりんさん  
(No.1)
問題・設問はパスワード攻撃のうち、リスト型攻撃の対策を問うています。
センタの解答:「一定時間内に同一IPアドレスから複数の会員IDでログイン試行し、かつ、一定回数以上認証失敗していること」
私の解答:「一定時間内に複数の会員IDでログイン試行し、かつ一定回数以上認証失敗していること」
つまり、「同一IPアドレスから」を含めていません。
攻撃者がある固定端末でも、発信元のIPアドレスを毎回詐称(IP-Spoofing攻撃)したら、センタの解答では検出できません。

理解が間違っているでしょうか。

付け加えるに、
私は本問の少し前に"H27春PM1問3設2(2)(3)"をやっていて、
解答・解説ともに、なるほどと納得していました。
H27春PM1問3設2(2)(3)
センタの解答:
(2)「単位時間当たりの同一IPアドレスからのログイン試行数」
(3)「多数のIPアドレス」

パスワード攻撃のうち、リバースブルートフォース攻撃やリスト型攻撃で
(2)は、発信元が同一IPアドレスからの対応策
(3)は、発信元が多数のIPアドレスからの対応策
2020.05.22 16:28
助け人さん 
(No.2)
こりんさんのいつもの思慮深さには感服します。

攻撃者が、送信元IPアドレスを固定にせず、ランダムに変更することは、ごく当然です。H23春の問題では、こりんさんの理解でいいと思います。

また、H23春とH27春という時系列から察するに、H27春の問題では、H23春の問題で想定しなかった「多数のIPアドレス」からの攻撃にも対応するような内容に、見直したようにさえ見えます。
2020.05.23 13:35
こりんさん  
(No.3)
助け人さん、コメントありがとうございます。
センタ解答から幾らか逸れていますが、部分点はもらえそうですね。
最近の問題は6,7年以上前の問題より難しく(、緻密に)なっている気がします。

ところで、私の(No.1)は後から考えてみると間違ってしまった箇所がありました。
  【発信元のIPアドレスを毎回詐称(IP-Spoofing攻撃)したら、】
これだとTCPの場合、3ウエイ・ハンドシェイクのSYN/ACKパケットが詐称したアドレスに飛んでしまい、コネクション確立ができません。ユーザID/パスワードがサーバに届く以前の話になります。
TCP以外の場合でも、応答が詐称したアドレスに飛んでしまい、攻撃者の側では状況の把握ができません。

「多数のIPアドレス」を作り出すのは、悪意のハッカーは幾らでも考えるのでしょうが、
その一つでボットネットを作り出す方法もあります。そこで修正です。

【攻撃者がある固定端末から、パスワード攻撃するボットネットを作り出し指示したとすると、センタの解答では検出できません。】
2020.05.24 14:57
助け人さん 
(No.4)
「多数のIPアドレス」は、ボットネットが現実的ですね。TCPだとIPスプーフィングがうまくいきません。私も迂闊でした。
2020.05.24 15:54

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop