情報処理安全確保支援士試験 - 平28秋 - 午後1- 問1（SSH系)の質問です。質問が3つあります。
問題：https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_2/2016h28a_sc_pm1_qs.pdf
模範解答：
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_2/2016h28a_sc_pm1_ans.pdf

①まず表1で上4つのレコードはローカルアドレス、外部アドレス共に「0.0.0.0:x」となっていますが「0.0.0.0:x」の意味を教えてください。
②表1に通信の方向性は決まっていますか？（ローカルアドレス→外部アドレスなど）

③設問3(2)の模範解答は「中間者攻撃による通信内容の盗聴」です。
私は、同一モデルによるなりすましはわかるのですが、それと中間者攻撃に結び付くのかがわかりません。
同一モデル（正規）→同一モデル（攻撃者）→監視端末で中間者攻撃が行われているということでしょうか。

１．「0.0.0.0:x」の意味について
22/tcp SSHサービスを例に説明します。
この「0.0.0.0」はソケットがIPv4でLISTEN状態の時に表示されるものとなります。
イメージ的にはIPアドレスのワイルドカードを指定しているようなものです。
ローカルアドレス：「0.0.0.0:22」
    ローカルサーバの全てのNICの22/tcp番ポ－トからアクセスを受け付けます。
    特定のNICでのみLISTENさせたい場合は、明示的にsshdの設定でLISTENを許可する
    NICのIPアドレスを指定します。
    その際は、指定したNICのIPアドレスが表示されるようになります。
外部アドレス：「0.0.0.0:*」
    全ての外部アドレスの全てのポートからアクセスを受け付けます。

２．通信の方向性について
TCPの場合：ローカルアドレス - 外部アドレスで状態が「ESTABLISHED」の
コネクションは両方向でデータ通信が可能です。
UDPの場合：UDPは外部アドレスからローカルアドレスへ一方的に通信するのみです。
コネクションという概念がありません。

３．「中間者攻撃による通信内容の盗聴」ついて
>同一モデル（正規）→同一モデル（攻撃者）→監視端末で中間者攻撃が
>行われているということでしょうか。
はい。そのイメージであっています。
中間者攻撃とは
・正規の通信に割り込む
・通信内容を中継する際に情報を改ざん・窃取する
が基本イメージになります。
なりすまし攻撃のより発展した形式とも言えます。

理解しました。ありがとうございます。