設問1
(1)
a : (r)
自分はこのような表記を見たことが無い(たぶん、恐らく、きっと…)
なので初見はなんとなくで(r)を入れていた
参考にした解説を見ると「(r)のメッセージでアドレス解決に時間要していることが分かる」
との記載しかなく、私含め知らなかった方は「そういうものなんだ」と割り切りましょう。
調べたところ、少なくともFireFoxではこういった表示が出るらしいです。
(2)
b: ウ
c: 詐称
K君が言うには、「パケットモニタZには、DNSクエリを伴わないDNSクエリレスポンスが多量に記録されていました。」とのこと
DNSクエリレスポンスは全てインターネット上のIPアドレスに送信されているが
本来であれば、DNSクエリレスポンス(応答)に紐づくインターネットからのDNSクエリ(要求)も
パケットモニタZに記録されるはずだが、要求のログは無い…
考えられるのは社内LANのいずれかのPCが
DNSクエリの送信元をインターネットからのIPアドレスに詐称したということ
なので bにはウ cには詐称(偽装も〇かな??)が入る
他の選択肢について
仮に ア イ のどれかに詐称されていた場合
ネットワークの構成的に、パケットはパケットモニタZを経由しないので
ログが残らないはずです。
(3)
d: イ
(2)を解いている時点で察しがつくと思いますが
これはまさに「DNSリフレクション」だと分かります
他選択肢について
ア のDNS cache poisoning(キャッシュポイズニング)
これもDNSサーバに対する有名な攻撃の一つ
キャッシュサーバ内のキャッシュを書き換えて悪意あるサイトに誘導するというもの
問題文からキャッシュポイズニングに関する記述は見られない
ウ の総当たり
DNSにはIDに対する総当たり攻撃がある
これはDNSパケットを一意に識別する為の値で、レスポンスを返す際にはこのIDを一致させる
IDは16ビット(65535)しかないので、総当たりは比較的容易であり
キャッシュポイズニング攻撃に悪用されることが多いとのこと。
問題文からは総当たりの特徴は見られない。
エ のファーミング
初見では分からなかったので調べたところ
これはhostsファイルやDNSのリソースレコードを不正に書き換える攻撃のことらしいです
だからキャッシュポイズニングもファーミングの一部なのかなぁと思ったり…
どっちみち問題中にそれらの記述は見受けられないのでバツ
(4)
e: (Ⅱ)
f: (Ⅴ)
修正:インターネットからのA社以外のドメイン上のアドレスに関するDNSクエリを拒否する(41字)
(Ⅱ)と(Ⅴ)の組み合わせを言い換えると
インターネットからのDNS要求に対してA社外(インターネット)の名前解決を行い、返答している
これは「オープンリゾルバ」という状態で
この状態のDNSサーバはリフレクション攻撃に利用されてしまう。
なので答えのような修正を行う必要がある
設問2
(1)
不正な通信挙動(どれか1つ)
名前解決のために3台以上のDNSサーバと通信している。(27字)
A社以外のDNSサーバにMXレコードを問い合わせている。(28字)
g: エ
(Ⅳ)を見ると「a1.a2.a3.a4(α部門)」がインターネット上のDNSサーバに対し
MXレコードを直接問い合わせている。
MXレコードは、メールを送信する際に宛先のメールサーバ(ホスト名)を得るために用いられますが
PCが直接問い合わせる必要はない、まずここが怪しい
また、DNSクエリ(要求)がインターネット上のDNSサーバに送られているが
本来であれば、A社内のDNSサーバを介して名前解決が行われるはずなので
3台ものインターネット上のDNSサーバと直接通信するのも不審。
よって答えはこの2点いずれかを指摘する
選択肢に関しては、「3台のDNSサーバにMXレコード問い合わせている」
ということを主軸に考えると、(エ)が妥当だと思います
(2)
ア, ウ
(Ⅵ)を見ると、a1.a2.a3.a4が宛先IPアドレスを連続的に変化させながらTCP-SYNを送信している。
これはDNSクエリなしで宛先と直接的にコネクションを確立させようという試みである
また、宛先を総当たり的に連続で変化させているため、コネクション接続成功率が低下する
設問3
(1)
OSやアプリケーションが本来通信しないあて先ホストと通信するプロセス(34文字)
OSやアプリケーションが本来通信しないあて先ポートを利用するプロセス(34文字)
図4の通り、外部のDNSサーバと通信したり
宛先IPアドレス変化させながらをNetbiosのポートに接続したりと
通常とりえない挙動に着目して、通信プロセスを特定したと思われます
ちなみに自分は、初見で「宛先IPアドレスを変えながらNetbiosのポートに接続を試みるプロセス」
としました。(たぶん×かな…)
余談ですが、Netbiosのポートは危険とのことで基本閉じることが推奨されているようです
具体的に何がどう危険なのか、こちらのサイトに詳細があるので興味ある方はぜひ
(このサイトの通信は保護されていません)
(2)
ウィルス対策ソフトによるパターンファイルの更新確認パケット(29文字)
まずhostsファイルの何が改ざんされていたのか、ですが
配布サイトのIPアドレスが全てローカルホストアドレスのものに設定されており
これらが改ざんされたのだと考えられます
ウィルス対策ソフトはパターンファイルの自動更新の際、配布サイトに接続する為にURL(FQDN)
を名前解決しようとしますが、この時hostsファイルでの名前解決が優先されるので
ウィルス対策ソフトが配布サイトに接続したくても、ローカルホストのアドレスに変換され
結果として、パターンファイル更新の為のパケットが観測されなくなった ということです。
感想
パケットの解析というよりかはDNS関連がほとんどだったと思います
最初の問題やhostsファイルの件は知らなかったので、新たな知見が得られて良かった。
コメント