SYNフラッド攻撃は、TCPがセッションを確立する時に行う3ウェイハンドシェイク(下図)を悪用したDoS/DDoS攻撃の一種です。
TCPのコネクションは下図のような3ウェイハンドシェイクが使われます。
SYNフラッド攻撃は、最初にSYNパケットを送信する際に、送信元IPアドレスを詐称した状態でパケットを送り出します。これを受け取ったサーバは詐称されたIPアドレスに対してSYN/ACKパケットを返しますが、これに対するACKパケットは返ってきません。このようなSYNパケットを大量に送りつけることで、サーバは接続用リソースが枯渇し、正規のTCP接続を受け付けられない状態に陥ります。
送信元IPアドレスがA、送信元ポート番号が 80/tcpのSYN/ACKパケットを未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合、推定できる攻撃はどれか。
~「ネットワークスペシャリスト・令和元年秋期」より
ア | IPアドレスAを攻撃先とするサービス妨害攻撃 |
イ | IPアドレスAを攻撃先とするパスワードリスト攻撃 |
ウ | IPアドレスAを攻撃元とするサービス妨害攻撃 | エ | IPアドレスAを攻撃元とするパスワードリスト攻撃 |
答え:ア
未使用のIPアドレス空間を宛先とするSYN/ACKパケットを観測したということは、Aが未使用領域に属するIPアドレスからのコネクション確立要求(SYNパケット)を受け、それに対する応答を行ったことを示しています。このことから、SYNパケットの送信元IPアドレスは偽装されており、Aが受信したSYNパケットは攻撃用のパケットと推定できます。