特徴
- 3ウェイハンドシェイクを使用した攻撃に「SYN flood攻撃」がある。
- 「SYN flood攻撃」では、送信元IPアドレスを偽装したTCPのSYNパケットを攻撃対象に大量に送信し、攻撃対象のリソースを消費させサービス停止を狙う。
過去問
ネットワークスペシャリスト試験 令和元年度 秋期・平成29年度 秋期
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問18(一部、加工あり)】
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問17(一部、加工あり)】
未使用のIPアドレス空間であるダークネットに到達する通信の観測において、送信元IPアドレスがA、送信元ポート番号が80/tcpのSYN/ACKパケットを受信した場合に想定できる攻撃はどれか。
- IPアドレスAを攻撃先とするサービス妨害攻撃
→正解です。
SYN/ACKパケットは、TCPの3ウェイハンドシェイクにおいて、クライアントからサービス提供側へのSYNパケット(確立要求)に対し、サービス提供側が応答するパケットです。
SYN/ACKパケットを受信したクライアントは、サービス提供側へACKパケットを送信して、TCPコネクションが確立します
SYN/ACKパケットの送信元IPアドレスAがサービス提供側ですが、宛先がダークネットということは、SYNパケットがダークネットのIPアドレス空間から発信されたということです。
ただし、ダークネットのIPアドレス空間は未使用領域であるため、実際にはそのようなクライアントは存在しません。
つまり、クライアントが自身の送信元IPアドレスを偽装して、SYN/ACKパケットをダークネットに応答するよう導いているのです。
SYN/ACKパケットにACK応答するクライアントは存在しないため、サービス提供側(IPアドレスA)は、当該3ウェイハンドシェイクを保留した状態でリソースを消費し続けることになります。
このような3ウェイハンドシェイクを使用した攻撃のことを「SYN flood攻撃」といいます。
送信元IPアドレスを偽装したTCPのSYNパケットを攻撃対象に大量に送信し、攻撃対象のリソースを消費させサービス停止を狙う攻撃です。 - IPアドレスAを攻撃先とするパスワードリスト攻撃
- IPアドレスAを攻撃元とするサービス妨害攻撃
- IPアドレスAを攻撃元とするパスワードリスト攻撃