NAPTとDHCPのログ解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.3】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.3
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】
【無線LANセグメントの調査】
10.100.130.1は、ルータとして動作しているAPに割り当てたIPアドレスであることが分かった。APではNAPTでIPアドレスの変換をしてPCと接続していることから、APに接続しているPCがワームVに感染している可能性があると判断した。これらのPCのIPアドレスはAPのDHCP機能で設定していることから、APの通信ログ及びDHCPサーバ機能のログ(以下、DHCPサーバログという)を調査することにした。
DHCPサーバ機能では、IPアドレスのリース期間を1時間にしており、プールしているIPアドレス範囲から適宜リースする。APでの通信ログのうち宛先IPアドレスがG社の利用していないIPアドレスであり、かつ、宛先ポートが445/TCPのものを表1に示す。表2に10月28日のAPのDHCPサーバログを示す。M君は、表1と表2を基に、445/TCPのポートをスキャンしているPCを特定した。
APの通信ログとDHCPサーバログを調査して、ワームVに感染したと判断すべきPCを全て答えよ。:PC101,PC133,PC277,PC301,PC321,PC340
表1(APの通信ログ)から分かることを整理しましょう。
NAPT変換前IPアドレスに登場するのは4個で、それぞれ宛先IPアドレスを変えて445/TCPのポートスキャンを行った時間帯は以下の通りです。
- 192.168.0.8:10/28 14:26:45 – 17:31:25
- 192.168.0.12:10/28 16:51:50 – 17:31:25
- 192.168.0.32:10/28 14:25:02 – 17:31:23
- 192.168.0.44:10/28 14:27:18 – 17:31:22
注意が必要なのは、表1の省略されている時間帯では、上記の通信が複数発生している可能性があるということです。
そして、この時間帯にNAPT変換前IPアドレスを使用していたPCを表2(APのDHCPサーバログ)から探します。
ここで、「DHCPサーバ機能では、IPアドレスのリース期間を1時間に設定」とありますが、PCが接続状態の時はリース期間の1時間を経過してもそのままIPアドレスを継続利用できることに留意します。
したがって、ポートスキャンが開始された時間帯より遡って、リースされたPCが対象になります。
- 192.168.0.8:PC101,PC301
- 192.168.0.12:PC101
- 192.168.0.32:PC321,PC340
- 192.168.0.44:PC277,PC133
ここで、PC101は2回登場しますが、これは最初に192.168.0.8でポートスキャンを行った後、割り当てられたIPアドレスを一度リリースして、改めて192.168.0.12でリースされ、再度ポートスキャンを行ったと考えられます。
感染したPCによる通信を調べてみると、DHCPによってIPアドレスが変わったので、感染した複数のPCが同じ送信元IPアドレスを使っている場合がある。感染した複数のPCによって使われた送信元IPアドレスを解答群から全て選べ。:192.168.0.8,192.168.0.32,192.168.0.44
上記の通り、複数のPCによって使われたIPアドレス3個を回答すれば良さそうです。
