サイトアイコン やさしいネットワークとセキュリティ

NAPTとDHCPのログ解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.3】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.3

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】

【無線LANセグメントの調査】
 10.100.130.1は、ルータとして動作しているAPに割り当てたIPアドレスであることが分かった。APではNAPTでIPアドレスの変換をしてPCと接続していることから、APに接続しているPCがワームVに感染している可能性があると判断した。これらのPCのIPアドレスはAPのDHCP機能で設定していることから、APの通信ログ及びDHCPサーバ機能のログ(以下、DHCPサーバログという)を調査することにした。
 DHCPサーバ機能では、IPアドレスのリース期間を1時間にしており、プールしているIPアドレス範囲から適宜リースする。APでの通信ログのうち宛先IPアドレスがG社の利用していないIPアドレスであり、かつ、宛先ポートが445/TCPのものを表1に示す。表2に10月28日のAPのDHCPサーバログを示す。M君は、表1と表2を基に、445/TCPのポートをスキャンしているPCを特定した。

APの通信ログとDHCPサーバログを調査して、ワームVに感染したと判断すべきPCを全て答えよ。:PC101,PC133,PC277,PC301,PC321,PC340

 表1(APの通信ログ)から分かることを整理しましょう。
 NAPT変換前IPアドレスに登場するのは4個で、それぞれ宛先IPアドレスを変えて445/TCPのポートスキャンを行った時間帯は以下の通りです。

 注意が必要なのは、表1の省略されている時間帯では、上記の通信が複数発生している可能性があるということです。
 そして、この時間帯にNAPT変換前IPアドレスを使用していたPCを表2(APのDHCPサーバログ)から探します。
 ここで、「DHCPサーバ機能では、IPアドレスのリース期間を1時間に設定」とありますが、PCが接続状態の時はリース期間の1時間を経過してもそのままIPアドレスを継続利用できることに留意します。
 したがって、ポートスキャンが開始された時間帯より遡って、リースされたPCが対象になります。

 ここで、PC101は2回登場しますが、これは最初に192.168.0.8でポートスキャンを行った後、割り当てられたIPアドレスを一度リリースして、改めて192.168.0.12でリースされ、再度ポートスキャンを行ったと考えられます。

感染したPCによる通信を調べてみると、DHCPによってIPアドレスが変わったので、感染した複数のPCが同じ送信元IPアドレスを使っている場合がある。感染した複数のPCによって使われた送信元IPアドレスを解答群から全て選べ。:192.168.0.8,192.168.0.32,192.168.0.44

 上記の通り、複数のPCによって使われたIPアドレス3個を回答すれば良さそうです。

モバイルバージョンを終了