前回の続き。受かる受からないもだけど、復習が大事。結局のところ、自分の知識と能力として獲得できなければ意味がない。
特に今回の問2の問題(DNSリフレクション攻撃があったら、DNSコンテンツサーバとキャッシュサーバを分ける)というのは、実務ではかなり役立ちそうなので、確実にモノにしておく。
※ なおTACの回答はこちら。
https://www.tac-school.co.jp/kaitousokuhou/downloads/14_R3S_SC%E8%A7%A3%E7%AD%94%E4%BE%8B.pdf
自分の答え(赤は明らかな間違い)(青が正しいと思われる)
全体として「具体的に述べよ」とあるところは必ず文中の言葉を使い、文中にある機器名に対して「何を」「どうするか」を明確になるよう回答した。
(1)の問題文では、「本文中の下線①について、A社の公開Webサーバへの影響を、30字以内で述べよ」と言っている。答えの主旨としては「Webサービスが止まって外部へのWebサービスの提供ができなくなる」ことを答えられればいいはず。
ここで、問2の設問の冒頭(P7)を見ると、「A社は従業員500名の…小売店であり、インターネットを介して消費者向けに商品を宣伝している」とあるから、ここの言葉を使うとすれば答えは「商品を宣伝できなくなる」を盛り込んでも良さそうに思える。
けど、そもそもWebサービスができることは商品の宣伝以外にもあり得るわけで、それに絞る必要は感じない。かつ、問題文は公開Webサーバへの影響を述べよ、と言っているわけで、「商品を宣伝できない」というのは「(公開)サーバへの影響」というには、主語がおかしい。
そして何より、問題文は「具体的に述べよ」とは言っておらず、単に「述べよ」と言っているだけだから、問題文の言葉を使わずとも、自分の表現で良かろう。
問題文は「影響を述べよ」と言っているから、公開Webサーバに(←影響を受ける対象は問題文で指定されている)どんな影響があるのかを明確にする(公開できなくなることを断言する)よう意識して回答した。
ここは、他の人の回答(5ch)を見ていても、色々と解答が混じっているようだ。けど、大勢は
「DNSリフレクター攻撃」
「DNSリフレクション攻撃」
「DNS amp攻撃」
「DNS アンプ攻撃」
のどれかのようで、おそらくそれが正解なのだろう。
自分はDNSスプーフィング攻撃と解答してしまった。おそらく不正解。
スプーフは「騙す」の意味のようだ。
DNSスプーフィングというと要は騙しパケットを投げることで、それだと(その典型としての)DNSキャッシュポイゾニングの意味になってしまうらしい。
ところがどっこい、これが「IPスプーフィング」だと、こういう過去問がある(午前Ⅱ)。
これって今回の問題に酷似してるよね…
↑図の「Y.Y.Y.Y」サーバが騙されるDNSサーバだとすれば、それをもって攻撃対象サーバに大量トラフィックを発生させられるわけで。この過去問がアタマにあったので、つい「***スプーフィング」と解答してしまったが、どうやら不正解のようだ(部分点くらいくれないかなぁ)。
この(3)は、かなりの良問と見た。DNSの仕組みをしっかりと理解していないと解答できない。かく言う自分もDNSの知識が曖昧なので、本当に aア bイ でよいのかは自信がない。
しかし、以下の検討を踏まえるとaア bイ が正しいだろうと考えざるをえない。
(検討)まずは問題文を見返す。
DNS-K が権威サーバ
この記事がすごく分かりやすい。
この記事にある
コンテンツ・サーバが、問題文にあるDNS-K
そうすると
コンテンツ・サーバ=DNS-Kを(DMZに置いて)インターネットに見せる
キャッシュ(リゾルバ)=DNS-Fはインターネットから切断する
が正しい。
ここで注意なのは
キャッシュ(リゾルバ)=DNS-Fはインターネットから切断する
と言っているのは
DNS-Fがインターネット側から接続される
=外側から(名前解決のためのリゾルバとして)アクセスされる のを禁止する
という意味であって
DNS-Fがインターネット側に接続しに行く
=外側へ(名前解決のために)アクセスに行く のは禁止されない
というところ。
その理解で問題文を見返すと
まず項番6 については簡単で、(送信元)インターネット側から(宛先)b へ接続(されること)を許可するわけだから、bにはDNS-K=コンテンツ・サーバが入る。
で、項番5 が難問。(送信元)a から(宛先)インターネットへの接続、つまり外に出る方向を許可するだけだから、aにはDNS-Fが入る。
(4)の答えはA(レコード)が正しいようだ。ひっかけ問題にも思えるが、DNSの動きを正常に理解していれば間違えなかったはず。自分の理解が未熟だったと言うしかないが、この機会に覚えることにする。
問題文はこれ。
キャッシュポイゾニングってことはフルリゾルバ(今回でいうとDNS-F)への攻撃だ。
問題文は
「…メールサーバの(c)レコードの IPアドレスが…書き換えられてしまい…」
と言っているから
ついMXレコードと書いてしまいたくなる。
たとえばDNS-Kのゾーンファイルがこうなっていたと仮定すると
IN MX 10 mail.a-sha.co.jp
MXレコードの右端のドメイン名(mail.a-sha.co.jp)を攻撃者のメールサーバのドメイン名に書き換えてしまえば、メールを奪取できるように思えるからだ。
しかしよく考えると、mx1.example.jpの名前解決をするにはAレコードが必要なわけで、ここで「あれ。答えはもしかしてAレコードかな?」と気づかなきゃいけない。
そうするとゾーンファイルはこんな感じになっているはず
IN MX 10 mail.a-sha.co.jp
mail IN A xx.yy.zz.tt
ここで、問題文を目を凝らしてもう一度よくみると
「…メールサーバの (c)レコードの IPアドレスが…書き換えられてしまい…」
と言っている。
そうすると、ゾーンファイルのうちIPアドレスが書いてあるのはAレコードなので答えはA(レコード)になる。
(続きは後日追記予定)
参考