このエントリーをはてなブックマークに追加

概要

インターネットの応答が遅いとの苦情。そこで、J主任とK君の登場。

原因調査と対処

(a)登場。図1でDNSの問題につながるのは、名前解決をしている(r)しかない。楽勝。そして、パケット解析が始まる。ややこしいが、図3をしっかり確認。「DNSクエリを伴わないDNSクエリレスポンス」とあり、確かに図3の詳細のところにQuery responseがある。(b),(c)が登場し、読み進めると「不正なDNSクエリ」というところで、これはDNSキャッシュポイゾニングの攻撃を受けていると気づいた。なので、DNSキャッシュポイゾニングは内部からの問い合わせであると偽装しているので、(b)はアとなり(c)は偽装にしておいた。(d)はもちろん、アとなる。

(e)(f)と下線部1登場。DNSが踏み台にされる可能性に対応せよとの指示がでる。踏み台ってことは、外部からきて外部へ出て行くということで、図3をみると宛先が外部でレスポンス内容も外部だと割と証拠になると判断。なのでⅡとⅤを選択する。下線部1については、この場合コンテンツサーバとキャッシュサーバが同じサーバで機能しているので、外部からの再帰問い合わせを無効にすればよい。この辺りは、よくでる論点なので問題の意図が読みやすい。

異常PCの特定

下線部2登場。Ⅵに異常な通信があるとのこと。図3を見るとMXレコードを引いているのでメールに関係することが分かる。なので(g)迷惑メールを選択。また、何が異常か聞いている。おそらくメールを送信するときは、DMZ上のメールサーバがDNSに問い合わせをすると思われる。そう考えると、社内から外部に直接メールを送ろうとしているのは怪しい。

下線部3登場。Ⅶも怪しいとのこと。SYNが連続しているのでSYNフラッド攻撃が思い浮かんだ。そして該当するものを2つ選べとの指示。1つはコネクションの接続の低下で、もうひとつは、この場合図4をみると内部ネットワークからの接続なのでDNSへの問い合わせなしに直接攻撃していると思われる。

異常PCの対処と今後の対策

怪しい1台のPCを特定する。下線部4登場。不審な通信プロセスとは何かと聞いている。何やろ。何を答えさせたいか、いまいちピンとこない。ウィルスが行う通信って何やろ。監視している項目は、通信プロセス名、実行ファイル名、通信の宛先IPアドレスとポート番号なので、このなかから選べばよいのか??とりあえず、今までのパケット解析から得られた宛先IPアドレスとサービスポートの番号にマッチするプロセスを特定すべきという内容をかいておく。

下線部5登場。TCP/UDPが自動的に発信されるとのこと。DNSの問い合わせやDHCPとかはUDPだったような記憶もあるが、hostsファイルの改ざんでひらめいたことにつながらない。とりあえずhostsファイルはすべてローカルホストに向いてるが回答は思い浮かばない。ログインしていれば、自動的に出るTCP/UDPパケットって・・・思い浮かばない。

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス