今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は2.2章:ポートスキャンのCheck問題です。
【Q1】TCP、UDPによるポートスキャン方法の違いは何か。
TCPでは3ウェイハンドシェイクによってターゲットポートとTCPコネクションが確立できるかによって状態を確認する。また、ターゲットポートにSYNパケットを送り、その応答結果がSYN/ACKであればアクティブ状態であると判断し、RST/ACKであればアクティブ状態であると判断する方法もある。
UDPではターゲットポートにパケットを送り、その結果何の応答もなければアクティブ状態であると判断でき、「ICMP port unreachable」が帰ってきた場合は非アクティブ状態であると判断できる。
【Q2】検知されやすいポートスキャン手法と、検知されにくいポートスキャン手法がある。後者はなぜ検知されにくいか。
前者はコネクションを確立するため、ターゲットサーバにログが記録され、サーバログを分析することで検知できるが、後者はコネクションの確立が必要ないため、ターゲットホストにログが記録されない。
【Q3】検知されにくいポートスキャンへの対処方法にはどのようなものがあるか。
・ネットワーク監視型IDS、ホスト監視型IDS、IPSなどを用いて検知する。
・ファイアウォールのログから検知する。
私が使っているのは2022年版のテキストですが、2023年版も出ています。