HOME»応用情報技術者試験掲示板»平成26年秋期 午後問1(ポートスキャン)
投稿する
ポートスキャンというのは標的に対して
「外部から対象サーバへアクセスが可能か?」
「脆弱性のあるサービスが動いていないか?」を調べる作業なので、
その作業自体はできているからです。
遮断されるので、何も応答パケットが帰ってこなくて
攻撃者は該当ポートが閉じているというのがわかります。
それだけで、ポートスキャンの用語の意味である
「外部から対象サーバへアクセスが可能か?」
「脆弱性のあるサービスが動いていないか?」を調べる作業は達成されていると考えています
そのため、ポートスキャン自体はできる。
しかし、それを悪用した攻撃はできない、という意味で質問させていただきました。
わかりづらくてすみません汗
平成26年秋期 午後問1(ポートスキャン) [2179]
ppさん(No.1)
平成26年秋期 午後問1 設問1(オ)
https://www.ap-siken.com/kakomon/26_aki/pm01.html
こちらに関して何度か掲示板でも議題にあがっていましたが、
私の認識が間違っていないか確認したくて質問をさせていただきます。
選択肢オが、FWで防げる理由ですが解説や皆様の過去のスレッドの意見を
みても、「FWでポートスキャンを防げる」というのが結論だと思います。
しかし私の認識では
「ポートスキャンとは相手ホストにダメージを与える、もしくは
侵入するといったとき、事前の準備として、ポートスキャンと呼ばれる調査を行う。
これは「外部から対象サーバへアクセスが可能か?」
「脆弱性のあるサービスが動いていないか?」を調べる作業」
と、IPA通りの認識です。
なので、不要ポートを閉じていてもポートスキャン自体を
実行されることは可能なわけで、FWでポートスキャンを防げない
と思います。
しかし、この(オ)の選択肢は
「プロキシサーバを狙った,外部からのポートスキャンを『悪用した』攻撃」
であって、「プロキシサーバを狙った,外部からのポートスキャン」ではない
ところがミソだと考えています。
(「悪用した攻撃」というワードが大事)
つまり、ポートスキャン自体はされるけれども、
それを利用(悪用)した攻撃は防げる、
というのが正しいのではないかと思っています。
もしこの選択肢(オ)が
「プロキシサーバを狙った,外部からのポートスキャンを『悪用した』攻撃」
ではなく、「プロキシサーバを狙った,外部からのポートスキャン」
だった場合はFWでは防げない項目の一つに当てはまっていたのではないか
と思っていますが、いかがでしょうか?
https://www.ap-siken.com/kakomon/26_aki/pm01.html
こちらに関して何度か掲示板でも議題にあがっていましたが、
私の認識が間違っていないか確認したくて質問をさせていただきます。
選択肢オが、FWで防げる理由ですが解説や皆様の過去のスレッドの意見を
みても、「FWでポートスキャンを防げる」というのが結論だと思います。
しかし私の認識では
「ポートスキャンとは相手ホストにダメージを与える、もしくは
侵入するといったとき、事前の準備として、ポートスキャンと呼ばれる調査を行う。
これは「外部から対象サーバへアクセスが可能か?」
「脆弱性のあるサービスが動いていないか?」を調べる作業」
と、IPA通りの認識です。
なので、不要ポートを閉じていてもポートスキャン自体を
実行されることは可能なわけで、FWでポートスキャンを防げない
と思います。
しかし、この(オ)の選択肢は
「プロキシサーバを狙った,外部からのポートスキャンを『悪用した』攻撃」
であって、「プロキシサーバを狙った,外部からのポートスキャン」ではない
ところがミソだと考えています。
(「悪用した攻撃」というワードが大事)
つまり、ポートスキャン自体はされるけれども、
それを利用(悪用)した攻撃は防げる、
というのが正しいのではないかと思っています。
もしこの選択肢(オ)が
「プロキシサーバを狙った,外部からのポートスキャンを『悪用した』攻撃」
ではなく、「プロキシサーバを狙った,外部からのポートスキャン」
だった場合はFWでは防げない項目の一つに当てはまっていたのではないか
と思っていますが、いかがでしょうか?
2020.09.13 20:53
助け人さん(No.2)
★AP ゴールドマイスター
この投稿は投稿者により削除されました。(2020.09.14 23:06)
2020.09.14 23:06
ppさん(No.3)
>>「不要ポートを閉じていてもポートスキャン自体を実行されることは可能なわけで、FWでポートスキャンを防げないと思います」とおっしゃっていますが、「不要ポートを閉じていてもポートスキャン自体を実行されることは可能」とは、なぜでしょうか?
ポートスキャンというのは標的に対して
「外部から対象サーバへアクセスが可能か?」
「脆弱性のあるサービスが動いていないか?」を調べる作業なので、
その作業自体はできているからです。
>>ポートスキャン(SYNスキャンでもUDPスキャンでも)のパケットは、FWで遮断されます
遮断されるので、何も応答パケットが帰ってこなくて
攻撃者は該当ポートが閉じているというのがわかります。
それだけで、ポートスキャンの用語の意味である
「外部から対象サーバへアクセスが可能か?」
「脆弱性のあるサービスが動いていないか?」を調べる作業は達成されていると考えています
そのため、ポートスキャン自体はできる。
しかし、それを悪用した攻撃はできない、という意味で質問させていただきました。
わかりづらくてすみません汗
2020.09.13 22:50
ppさん(No.4)
少し訂正しますがポートスキャンの種類によっては
閉じているポートでもエラーの返答を出すものと何も返さないものが
あるので種類によって判断はできるかと思います
閉じているポートでもエラーの返答を出すものと何も返さないものが
あるので種類によって判断はできるかと思います
2020.09.13 22:57
助け人さん(No.5)
★AP ゴールドマイスター
この投稿は投稿者により削除されました。(2020.09.14 23:06)
2020.09.14 23:06
ppさん(No.6)
この投稿は投稿者により削除されました。(2020.09.13 23:24)
2020.09.13 23:24
助け人さん(No.7)
★AP ゴールドマイスター
この投稿は投稿者により削除されました。(2020.09.14 23:07)
2020.09.14 23:07
助け人さん(No.8)
★AP ゴールドマイスター
この投稿は投稿者により削除されました。(2020.09.14 23:07)
2020.09.14 23:07
助け人さん(No.9)
★AP ゴールドマイスター
(No.6)以降、放置されたので、こちらも撤収します。
2020.09.14 23:08