www.youtube.com 令和6年春期 午前Ⅱ 問5を題材に、サクラとモモが「ゴーストパケットの謎」を解き明かします。未使用IP宛に届く大量のSYN/ACKパケットを端緒に、IPスプーフィングを用いたSYN flood攻撃の手口を徹底解剖。さらに、AI駆動型DDoSなどの最新動向や防御策、ダークネットの役割についても解説し、目に見える通信の裏側を読み解く力を養います。 まず、通信の基本となるTCPの3ウェイ・ハンドシェイクについて理解する必要があります。この仕組みでは、通信開始時にSYNパケットが送られ、それに対してSYN/ACKパケットが返信されます。つまり、SYN/ACKパケットは必ずSYNに対する返事として送られるという大前提があります。次に重要なのがIPスプーフィングと呼ばれるIPアドレスの偽装です。攻撃者は身元を隠すため、パケットの送信元IPアドレスをターゲットのIPアドレスに偽装して大量のSYNパケットを送信します。パケットを受け取ったシステムは、偽装された送信元に対して一斉にSYN/ACKパケットを返信してしまいます。この手法が悪用されるのがSYN flood攻撃です。攻撃先とされた被害者は大量のSYNパケットを処理させられ、システムのリソースを浪費させられます。一見すると被害者が攻撃元に見えますが、実際にはDoS攻撃を受けている状態であり、この攻撃の副作用として観測される通信をバックスキャッターと呼びます。また、宛先となるダークネットの知識も必要です。ダークネットは未使用のIPアドレス空間であり、ここから自発的に通信が行われることは絶対にありません。しかし、セキュリティ組織はこれを監視網として利用しており、異常なパケットの到達を観測することで、世界中のサイバー攻撃を早期に検知する重要なセンサーとして活用しています。さらに、通信のレイヤーの違いを意識することも欠かせません。SYN/ACKによるやり取りはトランスポート層での通信確立プロセスですが、パスワードリスト攻撃などは上位のアプリケーション層で行われます。コネクション確立前にはパスワードを試すことは不可能なため、この違いで攻撃の種類を見分けることができます。最後に、現代の脅威と防御策です。近年はAIが正規の通信に擬態したり、ネットワーク全体に分散して攻撃を仕掛けるAI駆動型DDoSの脅威が高まっています。これに対抗するため、リソースを消費せずに接続を検証するSYN Cookiesや、クラウド上で攻撃トラフィックを洗浄するスクラビングセンターといった技術が主流となっており、目に見えるパケットの裏側を読み解く力が求められています。