試験合格にはテクニックも必要

　なんて、屁理屈を言っているが、本当にネットワークのスペシャリストを目指

　している人は、ネットワークスペシャリストドットコムのサイトをお勧めする。

　過去問及び過去問の説明も詳細で充実しているからだ。

　自分もこのサイトをつかわしていただき、午前一だけは通った。

　午前二は次回ということで、ほとんで勉強しなかったので、落ちた。

　そこで、本サイトを参考にさせていだきながら、とりあえず、試験に受かる

　勉強をしようと思った。

　とりあえず、資格を持っていることで仕事の幅が増えるという人達にみていた

　だきたい。資格試験の６～７割は過去問から出題されるらしいから、過去問さ

　え完璧に回答できれば、だれでも資格はとれるようだ。

    ネットワークの基礎は知っているんだけどなぁぐらいの人が対象です。

　正解は赤色にしてます。合格するにはなりふり構わずです。

　また、書式とかバラバラですが、気にしないでください。意味はないです。

　令和元年

　　問1    ネットワーク層のパケットを対象としてIPパケットでカプセル化し，

             トンネリングを行えるプロトコルはどれか。

   　　ア　IPsec　　イ　L2TP　　ウ　PPTP　　エ　RSTP

　　　IPsec　TCP/IPでトンネリングするプロトコルということで、暗記もの

　 問2　図は，OSPFを使用するルータa～iのネットワーク構成を示す。拠　　点1と拠点3の間の通信はWAN1を，拠点2と拠点3の間の通信はWAN2を通過するようにしたい。xとyに設定するコストとして適切な組合せはどれか。ここで，図中の数字は，OSPFコストを示す。

• 
• 正解　イ
• 　OSPF(Open Shortest Path First)　最も短い
  
  設問のネットワーク構成図で、
  • 拠点1→WAN1→拠点3の最小コストは　30+100+30(e-fでがなくe-h)+10=170
  • 拠点1→WAN2→拠点3のコストは150(a-d-gとf-iの和)＋x, 150(a-d-gとh-iの和)＋y
  • 拠点2→WAN1→拠点3の最小コストは(c-b-e-h-iルート)190
  • 拠点2→WAN2→拠点3のコストは(c-d-gとf-iの和)150＋x, 150(c-d-gとh-iの和)＋y
  拠点1→拠点3への転送にWAN1を通過させるためには、WAN2を通過する経路よりも少ないコストである必要があるため
  
  　170＜150＋x　　20<x
  　170＜150＋y　　20<y
  
  さらに拠点2→拠点3はWAN2を通過させたいので、
  
  　150＋x＜190　　x<40
  　150＋y＜190　　y<40

　上の式をまとめると　20<x<40　　20<y<40　となる

 

午前Ⅱ 問3

 

二つのルーテイングプロトコルRIP-2とOSPFを比較したとき，OSPFだけに当てはまる特徴はどれか。

• 可変長サブネットマスクに対応している。　→　どちも対応
  ア
• リンク状態のデータベースを使用している　　　　　　　　　　　　　　　　　　　　OSPF　リンク状態のデータベースを使用して経路制御　　　　　　　　　　　　　　RIP-2　距離ベクトル(経由するルータ数と方向)のデータベースを使用　暗記
  イ
• ルーティング情報の更新にマルチキャストを使用している。　⇒　どっちも対応
  ウ
• ルーティング情報の更新を30秒ごとに行う。　⇒　RIP-2だけ対応
  エ

 

午前Ⅱ 問4

 

スパニングツリープロトコルに関する記述のうち，適切なものはどれか。

　　⇒スパニングツリー　冗長化、ループ　ブロードキャストフレーム防止

 

　ア　OSI基本参照モデルにおけるネットワーク層のプロトコルである。　⇒　データリンク層

　イ　ブリッジ間に複数経路がある場合，同時にフレーム転送することを可能にする

　　　プロトコルである。　⇒　リンクアグリケーションの特徴

　ウ　ブロードキャストフレームを，ブリッジ間で転送しない利点がある　

　　　　　⇒STP　永久ループを防ぐ　　注意　間違いやすい

　エ　ルートブリッジの決定には，ブリッジの優先順位とMACアドレスが使用される。

　　　　⇒スパニングツリーではスイッチ間でBPDU(Bridge Protocol Data Unit)という制御

　　　　　フレームをやり取りしています。このBPDU内には、ブリッジの優先順位とMACアド

　　　　　レスを組合わせた「ブリッジID」フィールドがあり、この値が最も小さいブリッジが

　　　　　ルートブリッジとして自動的に選出される仕組みになっています。

　　　　　⇒ルートブリッジが選出されることにより、ループを防止

 

午前Ⅱ 問5

 

ルーティングプロトコルであるBGP-4の説明として，適切なものはどれか。

　　BGP-4(Border Gateway Protocol version 4)とは、現在のインターネットにおいて、ISPなどの相互接続時にお互いの経路情報をやり取りするために使われる経路制御プロトコル
相互接続されるネットワークは自律システム（Autonomous System：以下AS）と呼ばれ、それぞれのASが内部に持っているネットワークに関する経路情報は、それらを個別に扱わず、連続するネットワークブロックをひとかたまりにして他のASに広告されます。これを経路集成（あるいはアグリゲーション：aggregation）と呼びます。

二つ以上のASに接続される場合に必要。この場合、インターネット上のいろいろな対地に対して、どの隣接ASを通じてトラフィックを到達させるかに関する方針 = ルーティングポリシーを立てる必要がある。このルーティングポリシーに従った経路制御をポリシールーティングと呼ぶ。

BGPはこのポリシールーティングを実現するために、経路情報にいくつかの属性パラメータ（パス属性値と呼ばれる）を付加することができる。このパラメータを調整して経路情報を広告すること、あるいはこのパラメータに従って経路情報の優先制御を行うことで、ポリシールーティングを実現。

BGPのように通過する経路のリストだけで経路制御を行うプロトコルを「経路ベクトル型(Path Vector)」という。

 

　ア　自律システム間で，経路情報に付加されたパス属性を使用し，ポリシに基づいて経路を選択するパスベクタ方式のプロトコルである。　　暗記

　イ     全てのノードが同一のリンク状態データベースを用い，コストが最小となる経路を最適経路とするプロトコルである。　OSPF　問２、３参照

　ウ　到達可能な宛先アドレスまでのホップ数が最小となる経路を，最適経路とするプロトコルである。　　　　　　　　　　　RIP　　問３参照

  エ     パケットが転送される経路のノードを，送信元ノードが明示的に指定するプロトコルである。

　　　　　　　　　　　 ソースルーティング

 

午前Ⅱ 問6

　IPv4のアドレス割当てを行う際に，クラスA～Cといった区分にとらわれずに，ネットワークアドレス部とホストアドレス部を任意のブロック単位に区切り，IPアドレスを無駄なく効率的に割り当てる方式はどれか。

　ア　CIDR　　イ　DHCP　　ウ　DNS　　エ　NAPT

　　簡単なので、解説なしです

 

午前Ⅱ 問7

 

DHCPを用いるネットワーク構成において，DHCPリレーエージェントが必要になるのは，ネットワーク間がどの機器で接続されている場合か。

　ア　スイッチングハブ　　イ　ブリッジ　　ウ　リピータ　　エ　ルータ

 

DHCP　ブロードキャストパケットを使用して通信しIPを自動で割り当てる。
大規模ネットワークでは複数のセグメントをルータで接続するが、これらのネットワークを1つのDHCPサーバで管理しようとすると、ルータがブロードキャストパケットを中継しない(ルータの外側はブロードキャストドメイン外)ためDHCPクライアントとDHCPサーバが通信できない問題が生じる。
これを解決するのがDHCPリレーエージェント
DHCPメッセージのやり取り

1. IPアドレスの割り当てを要求するDHCPクライアントは、DHCPメッセージをブロードキャストする。
2. リレーエージェントはDHCPメッセージを受信すると、その内容を取り出しユニキャストでDHCPサーバに転送する。（ユニキャストに変換することにより、別セグメントでもルータを越えられる）
3. DHCPサーバは、それを受信するとユニキャストでリレーエージェントに送信する。
4. リレーエージェントはDHCPメッセージを受信すると、その内容を取り出しブロードキャストでDHCPクライアントに転送する。

一般にはルータ上でリレーエージェント機能を動作させる。

 

午前Ⅱ 問8

 

DNSゾーンデータファイルのNSレコードに関する記述のうち，適切なものはどれか。

　　ア　先頭フィールドには，ネームサーバのホスト名を記述する。

　  イ　ゾーン分割を行ってサブドメインに権限委譲する場合は，そのネームサーバを

　　　NSレコードで指定する。

　　　⇒　例　xxx.co.jpドメインを立ち上げたとき、co.jpから各種レコードを参照するため、

　　　　　　co.jp側でxxx.co.jpのNSレコードを設定する。

　　ウ　データ部(RDATA)には，ゾーンのドメイン名を記述する。

　  エ　データ部(RDATA)には，ネームサーバの正規のホスト名と別名のいずれも記述できる。

 

午前Ⅱ 問9

 SMTP(ESMTPを含む)のセッション開始を表すコマンドはどれか。

　ア　DATA　　イ　EHLO　　ウ　MAIL　　エ　RCPT　　　　　　　下の図暗記

 

午前Ⅱ 問10

 

IPネットワークにおいて，クライアントの設定を変えることなくデフォルトゲートウェイの障害を回避するために用いられるプロトコルはどれか。

　ア　RARP　　イ　RSTP　　ウ　RTSP　　エ　VRRP

　⇒まず、アは消えるね。その他で迷うね。

VRRP(Virtual Router Redundancy Protocol)は、ネットワークのデフォルトゲートウェイとなるルータやL3スイッチの冗長構成を実現するプロトコル　　暗記

 

午前Ⅱ 問11

 

ネットワークの制御に関する記述のうち，適切なものはどれか。

   ア     TCPでは，ウィンドウサイズが固定で輻輳(ふくそう)回避ができないので，輻輳が起きると

        データに対しタイムアウト処理が必要になる。

           ⇒ウィンドウズサイズは可変

   イ     誤り制御方式の一つであるフォワード誤り訂正方式は，受信側で誤りを検出し，送信側に

         データの再送を要求する方式である。

　　　⇒送信データに付加された誤り訂正符号を使用することで、ビット誤りを検出した受信側

　　　　でその誤りを回復

   ウ     ウィンドウによるフロー制御では，応答確認のあったブロック数だけウィンドウをずらす

         ことによって，複数のデータをまとめて送ることができる。 

   エ     データグラム方式では，両端を結ぶ仮想の通信路を確立し，以降は全てその経路を通す

         ことによって，経路選択のオーバヘッドを小さくしている。

　　   ⇒データグラムはコネクションレスということを覚えておくこの問題は自然に解ける

 

午前Ⅱ 問12

 

OpenFlowプロトコルを使用するSDN(Software-Defined Networking)において，コントローラとOpenFlowスイッチ間の通信に関する記述として，適切なものはどれか。

　　⇒SDN　仮想的NW　VPN（HWで制御）を制御ソフトウェアとしてNWの変更に自由に対応

　　 OpenFlowコントローラとスイッチとの間は、TCPまたはTLS(Transport Layer Security) 

       を用いて接続    暗記

 

　 ア　オーバヘッドを避けるためにUDPやTCPは使用せずIPを直接使用する。

　イ   信頼性や安全性を確保するためにTCPやTLSを使用する。

    ウ　パラレル伝送を行うためにSANで利用されるファイバチャネル上のSCSIを使用する。

　エ　リアルタイム性に関する要求を満たすためにUDPを使用する。

 

午前Ⅱ 問13

 

FTPを使ったファイル転送でクライアントが使用するコマンドのうち，データ転送用コネクションをクライアント側から接続するために，サーバ側のデータ転送ポートを要求するものはどれか。

　ア　ACCT　　イ　MODE　　ウ　PASV　　エ　PORT

　　⇒　通常のFTP接続（アクティブモード）では、クライアントからサーバへ制御用の接続（コネクショ

　　　　ン）を確立した後、サーバからクライアントへデータ転送用のコネクションを確立し、これを用いて

　　　　ファイルの送受信を行う。この方式だとクライアントがファイアウォールの内側にあったり、プライ

　　　　ベートIPアドレスしか持たない場合など、外部から接続要求を行えない環境では通信することができ

　　　　ない。

　　　PASVモードでは制御用のコネクションを確立後、「PASV」コマンドでパッシブモードへ　の変更を宣言し、もう一度クライアントからサーバへコネクションを確立してデータ送受信に用いる。接続要求が常にクライアントからサーバへ向かって行われるため、外部から接続を開始できない環境のクライアントでもFTPによる通信が可能となる。　　　暗記

 

午前Ⅱ 問14

 HTTPを使って，Webサーバのコンテンツのアップロードや更新を可能にするプロトコルはどれか。

　ア　CSS　　イ　MIME　　ウ　SSL　　エ　WebDAV

　消去法でWebDAVでしょう。

 

午前Ⅱ 問15

 

IoT向けの小電力の無線機器で使用される無線通信に関する記述として，適切なものはどれか。

    ア　BLE(Bluetooth Low Energy)は従来のBluetoothとの互換性を維持しながら，低消費電力での

　　動作を可能にするために5GHz⇒2,4GHz帯を使用する拡張がなされている。　　

　イ　IEEE802.11acではIoT向けに920MHz⇒（80/160MHｚ）帯が割り当てられている。

    ウ　Wi-SUNではマルチホップを使用して500mを超える通信が可能である。

　　　⇒省電力、長距離通信が可能

　エ　ZigBeeでは一つの親ノードに対して最大7個⇒（数百台）の子ノードをスター型に配置したネ

　　ットワークを使用する。

 

午前Ⅱ 問16

 

SSL/TLSのダウングレード攻撃に該当するものはどれか。

　ア　暗号化通信が確立された後に，暗号鍵候補を総当たりで試すことによって解読

　　する。

　　　⇒総当たり攻撃

　イ　暗号化通信中にクライアントPCからサーバに送信するデータを操作して，強制

　　的にサーバのディジタル証明書を失効させる。

　　　⇒秘密鍵が漏洩したときなどに発行所がわざと失効させるなど

　ウ　暗号化通信中にサーバからクライアントPCに送信するデータを操作して，

　　クライアントPCのWebブラウザを古いバージョンのものにする。

　　　⇒Webブラウザが古いバージョンになるわけではない　　注意　間違えやすい

　エ　暗号化通信を確立するとき，弱い暗号スイートの使用を強制することによって，

　　解読しやすい暗号化通信を行わせる。　　暗記

 

　午前Ⅱ 問17

　CookieにSecure属性を設定しなかったときと比較した，設定したときの動作として，適切

なものはどれか。

　ア　Cookieに指定された有効期間を過ぎると，Cookieが無効化される。

　　　⇒Expires属性を付けたときの動作

　イ　JavaScriptによるCookieの読出しが禁止される。

　　　⇒HttpOnly属性を付けたときの動作

　ウ　URL内のスキームがhttpsのときだけ，WebブラウザからCookieが送出される。

　　　⇒Secureという文言からセキュリティ関係のものと予想暗記

　エ　WebブラウザがアクセスするURL内のパスとCookieによって指定されたパスの

　　　プレフィックスが一致するとき，WebブラウザからCookieが送出される。

　　　⇒Path属性を付けたときの動作

 

　午前Ⅱ 問18

 

送信元IPアドレスがA，送信元ポート番号が80/tcpのSYN/ACKパケットを，未使用のIPアドレス空間であるダークネットにおいて大量に観測した場合，推定できる攻撃はどれか。

　⇒SYN/ACKパケットは、コネクション確立要求のSYNパケットを受けた端末が、要求元に対して返信するパケットです。
"ダークネットを宛先とするSYN/ACKパケット"を観測したということは、Aが"未使用領域に属するIPアドレスからのコネクション確立要求(SYNパケット)"を受信し、それに対する応答を行った事実を示しています。未使用領域のIPアドレスは使われていないのですから、SYNパケットの送信元IPアドレスをもつホストは実際には存在しません。また、SYN/ACKに対する応答(ACK)が返ってくることもありません。すなわち、SYNパケットの送信元IPアドレスは偽装されており、Aが受信したSYNパケットは本来の目的以外で発信されたパケットであると判断できます。

SYNパケットを使用したDoS攻撃に「SYN flood攻撃」があります。これは、TCPのSYNパケットを大量に送りつけることで攻撃対象のサービス停止を狙う攻撃です。DoS攻撃の多くは攻撃元を悟られないために送信元IPアドレスを偽装しています。設問の事例では、何者かが送信元IPアドレスを偽装したSYNパケットをAに対して送りつけているので、AへのSYN flood攻撃を想定できます。

　ア　IPアドレスAを攻撃先とするサービス妨害攻撃

　イ　IPアドレスAを攻撃先とするパスワードリスト攻撃

　ウ　IPアドレスAを攻撃元とするサービス妨害攻撃

　エ　IPアドレスAを攻撃元とするパスワードリスト攻撃

⇒IPアドレスAが攻撃することはないからアかイ に絞られるだろう

 

  午前Ⅱ 問19

 

脆弱性検査で，対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち，適切なものはどれか。

　下図暗記

   ア　対象ポートにSYNパケットを送信し，対象ホストから"RST/ACK"パケットを受信するとき，

     接続要求が許可されたと判定する。　⇒RST/ACKのポートがのとき

　イ　対象ポートにSYNパケットを送信し，対象ホストから"SYN/ACK"パケットを受信するとき，

     接続要求が中断又は拒否されたと判定する。　⇒上図から間違い

　ウ　対象ポートにUDPパケットを送信し，対象ホストからメッセージ"ICMP port unreachable"

     を受信するとき，対象ポートが閉じていると判定する。　上図から正解　

　エ　対象ポートにUDPパケットを送信し，対象ホストからメッセージ"ICMP port unreachable"

     を受信するとき，対象ポートが開いていると判定する。　⇒上図から間違い

 

午前Ⅱ 問20

ルートキットの特徴はどれか。

　ルートキット(rootkit)は、システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくするために作動中のプロセスやファイル、ログやシステムデータを隠ぺいするためのソフトウェア群です。ユーザやシステム管理者に見られたとしてもrootkitが侵入の痕跡を隠ぺいすることで攻撃者はroot権限(管理者権限)を確保し続ける可能性が高まります。

　ア　OSなどに不正に組み込んだツールを隠蔽する。

　イ　OSの中核であるカーネル部分の脆弱性を分析する。　⇒　脆弱性検査ツール　　これと間違いやすい

　ウ　コンピュータがウイルスやワームに感染していないことをチェックする。

　エ　コンピュータやルータのアクセス可能な通信ポートを外部から調査する。

 

午前Ⅱ 問21

DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされることを防止する対策はどれか。

 

DNSリフレクタ攻撃(DNS amp)は、脆弱性のある公開DNSキャッシュサーバを踏み台として悪用することで行われる分散型サービス妨害(Distributed Denial of Service: DDoS)攻撃の一種です。

攻撃者は、以下の手順で攻撃対象のサービスを妨害します。

1. 攻撃者は、脆弱性のある複数の公開DNSキャッシュサーバに対して、送信元を攻撃対象としたDNSクエリをボットを介して発行する(このとき応答パケットのサイズができるだけ多くなるようにする)
2. クエリを受け取ったDNSキャッシュサーバは、クエリの送信元に設定されている攻撃対象に対して応答パケットを一斉に送信する
3. 大量の応答パケットを受け取った攻撃対象やそれが属するネットワークは過負荷状態となり正常なサービスの提供ができなくなる

DNSリフレクタ攻撃に加担する踏み台にならないためには、利用可能なホストのIPアドレスの範囲を設定するなど、DNSキャッシュサーバが不要なクエリを拒否するようにアクセス制限を施す必要があります。

　ア　DNSサーバをキャッシュサーバとコンテンツサーバに分離し，インターネット側からキャッシュサーバ

　　　に問合せできないようにする。

　イ　問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録す

　　　る。

　　　　⇒DNSリフレクタ攻撃が攻撃に使うのは不正又は架空のドメインではないため、Whoisデータベ

　　　　　ースでの確認は無意味です。

　ウ　一つのDNSレコードに複数のサーバのIPアドレスを割り当て，サーバへのアクセスを振り分けて分散さ

　　　せるように設定する。

　　　⇒DNSラウンドロビン

　エ　ほかのDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を，ディジタル署名で確

　　　認するように設定する。

　　　⇒DNSSECに関する説明で、DNSキャッシュポイズニング攻撃への対策

 

午前Ⅱ 問22

 

図はプロセッサによってフェッチされた命令の格納順序を表している。a に該当するプロセッサの構成要素はどれか。

　　⇒１．命令フェッチ　　プログラムカウンタが示すアドレスから命令語を命令レジスタに取り出す。

　　　２．命令デコード　　命令デコーダが取り出した命令を解読する。

　　　３．実効(有効)アドレス計算　　命令語のオペランド部の値を用いて、演算対象のデータを保持する

　　　　　　　　　　　　　　　　　主記憶のアドレスを計算する。

　　　４．オペランドフェッチ　　計算されたアドレス値を用いて主記憶からデータを汎用レジスタに取り

　　　　　　　　　　　　　　　　出す。

　　　５．実行　　解読された命令と演算対象のデータで命令を用いて演算を行う。

　ア　アキュムレータ　　演算途中の結果を一時的に保持しておくためのレジスタ

　イ　データキャッシュ　　キャッシュメモリの1つで、データ（オペランド）をキャッシュして

　　　　　　　　　　　　おく役割を持ちます。図は a がプロセッサ内部の記憶装置であること

　　　　　　　　　　　　を示していますが、キャッシュメモリはプロセッサ外部の装置なので

　　　　　　　　　　　　不適切です。またデータキャッシュは命令を格納しません。

　ウ　プログラムレジスタ(プログラムカウンタ)

　エ　命令レジスタ

 

  午前Ⅱ 問23

 

ピアツーピアシステムの特徴として，適切なものはどれか。

　ア　アカウントの管理やセキュリティの管理をすることが難しく，不特定多数の利用者が匿名で

        接続利用できるなどの隠蔽性が高い。

　イ　サービスの提供や管理を特定のコンピュータが行い，他のコンピュータはそのサービスを

        利用するという，役割分担を明確にしたシステムを簡単に作成できる。

　　　⇒勝手に２つのコンピュータがつながる

　ウ　システム利用者の拡大に伴い，データアクセスの負荷がシステム全体を監視するコンピュータ

        に集中するために，高性能なコンピュータが必要となる。

　　　　⇒直接つながっているので、お互いしょぼくても大丈夫

　エ　目的のデータの存在場所が明確なので，高速なデータ検索や，目的とするデータの更新や削除

        も容易である。

　　　　⇒管理者不在で直接つながっているので、存在場所は不明確

 

　午前Ⅱ 問24

 

　UMLのユースケース図の説明はどれか。

　ア　外部からのトリガに応じて，オブジェクトの状態がどのように遷移するかを表現する。

　イ　クラスと関連から構成され，システムの静的な構造を表現する。

　ウ　システムとアクタの相互作用を表現する。　　アクタの文言がみそ

　エ　データの流れに注目してシステムの機能を表現する。

 

 

午前Ⅱ 問25

 SDメモリカードに使用される著作権保護技術はどれか。

　ア　CPPM(Content Protection for Pre-Recorded Media)　　再生専用メディア用に開発　DVDだけじゃない

　イ　CPRM(Content Protection for Recordable Media)　　　記録可能メディア用に開発　DVDだけじゃない

　ウ　DTCP(Digital Transmission Content Protection)　　　　不正コピー防止　DVD,Blue-Rayとか

　エ　HDCP(High-bandwidth Digital Content Protection)　　 不正コピー防止　HDMI,DVIとか

　　　差が良くわからない　暗記