試験合格にはテクニックも必要
なんて、屁理屈を言っているが、本当にネットワークのスペシャリストを目指
している人は、ネットワークスペシャリストドットコムのサイトをお勧めする。
過去問及び過去問の説明も詳細で充実しているからだ。
自分もこのサイトをつかわしていただき、午前一だけは通った。
午前二は次回ということで、ほとんで勉強しなかったので、落ちた。
そこで、本サイトを参考にさせていだきながら、とりあえず、試験に受かる
勉強をしようと思った。
とりあえず、資格を持っていることで仕事の幅が増えるという人達にみていた
だきたい。資格試験の6~7割は過去問から出題されるらしいから、過去問さ
え完璧に回答できれば、だれでも資格はとれるようだ。
ネットワークの基礎は知っているんだけどなぁぐらいの人が対象です。
正解は赤色にしてます。合格するにはなりふり構わずです。
また、書式とかバラバラですが、気にしないでください。意味はないです。
令和元年
問1 ネットワーク層のパケットを対象としてIPパケットでカプセル化し,
トンネリングを行えるプロトコルはどれか。
IPsec TCP/IPでトンネリングするプロトコルということで、暗記もの
問2 図は,OSPFを使用するルータa~iのネットワーク構成を示す。拠 点1と拠点3の間の通信はWAN1を,拠点2と拠点3の間の通信はWAN2を通過するようにしたい。xとyに設定するコストとして適切な組合せはどれか。ここで,図中の数字は,OSPFコストを示す。
- 正解 イ
- OSPF(Open Shortest Path First) 最も短い
設問のネットワーク構成図で、- 拠点1→WAN1→拠点3の最小コストは 30+100+30(e-fでがなくe-h)+10=170
- 拠点1→WAN2→拠点3のコストは150(a-d-gとf-iの和)+x, 150(a-d-gとh-iの和)+y
- 拠点2→WAN1→拠点3の最小コストは(c-b-e-h-iルート)190
- 拠点2→WAN2→拠点3のコストは(c-d-gとf-iの和)150+x, 150(c-d-gとh-iの和)+y
170<150+x 20<x
170<150+y 20<y
さらに拠点2→拠点3はWAN2を通過させたいので、
150+x<190 x<40
150+y<190 y<40
上の式をまとめると 20<x<40 20<y<40 となる
午前Ⅱ 問3
二つのルーテイングプロトコルRIP-2とOSPFを比較したとき,OSPFだけに当てはまる特徴はどれか。
午前Ⅱ 問4
スパニングツリープロトコルに関する記述のうち,適切なものはどれか。
⇒スパニングツリー 冗長化、ループ ブロードキャストフレーム防止
ア OSI基本参照モデルにおけるネットワーク層のプロトコルである。 ⇒ データリンク層
イ ブリッジ間に複数経路がある場合,同時にフレーム転送することを可能にする
プロトコルである。 ⇒ リンクアグリケーションの特徴
ウ ブロードキャストフレームを,ブリッジ間で転送しない利点がある
⇒STP 永久ループを防ぐ 注意 間違いやすい
エ ルートブリッジの決定には,ブリッジの優先順位とMACアドレスが使用される。
⇒スパニングツリーではスイッチ間でBPDU(Bridge Protocol Data Unit)という制御
フレームをやり取りしています。このBPDU内には、ブリッジの優先順位とMACアド
レスを組合わせた「ブリッジID」フィールドがあり、この値が最も小さいブリッジが
ルートブリッジとして自動的に選出される仕組みになっています。
⇒ルートブリッジが選出されることにより、ループを防止
午前Ⅱ 問5
ルーティングプロトコルであるBGP-4の説明として,適切なものはどれか。
BGP-4(Border Gateway Protocol version 4)とは、現在のインターネットにおいて、ISPなどの相互接続時にお互いの経路情報をやり取りするために使われる経路制御プロトコル
相互接続されるネットワークは自律システム(Autonomous System:以下AS)と呼ばれ、それぞれのASが内部に持っているネットワークに関する経路情報は、それらを個別に扱わず、連続するネットワークブロックをひとかたまりにして他のASに広告されます。これを経路集成(あるいはアグリゲーション:aggregation)と呼びます。
二つ以上のASに接続される場合に必要。この場合、インターネット上のいろいろな対地に対して、どの隣接ASを通じてトラフィックを到達させるかに関する方針 = ルーティングポリシーを立てる必要がある。このルーティングポリシーに従った経路制御をポリシールーティングと呼ぶ。
BGPはこのポリシールーティングを実現するために、経路情報にいくつかの属性パラメータ(パス属性値と呼ばれる)を付加することができる。このパラメータを調整して経路情報を広告すること、あるいはこのパラメータに従って経路情報の優先制御を行うことで、ポリシールーティングを実現。
BGPのように通過する経路のリストだけで経路制御を行うプロトコルを「経路ベクトル型(Path Vector)」という。
相互接続されるネットワークは自律システム(Autonomous System:以下AS)と呼ばれ、それぞれのASが内部に持っているネットワークに関する経路情報は、それらを個別に扱わず、連続するネットワークブロックをひとかたまりにして他のASに広告されます。これを経路集成(あるいはアグリゲーション:aggregation)と呼びます。
二つ以上のASに接続される場合に必要。この場合、インターネット上のいろいろな対地に対して、どの隣接ASを通じてトラフィックを到達させるかに関する方針 = ルーティングポリシーを立てる必要がある。このルーティングポリシーに従った経路制御をポリシールーティングと呼ぶ。
BGPはこのポリシールーティングを実現するために、経路情報にいくつかの属性パラメータ(パス属性値と呼ばれる)を付加することができる。このパラメータを調整して経路情報を広告すること、あるいはこのパラメータに従って経路情報の優先制御を行うことで、ポリシールーティングを実現。
BGPのように通過する経路のリストだけで経路制御を行うプロトコルを「経路ベクトル型(Path Vector)」という。
ア 自律システム間で,経路情報に付加されたパス属性を使用し,ポリシに基づいて経路を選択するパスベクタ方式のプロトコルである。 暗記
イ 全てのノードが同一のリンク状態データベースを用い,コストが最小となる経路を最適経路とするプロトコルである。 OSPF 問2、3参照
ウ 到達可能な宛先アドレスまでのホップ数が最小となる経路を,最適経路とするプロトコルである。 RIP 問3参照
エ パケットが転送される経路のノードを,送信元ノードが明示的に指定するプロトコルである。
ソースルーティング
午前Ⅱ 問6
IPv4のアドレス割当てを行う際に,クラスA~Cといった区分にとらわれずに,ネットワークアドレス部とホストアドレス部を任意のブロック単位に区切り,IPアドレスを無駄なく効率的に割り当てる方式はどれか。
簡単なので、解説なしです
午前Ⅱ 問7
ア スイッチングハブ イ ブリッジ ウ リピータ エ ルータ
DHCP ブロードキャストパケットを使用して通信しIPを自動で割り当てる。
大規模ネットワークでは複数のセグメントをルータで接続するが、これらのネットワークを1つのDHCPサーバで管理しようとすると、ルータがブロードキャストパケットを中継しない(ルータの外側はブロードキャストドメイン外)ためDHCPクライアントとDHCPサーバが通信できない問題が生じる。
これを解決するのがDHCPリレーエージェント
DHCPメッセージのやり取り
大規模ネットワークでは複数のセグメントをルータで接続するが、これらのネットワークを1つのDHCPサーバで管理しようとすると、ルータがブロードキャストパケットを中継しない(ルータの外側はブロードキャストドメイン外)ためDHCPクライアントとDHCPサーバが通信できない問題が生じる。
これを解決するのがDHCPリレーエージェント
DHCPメッセージのやり取り
- IPアドレスの割り当てを要求するDHCPクライアントは、DHCPメッセージをブロードキャストする。
- リレーエージェントはDHCPメッセージを受信すると、その内容を取り出しユニキャストでDHCPサーバに転送する。(ユニキャストに変換することにより、別セグメントでもルータを越えられる)
- DHCPサーバは、それを受信するとユニキャストでリレーエージェントに送信する。
- リレーエージェントはDHCPメッセージを受信すると、その内容を取り出しブロードキャストでDHCPクライアントに転送する。
午前Ⅱ 問8
DNSゾーンデータファイルのNSレコードに関する記述のうち,適切なものはどれか。
ア 先頭フィールドには,ネームサーバのホスト名を記述する。
イ ゾーン分割を行ってサブドメインに権限委譲する場合は,そのネームサーバを
NSレコードで指定する。
⇒ 例 xxx.co.jpドメインを立ち上げたとき、co.jpから各種レコードを参照するため、
co.jp側でxxx.co.jpのNSレコードを設定する。
ウ データ部(RDATA)には,ゾーンのドメイン名を記述する。
エ データ部(RDATA)には,ネームサーバの正規のホスト名と別名のいずれも記述できる。
午前Ⅱ 問10
IPネットワークにおいて,クライアントの設定を変えることなくデフォルトゲートウェイの障害を回避するために用いられるプロトコルはどれか。
⇒まず、アは消えるね。その他で迷うね。
VRRP(Virtual Router Redundancy Protocol)は、ネットワークのデフォルトゲートウェイとなるルータやL3スイッチの冗長構成を実現するプロトコル 暗記
午前Ⅱ 問11
ネットワークの制御に関する記述のうち,適切なものはどれか。
データに対しタイムアウト処理が必要になる。
⇒ウィンドウズサイズは可変
イ 誤り制御方式の一つであるフォワード誤り訂正方式は,受信側で誤りを検出し,送信側に
データの再送を要求する方式である。
⇒送信データに付加された誤り訂正符号を使用することで、ビット誤りを検出した受信側
でその誤りを回復
ウ ウィンドウによるフロー制御では,応答確認のあったブロック数だけウィンドウをずらす
ことによって,複数のデータをまとめて送ることができる。
エ データグラム方式では,両端を結ぶ仮想の通信路を確立し,以降は全てその経路を通す
ことによって,経路選択のオーバヘッドを小さくしている。
⇒データグラムはコネクションレスということを覚えておくこの問題は自然に解ける
午前Ⅱ 問12
OpenFlowプロトコルを使用するSDN(Software-Defined Networking)において,コントローラとOpenFlowスイッチ間の通信に関する記述として,適切なものはどれか。
⇒SDN 仮想的NW VPN(HWで制御)を制御ソフトウェアとしてNWの変更に自由に対応
を用いて接続 暗記
ウ パラレル伝送を行うためにSANで利用されるファイバチャネル上のSCSIを使用する。
エ リアルタイム性に関する要求を満たすためにUDPを使用する。
午前Ⅱ 問13
FTPを使ったファイル転送でクライアントが使用するコマンドのうち,データ転送用コネクションをクライアント側から接続するために,サーバ側のデータ転送ポートを要求するものはどれか。
ア ACCT イ MODE ウ PASV エ PORT
⇒ 通常のFTP接続(アクティブモード)では、クライアントからサーバへ制御用の接続(コネクショ
ン)を確立した後、サーバからクライアントへデータ転送用のコネクションを確立し、これを用いて
ベートIPアドレスしか持たない場合など、外部から接続要求を行えない環境では通信することができ
午前Ⅱ 問15
IoT向けの小電力の無線機器で使用される無線通信に関する記述として,適切なものはどれか。
動作を可能にするために5GHz⇒2,4GHz帯を使用する拡張がなされている。
イ IEEE802.11acではIoT向けに920MHz⇒(80/160MHz)帯が割り当てられている。
ウ Wi-SUNではマルチホップを使用して500mを超える通信が可能である。
⇒省電力、長距離通信が可能
エ ZigBeeでは一つの親ノードに対して最大7個⇒(数百台)の子ノードをスター型に配置したネ
ットワークを使用する。
午前Ⅱ 問16
ア 暗号化通信が確立された後に,暗号鍵候補を総当たりで試すことによって解読
する。
⇒総当たり攻撃
イ 暗号化通信中にクライアントPCからサーバに送信するデータを操作して,強制
的にサーバのディジタル証明書を失効させる。
⇒秘密鍵が漏洩したときなどに発行所がわざと失効させるなど
ウ 暗号化通信中にサーバからクライアントPCに送信するデータを操作して,
クライアントPCのWebブラウザを古いバージョンのものにする。
⇒Webブラウザが古いバージョンになるわけではない 注意 間違えやすい
エ 暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,
解読しやすい暗号化通信を行わせる。 暗記
午前Ⅱ 問17
CookieにSecure属性を設定しなかったときと比較した,設定したときの動作として,適切
なものはどれか。
⇒Expires属性を付けたときの動作
イ JavaScriptによるCookieの読出しが禁止される。
⇒HttpOnly属性を付けたときの動作
⇒Secureという文言からセキュリティ関係のものと予想暗記
⇒Path属性を付けたときの動作
午前Ⅱ 問18
⇒SYN/ACKパケットは、コネクション確立要求のSYNパケットを受けた端末が、要求元に対して返信するパケットです。
"ダークネットを宛先とするSYN/ACKパケット"を観測したということは、Aが"未使用領域に属するIPアドレスからのコネクション確立要求(SYNパケット)"を受信し、それに対する応答を行った事実を示しています。未使用領域のIPアドレスは使われていないのですから、SYNパケットの送信元IPアドレスをもつホストは実際には存在しません。また、SYN/ACKに対する応答(ACK)が返ってくることもありません。すなわち、SYNパケットの送信元IPアドレスは偽装されており、Aが受信したSYNパケットは本来の目的以外で発信されたパケットであると判断できます。
SYNパケットを使用したDoS攻撃に「SYN flood攻撃」があります。これは、TCPのSYNパケットを大量に送りつけることで攻撃対象のサービス停止を狙う攻撃です。DoS攻撃の多くは攻撃元を悟られないために送信元IPアドレスを偽装しています。設問の事例では、何者かが送信元IPアドレスを偽装したSYNパケットをAに対して送りつけているので、AへのSYN flood攻撃を想定できます。
"ダークネットを宛先とするSYN/ACKパケット"を観測したということは、Aが"未使用領域に属するIPアドレスからのコネクション確立要求(SYNパケット)"を受信し、それに対する応答を行った事実を示しています。未使用領域のIPアドレスは使われていないのですから、SYNパケットの送信元IPアドレスをもつホストは実際には存在しません。また、SYN/ACKに対する応答(ACK)が返ってくることもありません。すなわち、SYNパケットの送信元IPアドレスは偽装されており、Aが受信したSYNパケットは本来の目的以外で発信されたパケットであると判断できます。
SYNパケットを使用したDoS攻撃に「SYN flood攻撃」があります。これは、TCPのSYNパケットを大量に送りつけることで攻撃対象のサービス停止を狙う攻撃です。DoS攻撃の多くは攻撃元を悟られないために送信元IPアドレスを偽装しています。設問の事例では、何者かが送信元IPアドレスを偽装したSYNパケットをAに対して送りつけているので、AへのSYN flood攻撃を想定できます。
ア IPアドレスAを攻撃先とするサービス妨害攻撃
イ IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ IPアドレスAを攻撃元とするサービス妨害攻撃
エ IPアドレスAを攻撃元とするパスワードリスト攻撃
⇒IPアドレスAが攻撃することはないからアかイ に絞られるだろう
午前Ⅱ 問19
脆弱性検査で,対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち,適切なものはどれか。
下図暗記
ア 対象ポートにSYNパケットを送信し,対象ホストから"RST/ACK"パケットを受信するとき,
接続要求が許可されたと判定する。 ⇒RST/ACKのポートがのとき
イ 対象ポートにSYNパケットを送信し,対象ホストから"SYN/ACK"パケットを受信するとき,
接続要求が中断又は拒否されたと判定する。 ⇒上図から間違い
ウ 対象ポートにUDPパケットを送信し,対象ホストからメッセージ"ICMP port unreachable"
を受信するとき,対象ポートが閉じていると判定する。 上図から正解
エ 対象ポートにUDPパケットを送信し,対象ホストからメッセージ"ICMP port unreachable"
を受信するとき,対象ポートが開いていると判定する。 ⇒上図から間違い
午前Ⅱ 問20
ルートキットの特徴はどれか。
ア OSなどに不正に組み込んだツールを隠蔽する。
午前Ⅱ 問21
DNSリフレクタ攻撃(DNS amp)は、脆弱性のある公開DNSキャッシュサーバを踏み台として悪用することで行われる分散型サービス妨害(Distributed Denial of Service: DDoS)攻撃の一種です。
攻撃者は、以下の手順で攻撃対象のサービスを妨害します。
攻撃者は、以下の手順で攻撃対象のサービスを妨害します。
- 攻撃者は、脆弱性のある複数の公開DNSキャッシュサーバに対して、送信元を攻撃対象としたDNSクエリをボットを介して発行する(このとき応答パケットのサイズができるだけ多くなるようにする)
- クエリを受け取ったDNSキャッシュサーバは、クエリの送信元に設定されている攻撃対象に対して応答パケットを一斉に送信する
- 大量の応答パケットを受け取った攻撃対象やそれが属するネットワークは過負荷状態となり正常なサービスの提供ができなくなる
ア DNSサーバをキャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバ
に問合せできないようにする。
る。
ースでの確認は無意味です。
せるように設定する。
認するように設定する。
⇒DNSSECに関する説明で、DNSキャッシュポイズニング攻撃への対策
午前Ⅱ 問22
図はプロセッサによってフェッチされた命令の格納順序を表している。a に該当するプロセッサの構成要素はどれか。
⇒1.命令フェッチ プログラムカウンタが示すアドレスから命令語を命令レジスタに取り出す。
2.命令デコード 命令デコーダが取り出した命令を解読する。
3.実効(有効)アドレス計算 命令語のオペランド部の値を用いて、演算対象のデータを保持する
主記憶のアドレスを計算する。
出す。
5.実行 解読された命令と演算対象のデータで命令を用いて演算を行う。
ア アキュムレータ 演算途中の結果を一時的に保持しておくためのレジスタ
おく役割を持ちます。図は a がプロセッサ内部の記憶装置であること
を示していますが、キャッシュメモリはプロセッサ外部の装置なので
不適切です。またデータキャッシュは命令を格納しません。
ウ プログラムレジスタ(プログラムカウンタ)
エ 命令レジスタ
午前Ⅱ 問23
ピアツーピアシステムの特徴として,適切なものはどれか。
ア アカウントの管理やセキュリティの管理をすることが難しく,不特定多数の利用者が匿名で
接続利用できるなどの隠蔽性が高い。
イ サービスの提供や管理を特定のコンピュータが行い,他のコンピュータはそのサービスを
利用するという,役割分担を明確にしたシステムを簡単に作成できる。
⇒勝手に2つのコンピュータがつながる
ウ システム利用者の拡大に伴い,データアクセスの負荷がシステム全体を監視するコンピュータ
に集中するために,高性能なコンピュータが必要となる。
⇒直接つながっているので、お互いしょぼくても大丈夫
エ 目的のデータの存在場所が明確なので,高速なデータ検索や,目的とするデータの更新や削除
も容易である。
⇒管理者不在で直接つながっているので、存在場所は不明確
午前Ⅱ 問24
ア 外部からのトリガに応じて,オブジェクトの状態がどのように遷移するかを表現する。
イ クラスと関連から構成され,システムの静的な構造を表現する。
ウ システムとアクタの相互作用を表現する。 アクタの文言がみそ
エ データの流れに注目してシステムの機能を表現する。