試験合格にはテクニックも必要
なんて、屁理屈を言っているが、本当にネットワークのスペシャリストを目指
している人は、ネットワークスペシャリストドットコムのサイトをお勧めする。
過去問及び過去問の説明も詳細で充実しているからだ。
自分もこのサイトをつかわしていただき、午前一だけは通った。
午前二は次回ということで、ほとんで勉強しなかったので、落ちた。
そこで、本サイトを参考にさせていだきながら、とりあえず、試験に受かる
勉強をしようと思った。
とりあえず、資格を持っていることで仕事の幅が増えるという人達にみていた
だきたい。資格試験の6~7割は過去問から出題されるらしいから、過去問さ
え完璧に回答できれば、だれでも資格はとれるようだ。
ネットワークの基礎は知っているんだけどなぁぐらいの人が対象です。
正解は赤色にしてます。合格するにはなりふり構わずです。
また、書式とかバラバラですが、気にしないでください。意味はないです。
午前Ⅱ 問1
高速無線通信で使われている多重化方式であり,データ信号を複数のサブキャリアに分割し,各サブキャリアが互いに干渉しないように配置する方式はどれか。
FDMは、搬送波を低速で狭帯域の信号に変換し、周波数帯が重ならないように配置し並列送信することで多重化を行う方式ですが、OFDMは、各搬送波の中心を隣りの搬送波の谷間に重なるように配置することで、さらに多数の搬送波を同時に送信できるようにしたものです。
CCK 変調方式で、ビットを信号に変換する際に拡散符号を掛け合わせることで通信の高速化や
ノイズへの耐性を高めた方式
CDM 符号分割多重化のこと。通信信号ごとに特定の演算処理(符号化)を施したものを複数個ま
とめて送信し、受信側で同じ処理を行い特定の信号を取り出す仕組みで複数の送信者の通
信を同じ周波数帯上で行う多重化方式
TDM 時分割多重化
午前Ⅱ 問2
CSMA/CAや
CSMA/CDのLANの制御に共通しているCSMA方式に関する記述として,適切なものはどれか。
ア キャリア信号を検出し,データの送信を制御する。
イ 送信権をもつメッセージ(トークン)を得た端末がデータを送信する。
ウ データ送信中に衝突が起こった場合は,直ちに再送を行う。
エ 伝送路が使用中でもデータの送信はできる。
⇒ウと間違った。衝突を検出した場合は、一旦フレームの送出を中止し、(ランダムな時間待った
後)再びキャリア信号を監視して伝送路が空いていればフレームの送出を再開
午前Ⅱ 問3
ネットワークの
QoSを実現するために使用される
トラフィック制御方式に関する説明のうち,適切なものはどれか。
ア 通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の状況に応じて
通信を制御することを,アドミッション制御という。
⇒新たに通信を開始する場合,システム内の資源の利用状況を考慮して,余裕があるときにの
みその要求を受け付けるように制御すること
イ 入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破
棄するか優先度を下げる制御を,シェーピングという。
⇒ポリシングの説明
ウ パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフ
ィックを平準化する制御を,ポリシングという。
⇒シェーピング
エ フレームの種類や宛先に応じて優先度を変えて中継することを,ベストエフォートという。
⇒QOS自体は知っていたが、上のどれにあたるかわからなかった。エと間違えやすい気がする。
⇒「通信網は最善を尽くすが利用状況によっては通信の品質を保証しない」
⇒ベストエフォートの意味は知っていたが。。。。
ポリシングとシェーピングについては、以下のサイトがわかりやすいかも
午前Ⅰ 問4
2次元配列 A[i,j] (i,j はいずれも0~99の値をとる)の i>j である要素 A[i,j] は全部で幾つか。
ア 4,851 イ 4,950 ウ 4,999 エ 5,050
⇒i = 0 のとき、0個
i = 1 のとき、A[1, 0] の1個、
…
i = 98 のとき、A[98, 0]~A[98, 97]までの98個、
i = 99 のとき、A[99, 0]~A[99, 98]までの99個、
つまり、条件を満たす要素数は 0+1+…98+99 で求められるので、ガウスの計算法を用いて、
(99+0)×50=4,950
mosipro.com
図のような2台のレイヤ2スイッチ,1台のルータ,4台の端末からなるIPネットワークで,端末Aから端末Cに通信を行う際に,送付されるパケットの宛先IPアドレスである端末CのIPアドレスと,端末CのMACアドレスとを対応付けるのはどの機器か。ここで,ルータZにおいてプロキシARPは設定されていないものとする。
ア 端末A イ ルータZ ウ レイヤ2スイッチX エ レイヤ2スイッチY
宛先である端末Cは、端末Aから見てルータZを隔てた別のLANセグメントに属しているためARPが届かず、イーサネットフレームを直接届けることができない。このような場合、端末Aはセグメント内のデフォルトゲートウェイ(多くの場合ルータ)に対してパケットの転送を依頼。ネットワークセグメントの境界にはルータZが配置されているため、端末Aは宛先IPアドレスを"端末C"、宛先MACアドレスを"ルータZ"としてIPパケットを送出
ルータZはIPパケットを受け取るとパケット内の宛先IPアドレスを確認し、そのIPアドレスとルーティングテーブルを照らし合わせることで、パケットをどのポートから送出すべきなのかを判断本問の場合、ルータZのポートの1つに端末Cの属するLANセグメントが直接接続されているので、ルータZは端末Cへ直接イーサネットフレームを送信することになる。イーサネットフレームを送信するには宛先MACアドレスが必要ですので、ルータZは宛先IPアドレスとARPで端末CのMACアドレスを取得する。そして受け取ったIPパケットからイーサネットフレームを取り出し、"宛先MACアドレスを端末C"、"送信元MACアドレスをルータZ"に書き換えて、端末Cが存在するLANに向けて送出。
このようにイーサネットフレームがルータを超える場合には、ルータで宛先IPアドレスと宛先MACアドレスの対応付けが行われている。
午前Ⅱ 問7
を対応させることはできない。
せることもできる。
を対応させることはできない。
ドメイン:ホスト名は「1:n」「n:1」のどちらの関係も設定することができます。1つのホストに複数のIPアドレスを対応させる仕組みとして、複数台のサーバに負荷を分散する「DNSラウンドロビン」があります。またFTPサーバとWebサーバ、SMTPサーバとPOPサーバなどが1台のサーバ内で運用されている場合にはDNSの「Aレコード」や「CNAMEレコード」の記述で複数ホスト名を1つのIPアドレスに関連つけることができます。さらに複数のドメインを1つのサーバで運用する「バーチャルホスト」も複数のホスト名に同一のIPアドレスを対応させる仕組みです。
エは安易でないかなと思った
イは意外になく、アかウかと思ったが、イが正解ということは逆に覚えやすい
ア ICMP イ IGMP ウ RTP エ SDP
⇒IGMP IPマルチキャストに参加するホストと、そのホストが隣接しているルータ間で、IPマルチキャスト
アドレスのグループを制御するためのIPv4のプロトコル
「グループへの参加」「グループの問い合わせ」「グループの維持」「グループからの離脱」という
4つの機能を持っている。
ICMMP インターネットプロトコル(IP)の通信制御を補完するプロトコルで、データ
配送中のエラー通知や送達エラーを通知する
RTP 音声や動画などのデータストリームをリアルタイムに配送するためのデータ転送
プロトコル
SDP リアルタイム通信の開始前にクライアント-サーバ間で交換されるメディア配信
に必要なパラメタ群の記述構文を規定したプロトコル。セッション名及びセッ
ション情報や、音声・映像などのメディアの種類、データ通信のためのプロトコ
ル、使用するポート番号などを記述
午前Ⅱ 問9
イ インターネット上のLDAPサーバの最上位サーバとしてルートDSEが設置されている。
ウ ディレクトリツリーへのアクセス手順や,データ交換フォーマットが規定されている。
⇒LADPの意味がわかればウを選択しますね
午前Ⅱ 問10
ア 126 イ 127 ウ 254 エ 255
⇒16進数のサブネットマスク"FFFFFF80"を8ビットずつ区切り10進数で表すと。
FF.FF.FF.80 → 255.255.255.128
11111111:11111111:11111111:10000000
先頭から25ビット目までがネットワークアドレス部、残りの7ビットがホストアドレス部
7ビットで表現できるビットパターンは27個だが、ビットが全て1の「ブロードキャストア
ドレス」と、全て0の「ネットワークアドレス」はホストアドレスには使えない
27-2=128-2=126(個) 2を引くのを忘れずに
午前Ⅱ 問11
特定のグループに所属する全てのホストに同時送信を行う。マルチキャストを送受信するグループへの参加や離脱の管理にはIGMP(Internet Group Management Protocol)が使用。
ア 全てのマルチキャストアドレスは,アドレスごとにあらかじめ用途が固定的に決められて
いる。
⇒"224.0.0.1"や"224.0.0.2"などの一部のアドレスはWell-Knownアドレスとして用途が
決められているが、他のアドレスは用途ごとのアドレス範囲の中で自由に使用できる。
⇒そうだ当たり前だ
エ マルチキャストパケットは,ネットワーク上の全てのホストによって受信され,IPより
上位の層で,必要なデータか否かが判断される。
⇒上位じゃだめでしょう、同等のIP層で判断でしょう
午前Ⅱ 問12
日本国内において,2.4GHz帯の周波数を使用しない無線通信の規格はどれか。
⇒この手の問題は、IEEEという枠で考えるということで、イ、ウ、エで迷わす
最初にアは除外
11にaがつくと2.4GHzを使わないと覚えよう
午前Ⅱ 問13
ONF(Open Networking Foundation)が定義するSDN(Software-Defined Networking)において,アプリケーション,コントローラ及びネットワーク機器に関する記述のうち,適切なものはどれか。
ア OpenFlowは,コントローラの処理フローを定義したものである。
イ OpenFlowを用いたネットワークでは,ネットワーク機器がデータ転送を行うための情報
はコントローラから提供される。
ウ アプリケーションは,Data-Controller Plane Interface(サウスバウンドインタフェース
とも呼ばれる)を介して,コントローラに指示を出す。
エ アプリケーションは,ネットワーク機器に直接指示を出す。
- ア OpenFlowは、既存のネットワーク機器がもつ制御処理と転送処理を分離したプロトコル
-
- ウ サウスバウンドインタフェースは、ネットワーク機器がコントローラに提供するAPI群Openflowもサウスバウンドインタフェースの一つ。一方、コントローラがアプリケーションに提供するインタフェースは、ノースバウンドインタフェースと呼ばれる。
- つまり、「アプリケーションは、ノースバウンドインタフェースを介して、コントローラに指示を出す」というのが適切な動作です。
- エ
アプリケーションは、コントローラから提供されるAPIを介して、ネットワーク機器に指示を出します。
午前Ⅱ 問14
ア 21 イ 80 ウ 123 エ 443
設問のURLを分解
HTTPSの標準ポート番号443/TCPに接続
- 21番 FTPポート番号
- 80番 HTTPポート番号
- URLで接続するポート番号を指定するにはドメイン名に続けて「:ポート番号」の形式で記述。"?"以降に記述された"port=123"は単なるパラメタ(クエリ文字列)として扱われる。
午前Ⅱ 問15
WebSocketの説明として,適切なものはどれか。
⇒
Webアプリケーションにおいてクライアント(Webブラウザ)とWebサーバの間で効率的な双方向通信
を実現するプロトコル 通信路の確立後は、HTTPの手順に縛られず、1つのTCPコネクション上でデータのやり取りが行える
ようになっているので、従来は難しかったサーバからクライアントへのデータのプッシュ可能になっ
たり、通信ごとのHTTPコネクションが不要になるので高効率な通信ができたりするメリットがある
ア HTTPを拡張したプロトコルであり,通信メッセージはXML形式で記述される。
⇒XMLSocket
⇒URIのスキームには ws(平文通信) または wss(暗号通信) の2つがある。
デフォルトのポート番号は、wsが80番、wssが443番と、http,httpsに準じているが、任意の
ポート番号を指定することも可能
ウ 双方向通信を行う仕組みであり,サーバ側からもクライアントにWebSocketの接続開始を要求で
きる。
⇒クライアント側がハンドシェイク要求をサーバに送信することで始まる。サーバ側から
WebSocketの接続開始を要求することはできない。
エ 通信はGETメソッドで始まり,クライアントとサーバ間でハンドシェイクをして接続が確立する。
午前Ⅱ 問16
ICMP Flood攻撃に該当するものはどれか。
ア HTTP GETリクエストを繰り返し送ることによって,攻撃対象のサーバにコンテンツ送信
の負荷を掛ける。
⇒HTTP GET Flood攻撃
イ pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至
るまでの回線を過負荷にしてアクセスを妨害する。
ウ コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバ
に,接続要求ごとに応答を返すための過大な負荷を掛ける。
⇒SYN Flood攻撃
エ 大量のTCPコネクションを確立し,攻撃対象のサーバに接続を維持させ続けることによっ
て,リソースを枯渇させる。
⇒Connection Flood攻撃
解説
攻撃対象となるサーバに対してなるべくサイズが大きくなるようにした「ICMP echo request(
ping)」を大量に送り続けることで、攻撃対象および攻撃対象が属するネットワークのリソースを枯渇させる攻撃。
ICMPは上位
プロトコルに
UDPを使用するので、攻撃者は送信元
IPアドレスの偽装を簡単に行える。このためパケット情報から攻撃者を特定すること難しい。
午前Ⅱ 問17
認証にクライアント証明書を用いる
プロトコルはどれか。
ワークでレイヤ2ベースの認証、許可、アカウンティング(AAA)の標準認証機構として使用 EAPではTLS、S/key、MD5によるチャレンジレスポンスなどの認証方式がサポート
⇒
- EAP-MD5
- ユーザ名とパスワードを用いたチャレンジレスポンスによってクライアントを認証
- サーバの認証は行われない。
- EAP-TLS
- 認証にTLS(Transport Layer Security)の機構を用いる方式。サーバ-クライアント間でディジタル証明書を用いた相互認証を行う。
無線LANのセキュリティの主流
- EAP-TTLS(EAP Tunneled TLS)
- TLSによりサーバ認証を行い、その後確立されたEAPトンネルを使用し、各種の認証方法でクライアントを認証
- EAP-FAST
- Cisco社によるEAP認証プロトコルで、仕組みはEAP-TTLSと同じくTLSを用いて確立した暗号化トンネル上でクライアント認証を行う。
クライアントの認証に、クライアント証明(ディジタル証明書)を用いるのは「EAP-TLS」のみ
午前Ⅱ 問18
Webサイトが
Webブラウザに対して,指定された期間において,当該Webサイトへのアクセスを
httpsで行うように指示するHTTPレスポンスヘッダフィールドはどれか。
⇒
WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダー
//アクセスから365日間、
サブドメインも含めて
HTTPS接続を強制
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
WebサイトをHTTPS化した際には 301 HTTP リダイレクトを使用して、HTTPのアドレスにアクセスした利用者をHTTPSページに転送する設定を行うのが一般的だが、"http://~"のURLで登録しているブックマークからアクセスする場合などは、最初のHTTPアクセスが暗号化されていないため、HTTPSページへのリダイレクト前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性が残されている。HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知する。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとする。これにより、次回からはHTTPのアドレスにアクセスした場合でも、Webブラウザが自動的にHTTPSページを取得しに行くようになるため、セキュリティを高めることができる。
ア Content-Security-Policy イ Strict-Transport-Security 暗記ですね
ウ X-Content-Type-Options エ X-XSS-Protection
Securityという文字が入っているアかイかなと思った。 で、 イ なのね。
- Content-Security-Policyは、Webサイトで外部読み込みを許可するリソースの種類とドメインを指定するHTTPヘッダ。意図しないドメインからスクリプト等が読み込まれることを防止できるため、XSSやクリックジャッキング攻撃の影響を軽減できる。
- X-Content-Type-Optionsは、ブラウザがコンテンツの種類を決定する動作を制御するHTTPヘッダ。MIMEタイプを無視してコンテンツの中身をみて決定したり、逆にMIMEタイプだけでコンテンツの種類を決定したりするなどの指定ができる。一部の古いブラウザで、コンテンツの内容だけで判断することによりXSS攻撃を受けるリスクを低減できる。
//コンテンツの内容を無視して
MIMEタイプだけ決定する
X-Content-Type-Options: nosniff
X-XSS-Protectionは、XSS攻撃を検知したときにページの読み込みを停止するHTTPヘッダ
//有効化。ブラウザの既定値です。
X-
XSS-Protection: 1
午前Ⅱ 問19
IPsecに関する記述のうち,適切なものはどれか。
ア ESPのトンネルモードを使用すると,暗号化通信の区間において,エンドツーエンド
の通信で用いる元のIPのヘッダを含めて暗号化できる。
両者で決めるためにESPヘッダでなくAHヘッダを使用する。
⇒
- トンネルモードは、IPヘッダとデータ部分をまとめて暗号化した後、新たなIPヘッダ
- およびAH/ESPヘッダを付加して送信する方式。一方、トランスポートモードでは、
- パケットのデータ部分だけが暗号化され、元のIPヘッダと暗号化データの間にAH/ESP
- ヘッダが挿入される。
-
- IKE(Internet Key Exchange)が使用するポートはUDP/500。ポート番号80はHTTPが使用
- ⇒HTTP=80と覚えておけば×とすぐわかる。
暗号化アルゴリズムとしてはAES、DES、3DES、Blowfishなどがサポート
- HMAC-SHA1は、IPsecにおいてメッセージの改ざん検知のために使われる認証アルゴリズム
AH(Authentication Header)はメッセージ認証のために使用されるプロトコルで暗号化の機能をもっていない。認証と暗号化、両方の機能をもつプロトコルがESP(Encapsulated Security Payload)
午前Ⅱ 問20
内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,
DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし,VDIサーバ上の
Webブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへの
マルウェアの侵入,及びPCからインターネット上のWebサイトへのデータ流出を防止するのに効果がある条件はどれか。
サーバ内にクライアントごとの仮想マシンを用意して仮想デスクトップ環境を構築する技術。VDIには、この設問のようにWebブラウザなどの特定の機能だけをVDIサーバ上で代理実行するものから、OSを含むアプリケーションの実行とデータ保存をすべてVDIサーバ上で行い、クライアントには操作入力と画面表示だけを行わせるものまで様々なレベルがあります。どの方式についてもVDIサーバ上の仮想マシンにおける実行結果をフィードバックするために、VDIサーバからクライアントPCへの画面転送が行われる点は同じです。設問の説明を解釈すると、WebブラウザをVDI上で実行し結果画面をPCへ転送するタイプと考えられます。このため、内部ネットワーク上のPCではOSやアプリケーションが稼働しデータも保存されている、という前提に沿って各記述を検証します。
- ア PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
- ファイル転送を許した場合、PC上のファイルがHTTP通信を介してインターネット上に
- 流出する可能性がある。また、マルウェアがVDIサーバ上の仮想PC環境に侵入した場合、
- ファイル転送によりPCにも侵入する恐れもある。
- イ PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
- 画面転送だけを許可すれば、PC上のファイルがHTTP通信を介してインターネット上に
- 流出する可能性を排除できる。また、マルウェアがVDIサーバ上の仮想PC環境に侵入
- したとしても、PCへのマルウェアの侵入を防止できる。
- ウ VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
- HTTP通信を中継するだけでは、マルウェアがPCに侵入したり、PCから外部にデータが
- 流出したりするのを防止できない。
エ VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
VDIサーバとインターネット上のWebサイトの間はHTTP通信が行われる。よって、プロキシサーバ
として画面転送プロトコルだけを中継するという記述は誤り。
午前Ⅱ 問21
参加することを防ぐ技術。当初は有線LAN向けとして策定されたが、その後にEAP(Extensible
Authentication Protocol)として実装され、現在では無線LAN環境(IEEE 802.11)における標準の
(supplicant)」、RADIUSなどの「認証サーバ(authentication server)」、RADIUSクライアン
トの機能を持ち、認証サーバ間の認証プロセスを相互に中継する認証装置(認証スイッチ)である
「オーセンティケータ(authenticator)」の3つの要素で構成される。
もたせる。
⇒RADIUSクライアントの機能はアクセスポイントにもたせます。
クライアントの機能をもたせる。
機能をもたせる。
たせる。
をもたせる。
⇒オーセンティケータはアクセスポイントに実装する。
午前Ⅱ 問22
ネットワークインタフェースカード(
NIC)の
チーミングの説明として,適切なものはどれか。
ア 処理能力を超えてフレームを受信する可能性があるとき,一時的に送信の中断を要求し,
受信バッファがあふれないようにする。
⇒全二重通信のフロー制御方式であるIEEE802.3xの説明。IEEE802.3xでは、バッファと
パケット流通量を常に監視し、受信バッファがあふれそうなときは、受信側から送信側に
Pause(ポーズ)パケットを送信することで、送信される量を抑制する。
イ 接続相手のNICが対応している通信規格又は通信モードの違いを自動的に認識し,最適な
速度で通信を行うようにする。
ウ ソフトウェアでNICをエミュレートし,1台のコンピュータに搭載している物理NICの数
以上のネットワークインタフェースを使用できるようにする。
向上を図る。
⇒コンピュータ(主にサーバ)に搭載されている複数のNICに同じIPアドレスを割り当てること
で、論理的に1つのNICとして扱う技術。2つのNICに与える役割によって、ロードバランシ
ング、リンクアグリゲーション、フォールトトレランスという3種類の運用方式があり、そ
れぞれ負荷分散、帯域の増加、耐障害性の向上を図ることができます。
イが違うのはすぐわかったが、ウ、エで迷った。。。 チーミングという単語から騙すというイメージがあるため、アはなんとなくイメージが違うなぁ。ウかエで迷った
午前Ⅱ 問23
1台のCPUの性能を1とするとき,そのCPUをn台用いた
マルチプロセッサの性能Pが,
で表されるとする。ここで,aはオーバヘッドを表す定数である。例えば,a=0.1,n=4とすると,p≒3なので,4台のCPUからなる
マルチプロセッサの性能は約3倍になる。この式で表される
マルチプロセッサの性能には上限があり,nを幾ら大きくしてもPはある値以上には大きくならない。a=0.1の場合,Pの上限は幾らか。
ア 5 イ 10 ウ 15 エ 20
⇒P(性能)とn(プロセッサ台数)の関係を表すために、aに0.1を代入して式を変形。
P=n/{1+(n-1)×0.1}
P=n/(1+0.1n-0.1)
P=n/(0.9+0.1n)
P=10n/(9+n)
プロセッサの数が少ないときは分母の9が大きく影響するが、プロセッサ台数が多くなると(例えば10,000個以上など)、定数9は無視できるほど影響が小さくなる。
式を変形して考えれば解ける問題
午前Ⅱ 問24
全国に分散しているシステムを構成する機器の保守に関する記述のうち,適切なものはどれか。
ア 故障発生時に遠隔保守を実施することによって駆付け時間が不要になり,MTBFは長くなる。
イ 故障発生時に行う機器の修理によって,MTBFは長くなる。
ウ 保守センタを1か所集中から分散配置に変えて駆付け時間を短縮することによって,MTTRは短く
なる。
エ 予防保守を実施することによって,MTTRは短くなる。