【ネスペ】令和6年春午後1問1の解説(ネットワークスペシャリスト試験)
このNoteでは、「ネットワークスペシャリスト試験令和6年春午後1問1」の解説をします。
6割は超えておきたい問題でした。
ネスペ特有の知らないと失点確実な設問もありますが、理屈で考えればそこそこの点を稼げる作りにはなってます。知らない技術は推測しつつ、作文も粘っていきたいです。
BGPの出題には納得しています。令和以降、OSPFなどルーティングプロトコルの詳細まで出ていますから。>ネスペ試験令和3年春午後1問2の解説のNote
BGPで送られる情報4種と経路選択アルゴリズムは、今後のために知っておきます。ICMPについても、ヘッダ番号3種は知っておきたいですね。
高度試験では同じ用語が問われることは、ほぼほぼないですが、周辺知識はあり得ます。一度出たら、周辺も含めて「深め広め」に復習します。学習ノートに書き出してくださいね。
このNoteは、私の独学合格体験・IT専門学校でのネスペ対策授業の経験を活かして作成しました。少しでも信用してくれたら嬉しいです。
それでは始めましょう!
\私の3ヶ月の学習記録/
設問1(1) | ICMPを深めに
模範解答は「ICMP Echoに応答するがHTTPサーバのプロセスが停止している状態を検知できない」。
頑張って正解しましょう。
ポイントはICMP Echoでは、宛先IPアドレスまで通信が通っていること・宛先IPアドレスの機器が動いていることは分かる点。
一方で、Webサーバが動いているかは別問題。サーバコンピュータに電源が入っていてネットワーク通信ができていても、Webサーバソフトが立ち上がってないことはあり得ます。
なおICMP Echoは「pingコマンド」で使われています。pingは「4回」のICMP Echoを送ります。
ICMPヘッダタイプも知っておきましょう(0, 3, 11)。午前2レベルなので、午後ではノーヒントで出るかも。>ICMPとICMPv6のNote
0:エコー応答:Echo Reply
3:到達不能:Unreachable
11:時間超過:TTL equals 0
また「死活確認」に用いる信号を「ハートビート」と云います。代表的なプロトコルは「VRRP」ですね。ルータで使われています。ネスペでもセキスペでも使える知識。>VRRPのNote
設問1(2)ア
正答は「最少接続数」
必ず正解してください。
問題文2頁目(4頁)の空欄アの前。「ラウンドロビン方式」と「最少接続数方式」がある旨より2択。
さらに「配信するゲームファイルのサイズに大きなばらつきがあり」「各配信サーバへの同時接続数をなるべく均等にする」より、最少接続数を選びます。
具体的に「現場」を想像しましょう。
もしラウンドロビン方式で、2台に順番にアクセスさせるとき、偶然にも
1人目が小さいゲーム→「1」台目
2人目が大きいゲーム→「2」台目
3人目が小さいゲーム→「1」台目
4人目が大きいゲーム→「2」台目
とアクセスした場合、LBは1と3人目を1台目のサーバ・2と4人目を2台目のサーバに振り分けます。
小さいゲームほど、早く処理が終わりますよね。
1人目が小さいゲーム→1台目→終了
2人目が大きいゲーム→2台目→処理中
3人目が小さいゲーム→1台目→終了
4人目が大きいゲーム→2台目→処理中
1台目は小さいゲームなので処理が早々に終わり、2台目は大きいゲームなので処理が終わらない状態。
そこに5人目や6人目がくれば、「各配信サーバへの同時接続数をなるべく均等にする」が破られそうですね。
1台目に1人、2台目に3人が接続してる状態に。
1人目が小さいゲーム→1台目→終了
2人目が大きいゲーム→2台目→処理中
3人目が小さいゲーム→1台目→終了
4人目が大きいゲーム→2台目→処理中
5人目が小さいゲーム→1台目
6人目が小さいゲーム→2台目
設問1(2)イ
正答は「172.22.1.0/24」
必ず正解してください。
図1より、ゲームβ配信サーバを増設するのは、ゲーム配信サーバがあるセグメントが良き。表1を見て「172.22.1.0/24」。終了。
設問1(3) | ファーストコンタクト
正答は「LB」
必ず正解してください。
「サーバ証明書」は、接続してきたクライアントに「本物のサーバですよ」と正当性を示すもの。>【セキスペ】サーバ証明書などのNote
図1でクライアントが必ずアクセスするのは「LB」。終了。
もちろん、α配信サーバなどにサーバ証明書があっても良いです。ゲームα利用者に証明できるので。β配信サーバにも、γサーバにも。とはいえ、LB以降はD社内なので、証明書がなくても良いかなと。
設問文に「必ず入っていなければならない装置」「一つだけ」と、わざわざ書いてあったわけですね。
設問2(1)ウ,エ | BGPの経路選択
正答は、
LP(LOCAL_PREF):大きい
MED(MULTI_EXIT_DISC):小さい
知らないと正解できないですね。知らなければ仕方ないので、両方に大きいか小さいかをつけて半分得点を狙います。全滅かもですが。
BGMの経路選択アルゴリズムを学びます。
復習は深め広めに。他の箇所がでるかもなので。
LOCAL_PREFの値が大きい経路
AS_PATHをみて、経由するASの数が最少となる経路
AS_PATHが同じなら、ORIGINを見る
ORIGINも同じなら、MED値の小さい経路
外部ピア・内部ピアで学習した経路
LOCAL_PREF「だけ」大きいのが優先され、他の属性は個数最少・値最小が選ばる、と覚えますかね。
以上の経路アルゴリズムは、私の手持ち本では「重点対策本2023-2024」だけに載っていました。最近のネスペはディープになっているので、少し新しめの本が良いと思いました。>重点対策本の3周勉強法Note
設問2(2) AS_PATHと「ASパスプリペンド」
正答は「IX」
仕様を知らねば勘で。
図2を見ると、IX経由だと点線が素通りしてて、いかにも直結してる感があります。図2下にも「直接接続」とあり。
BGPのAS_PATH属性には、経由したASの番号が羅列されます。
ISP(AS-G)が受け取るAS_PATHは2通り。
AS-EのAS番号, AS-FのAS番号
AS-EのAS番号
※IXは隣接ASを直結するので
AS-F経由だと2個、IX経由の方が1個。経由ASの少ないIXが絡む経路が選択されます。
なお、意図的にAS-F側を選択させたい場合、IX側に広告するAS_PATHを水増しする処理「ASパスプリペンド」がする場合も。
例えば、IX側に流すBGP情報で、わざとAS-EのAS番号を3回AS_PATHに追記すると、2個vs1個が2個vs3個に変わるので、2個のAS-F経路が選ばれるようになります。
以上は、私の手持ち本4冊では「重点対策本2023-2024」と「高度専門ネットワーク(2010年版)」にありました。昔からある技術ですが、やはり新しめの本は必要と思いました。>重点対策本の3周勉強法Note
設問2(3) | 文字制限キツすぎ
正答は「不正なBGP接続」を防ぐ。
何か書いて正解しておきたいですね。10文字なので浅い感じと予測できます。
下線③は「隣接ASのBGPルータ」とお互いに認証をしている旨。隣接ASのBGPルータ同士でやりとりしていえるのは経路情報。
以上より、認証なしだと偽装されたBGPを送られるリスクがあるのかなと。DNSキャッシュポイズニングやゾーン転送悪用のように。
よって模範解答は、不正なBGP接続はパスワードを知らないから認証されず接続及び経路情報の交換はできないよね、という意味と解釈できます。
理想的な作り方は、図2下「接続された隣接AS同士がBGPで直接接続することができる」。この文章から「BGP接続」に思い当たれば。あくまで理想論。
BGP接続なんて発想、なかなか出ないですよね。BGP=プロトコルorルータのイメージが強くて。
別解というか書き方を一緒に考えてみましょう。
これがなかなか難しい。なんで10文字なんてキビシイ制限にしたんだろう。
「不正なBGPルータからの接続」14文字。これで長いって。「BGPルータからの接続」でも11文字なので1文字オーバー。じゃぁ「不正なBGP情報の受信」11文字。2文字オーバー。キッツイなぁと思いつつ「不正なBGP情報受信」10文字。
他は「不正なBGPルータからの接続」14文字。「不正BGMルータの接続」11文字。「不正ルータの接続」8文字。不安になりますよね。
設問2(4)
正答は「不正な経路に含まれるアドレスブロックへのコンテンツ配信ができなくなる」。
模範解答の文章が「私には」分かりにくいものでした。
主旨は、間違った経路を教えられるから、E社側から利用者へのゲーム配信ができなくなる・利用者側からE社へアクセスできなくなる旨。
模範解答が意味するのは、不正な経路は攻撃者の意図したもので、到達点は利用者(やE社)なんだけど、到達しないという旨。
攻撃者のBGPが「AS-Gに行くには、この経路だよ!」と教えて、経路を選ばせるけど、実際の通信はAS-Gには届かない。
模範解答の「不正な経路に含まれるアドレスブロック」が、AS-Gなどの利用者を指しています。
よって模範解答を補足して解釈すると。「不正な経路に含まれるアドレスブロック(AS-G)へのコンテンツ配信ができなくなる」。
たぶんシンプルに、「不正な経路が優先され、利用者にコンテンツ配信が届かなくなる」29文字。「コンテンツが不正な経路へ流れ、利用者に届かない」13文字。40文字制限に対して短めですが、まぁ良いかなと。
設問3(1) | 浅いかなと思いつつも、何か書く度胸
正答は「攻撃パケットを攻撃元に近いところで遮断できる」
何か書いて正解しましょう。
模範解答は、攻撃をE社領域深くまで来させたくない旨。
正直ちょっと思うとこある模範解答ですよね。もっと深いというか技術的な答えが要るのかなって思ったのに。
私の解答は「ルータへの過負荷を防げる」12文字。DDoSの話なので、各BGPルータに相当な量のパケットが送られ、ルータに一極集中しますから。
他にも回線帯域に注目して「ルータ~FW間の帯域圧迫を防ぎ、他ユーザーへのゲーム配信に影響を出さないですむ」40文字。
設問3(2) | 言葉も仕様もヒントあり
正答は「より細かい条件で選別して破棄することができる」
正解できなくもないので、何か書いて祈りましょう。どれぐらい具体的に書くのか難しかったですね。
問題文を読めば結構誘導されています。
RTBH方式は、分析してDDoS攻撃を検知したら「BGPに宛先IPアドレスへのホスト経路」をBGPに伝える。
BGP flowspec方式は「DDoS攻撃の宛先IPアドレスだけでなくの「だけでなく」が超ヒント。「送信元IPアドレス、宛先ポート番号などを組み合わせてBGPルータに広告」と伝える情報が多くなっています。
またメタ読みですが、両方式について問題文で解説しています。知らなくても解けるようにフォローしているので、深い解答を求めていない兆候です。
それよりも復習で重要なのは「これはジャブだな」と思うこと。
今回、DDoS攻撃にRTBH方式やBGP flowspec方式を使うことを教えてくれたので、今後は用語で問われるかも。しかも解説なしのノーヒントで。セキスペにも使える知識っぽいにで、これから目指す方は特に重要な情報ですね。
まとめ
お疲れ様でした!
見返してみると「今後、これぐらいは高得点とっておきたいなぁ」と思える問題でした。
ネットワークもシンプルだったので、解説の図を作る必要もありませんでしたし。
ICMPヘッダ・BGPの情報と経路選択・IXやルータ認証・RTBH方式など、新しい知識もありました。しっかり頭に叩き込んで、次の問題に備えていきたいですね。
以上になります。でわでわ。
>TOPページ:全てのNoteへの入口<
\私の3ヶ月の学習記録/
いいなと思ったら応援しよう!
