本記事では、ネットワークスペシャリスト試験の令和6年度午後Ⅰ問1について、筆者の所感なども交えて解説していきます。
なお、画像や解答例は全てIPA(独立行政法人情報処理機構)から引用しております。
令和6年度春期 ネットワークスペシャリスト(NW)午後Ⅰ
令和6年度春期 ネットワークスペシャリスト(NW)午後Ⅰ 解答例
以下記事にネットワークスペシャリスト試験の概要や、筆者おすすめの勉強方法などもまとめていますので、合わせてお読みください。
本設問の概要について
本設問はコンテンツ配信ネットワークに関する問題でした。
ゲーム会社であるD社は、自社データセンター内に設置しているコンテンツ配信サーバを保有しています。
利用者の増加・グローバル化に伴い、コンテンツをCDN(Content Delivery Network)の技術を用いて配信する方式に変更するといった内容でした。
CDNだけでなく、ロードバランサやルーティングプロトコルであるBGP、DDoS対策についても問われた問題でした。
IPAの解答例について
まずはIPAが公開している解答例を掲載します。
| 設問 | 解答例 | 予想 配点 | ||
|---|---|---|---|---|
| 設問1 | (1) | ICMP Echoに応答するがHTTPサーバのプロセスが停止している状態を検知できない。 | 8 | |
| (2) | ア | 最小接続数 | 3 | |
| イ | 172.22.1.0/24 | 3 | ||
| (3) | LB | 3 | ||
| 設問2 | (1) | ウ | 大きい | 3 |
| エ | 小さい | 3 | ||
| (2) | IX | 3 | ||
| (3) | 不正なBGP接続 | 5 | ||
| (4) | 不正な経路に含まれるアドレスブロックへのコンテンツ配信が出来なくなる | 7 | ||
| 設問3 | (1) | 攻撃パケットを攻撃元に近いところで遮断できる。 | 6 | |
| (2) | より細かい条件で選別して破棄することができる。 | 6 | ||
この解答例を元に問題を解説していきます。
設問1
(1)
本設問では、HTTPプロセスではなく、ICMP Echo(ping監視)にて監視を行った際の問題点を問われています。
まず、下線①の部分を見てみましょう。
一般的に、ping監視(レイヤー3)はネットワークレベルでの死活監視しかできません。
サーバは稼働しているが、HTTPプロセスがダウンしている場合はLBでは検知できないため、処理の振り分けを行なってしまいます。
一方、HTTPプロセス(レイヤー7、場合によってはレイヤー4)での監視は、プロセスがダウンしている場合はLBでの振り分けは行いません。
プロセスがダウンしている=サーバがダウンしているものと同義ですもんね。
よって、解答例は以下の通りです。
ICMP Echoに応答するがHTTPサーバのプロセスが停止している状態を検知できない。(45字)
「プロセス」を「サービス」と回答しても正答になるのではないかと思います。
(2)
この設問は穴埋め問題でした。
(ア)と(イ)の記述がある箇所を見ていきましょう。
(ア)
まず(ア)ですが、LBの振り分けアルゴリズムについて問われています。
本文中には振り分けアルゴリズムとして、ラウンドロビン方式と最小接続方式についての記述があります。
また、そのすぐ後に以下のような記述があります。
配信するゲームファイルのサイズにばらつきがあるため、ラウンドロビン方式だとその時点で負荷が高い配信サーバに振り分けてしまう可能性があります。
また、「各配信サーバへの同時接続数をなるべく均等にするため」とあることから、「最小接続方式」を採用したと考えられます。
ア:最小接続方式
(イ)
(イ)については、ゲームβの配信サーバを増設する際に、どのセグメントに設置すればよいかを問われています。
D社データセンターのネットワーク構成図と各配信サーバごとのセグメントが記載された表を掲載します。
表中にゲームβについての所属セグメントが記載されています。
この表から明らかな通り、ゲームβの配信サーバを追加すべきセグメントは「172.22.1.0/24」です。
イ:172.22.1.0/24
(3)
続いてはサーバ証明書をインストールする必要がある機器について問われています。
ネットワーク構成図と表を見てみましょう。
表中で注目して頂きたいのが、LBと配信サーバのポート番号です。
LBでは「443(HTTPS)」、配信サーバでは「80(HTTP)」となっています。
これはどういうことかと言うと、[ゲーム端末〜LB]間ではHTTPS通信、[LB〜ゲーム配信サーバ]間ではHTTP通信となっていると言うことです。
つまり、LBが暗号化されたHTTPS通信を復号し、ゲーム配信サーバに振り分けていると言うことです。
よって正解は「LB」となります。
LB
設問2
D社はこれまで自社のデータセンター内に配信サーバを設置し、コンテンツの配信を行なっていました。
しかし、ゲームファイルの大容量化と利用者のグローバル化に伴い、E社のコンテンツ配信サービスを用いた形式で行うことにしたようです。
D社担当者であるXさんとE社担当者の会話に移っていきます。
(1)
本設問は穴埋め問題でした。
BGPの経路選択アルゴリズム(パスアトリビュート)について問われています。
まず本文中の(ウ)、(エ)の記述について見てみましょう。
(ウ)
まずはBGPのLP(LOCAL_PREF)属性についてです。
LOCAL_PREFは大きい方の経路が優先されます。
大きい
(エ)
続いて(エ)の設問です。
MED(MULTI_EXIT_DISC)属性については小さい方の経路が優先されます。
小さい
(補足)BGPのパスアトリビュートについて
BGPのパスアトリビュートははっきりいって覚えるしかないと考えています。
以下に主なBGPのパスアトリビュートについて記載します。
| 評価順 | 説明 |
|---|---|
| 1 | LOCAL_PREFの値が最も大きい経路情報を選択する。 |
| 2 | AS_PATHの長さが最も短い経路情報を選択する。 |
| 3 | ORIGINの値に基づいて選択する。(IGP、EGP) |
| 4 | MEDの値が最も小さい経路情報を選択する。 |
| 5 | eBGPで選択した経路情報、iBGPで受信した経路情報の順に選択する。 |
| 6 | NEXT_HOPが最も近い経路情報(NEXT_HOPへのIGPのコストが最も小さいもの)を選択する。 |
| 7 | BGPピアのルータIDの値が最も小さいも経路情報を選択する。 |
上記の項目を上から評価していき、ベストパスを選択します。
その選択したベストパスがルーティングテーブルに登録されます。
ネットワークスペシャリスト試験ではLOCAL_PREF、AS_PATH、MEDが頻出している印象です。
(2)
東京POPからAS-Gのトラフィックにおいて、途中通過する場所について問われています。
本設問はBGPの経路選択について理解することで解ける問題だと思います。
まずは下線②の箇所を読んでみましょう。
この記述より、LPとMEDが経路選択に影響を及ぼさないことがわかります。
では、BGPは一体何の情報を元に経路を選択しているのでしょうか?
それはずはり、下線②の「AS_PATH長によって選択される」とある通り、AS_PATHの長さが一番短い経路が選択されます。
続いてBGP anycastについての説明文と構成図を読んでみましょう。
シンガポールPOPと東京POPには同じIPアドレスブロックが割り当ています。
前述の通り、LP属性とMED属性は経路選択に影響を及ぼしません。
ここでネックとなるのが図中にも書いてある「IX(Internet Exchange)」です。
では本文中のIXの記述について見てみましょう。
レイヤー2とある通り、IXはAS番号を持ちません。
反対に、トランジットISPはAS番号を持ちます。
よって、東京POPとAS-G間の経路ならびにAS_PATHは以下のような関係になることがわかります。
| 宛先 | 経路 | AS_PATH |
|---|---|---|
| 東京POP | [AS-E]→ [AS-F] → [AS-G] | [AS-F] [AS-G] |
| 東京POP | [AS-E] → [IX] → [AS-G] | [AS-G] |
AS_PATHの長さから明らかな通り、[AS-E] → [IX] → [AS-G]の経路がベストパスとして選択されます。
よって、正解は「IX」です。
IX
(3)
本設問は隣接するMD5認証を行うことによって防げることを”BGP”という字句を使用し答える問題です。
まずは下線③の部分を見てみましょう。
MD5はメッセージ認証を行うための手法で、メッセージが改ざんされてされていないかの認証を行います。
IPAの解答では以下の通りとなっています。
不正なBGP接続(8字)
正直この解答にはあまりピンときませんでした。
不正なBGPルータとの接続だけでなく、メッセージの改ざんも含めた解答なんだと思います。
ちなみに筆者は以下のように解答しました。
BGPのなりすまし
うーん、これだと微妙ですかね…
特定の単語を含める(今回は”BGP”)かつ10字という短い文字数に収めるのはとても難しいですね。
こういったところはやはり過去問を繰り返し解いて傾向を掴んでいくしかなさそうです。
(4)
正直この問題はとても難しかったように思います。
まずは下線④の箇所を見てみましょう。
経路フィルタリングを行わなかった場合に、コンテンツ配信をにどのような悪影響があるかを問われています。
特に本文中にヒントらしい記述はなかったので、一般的な知識で解くしかなさそうです。
経路フィルタリングを行わずBGP接続を行った場合、(本文中の記述もあるように)AS_PATHが一番短い経路が選択されます。
そのことを利用し、悪意のある第三者が短い経路情報を通知してきた場合はどうなるでしょうか。
手書きで恐縮ですが、例を書いてみます。
この場合、経路は以下の2パターンになります。
| 宛先 | 経路 | AS_PATH |
|---|---|---|
| 1.1.1.0/24 | [正規サーバ]→[AS1]→[AS2]→[端末] | AS2 AS1 |
| 1.1.1.0/24 | [第三者のサーバ]→[AS3]→[端末] | AS3 |
このような同じ宛先にて、AS_PATHが短い第三者のサーバへの経路が優先されてしまいます。
正規サーバ・第三者のサーバのアドレスブロックは同一であるため、正規サーバのアドレスブロックへの通信が行えなくなります。(=コンテンツ配信ができない)
“不正な経路”という字句を用いて解答は以下のようになります。
不正な経路に含まれるアドレスブロックへのコンテンツ配信が出来なくなる。(35字)
設問3
続いてはE社コンテンツ配信サービスを利用した場合のDDoS攻撃について検討を進めていくようです。
(1)
DDoS攻撃のパケットを、FWとBGPルータでフィルタリングを行った場合の比較について問われています。
まずは図3の構成図を見てみましょう。
※RTBH(Remote Triggered Black Hole)方式については次の設問で説明します。
この図において、BGPはよりインターネットに近く、FWはよりインターネットから遠い経路に位置しています。
DDoS攻撃はより攻撃元に近い(インターネット側に近い)場所で遮断するべきです。
BGPルータはインターネットとの境界に位置しているので、BGPルータで破棄するのが適切そうですね。
攻撃パケットを攻撃元に近いところで遮断できる。(23字)
ちなみに筆者は、DDoS攻撃の検知・遮断を動的に設定できるんだと思い、以下のように解答しました。
多分0点ですね。
NetFlowパケットにより動的にDDoS攻撃を遮断できる。(30字)
(2)
まずは下線⑤についての記述を見てみましょう。
BGP Flowspec方式がRTBH方式より有用である理由を述べる問題です。
まず「RTBH(Remote Triggered Black Hole)方式」について本文中の字句を用い説明します。
(正直私もどのような技術かは全くわかりませんでしたが、新技術についてはほぼほぼ本文中に記載があります)
要するに、RTBH方式にてDDoS攻撃を検知した場合、宛先IPアドレスごとにパケットを破棄する技術のようです。
これだと正常な通信でも破棄してしまいますね。
次にRTBH方式と比較したBGP Flowspecについての説明を記載します。
RTBH方式だとDDoS攻撃を検知し遮断した宛先にはパケットが届かなくなります。
一方でBGP Flowspec方式は送信元のIPアドレスなども組み合わせて遮断できるため、より細かい条件でフィルタリングを行うことが可能となります。
よって、解答は以下の通りです。
より細かい条件で選別して破棄することができる。(23字)
正直この回答は少し抽象的すぎるのではないかと思いました…
まとめ
今回の問題はLBを用いた負荷分散、利用者増加に伴うCDNの利用や経路制御、サイバー攻撃への対策などが盛り込まれていました。
聞き慣れない技術名がいくつか出ましたが、全て本文に説明が記載されていました。
ちなみに、筆者が解いた際は約41分でした。
午後Ⅰは2問で90分なので、ちょうど半々といったところでしょうか。
ただ、解き終わった後に見直しもしたいので、もう少し早く解けると安心そうです。
筆者も経路制御(BGPやOSPF)は非常に苦手意識がありますが、基礎を抑えてしっかり学習すれば解ける問題だと思いました。
また、以下の記事に筆者オススメの勉強方法などを記載していますので、お読み頂けるとありがたいです。
それではまた次回の記事でお会いできることを楽しみにしています。
コメント