Slow HTTP POST攻撃は、WebサーバーがHTTPリクエストを処理する方法を悪用するサービス拒否（DoS）攻撃の一種です。攻撃者は、リクエストボディに大量のデータを指定することで、正当なHTTP POSTヘッダーをWebサーバーに送信します。しかし、攻撃者はその後、非常に低速でデータを送信することで接続を開いたままにし、サーバーのリソースを占有します。攻撃者はこのような接続を複数回確立することで、サーバーの同時リクエスト処理能力を超過させ、正当なユーザーがWebサーバーにアクセスできないようにすることができます。
攻撃継続時間Dは、D = a * bという式で表されます。ここで、aは接続数、bは接続あたりのホールドアップ時間です。攻撃者はaとbを操作することでDを最大化しようとします。サーバーは1秒あたりm個の接続を処理できますが、mを超える接続はシステムに過負荷をかけます。したがって、サーバーの非稼働時間が最も長くなる可能性が最も高いシナリオは、a > mかつbが最大となるシナリオです。4つのオプションのうち、これはオプションBに該当し、a = 100、m = 90、b = 15となります。
このシナリオでは、D = 100 * 15 = 1500秒となり、4つのオプションの中で最も長くなります。オプションAはbが大きいものの、a < mであるため、サーバーは過負荷になることなく接続を処理できます。オプションCはa > mですが、bが小さいため、攻撃時間は短くなります。オプションDはa > mですが、bが小さく、aとmの差も小さいため、攻撃時間も短くなります。参考資料：
* スロー POST 攻撃とは何か？そしてそれを防ぐには？（ガイド）
* Apache HTTP Server における HTTP GET/POST の脆弱性を軽減 - Acunetix
* スローポストDDoS攻撃とは？ | NETSCOUT

運用技術（OT）およびICS環境は、工場出荷時のデフォルトパスワードが変更されていないなど、設定ミスに悩まされることがよくあります。CEHは、ICSデバイスには強力な認証制御が欠如していることが多いため、デフォルトの認証情報を悪用することが直接的かつ効果的な方法であると認識しています。これらの組み込み認証情報を使用すると、監視制御への不正アクセスが即座に許可され、攻撃者は設定を操作したり、プロセスを妨害したり、重要なシステム全体に攻撃をエスカレートしたりすることが可能になります。

ネットワークの状態に関する最も包括的な情報を提供する一連のアクションは、Hping3を使用してサブネット全体に対してICMP pingスキャンを実行し、次にNmapを使用して特定されたアクティブホストに対してSYNスキャンを実行し、最後にMetasploitを使用して特定された脆弱性を悪用することです。この一連のアクションは次のように機能します。
* サブネット全体のICMP pingスキャンにHping3を使用する：このアクションは、サブネット上のすべてのIPアドレスにICMPエコー要求パケットを送信し、ホストからのICMPエコー応答パケットを待つことで、ネットワーク上のアクティブなホストを検出するために使用されます。Hping3は、TCP、UDP、ICMPなどのカスタムパケットを作成して送信し、応答を分析できるコマンドラインツールです。Hping3をICMP pingスキャンに使用することで、ハッカーはネットワーク上の稼働中のホスト、それらの応答時間、パケットロス率を迅速かつ効率的に特定できます12。
* 識別されたアクティブホストでNmapを使用してSYNスキャンを実行する：このアクションは、TCP SYNパケットをさまざまなポートに送信し、TCP応答を分析することで、アクティブホスト上の開いているポートとサービスをスキャンするために使用されます。Nmapは、ポートスキャン、サービス検出、OS検出、脆弱性スキャンなど、さまざまな種類のネットワークスキャンを実行できる人気の高い強力なツールです。SYNスキャンにNmapを使用すると、ハッカーはアクティブホスト上のポートの状態（開いている、閉じている、フィルター処理されている、フィルター処理されていないなど）と、そのホストで実行されているサービスとプロトコルを特定できます。SYNスキャンは、TCP 3ウェイハンドシェイクを完了しないため、ターゲットシステムへのログインを回避するため、ステルススキャンとも呼ばれます34。
* Metasploit を使用して特定された脆弱性を悪用する: このアクションは、開いているポートとサービスを活用する事前構築済みモジュールまたはカスタム モジュールを使用して、アクティブなホスト上の脆弱性を悪用するために使用されます。
Metasploitは、侵入テストとエクスプロイトのためのツールとモジュールのコレクションを含むフレームワークです。Metasploitを使用することで、ハッカーはアクティブなホストに対して、リモートコード実行、権限昇格、バックドアのインストールなど、様々な攻撃を仕掛け、標的のシステムやデータへのアクセスを獲得することができます。また、Metasploitは、情報収集、永続性の維持、他のシステムへのピボットといっ​​た、エクスプロイト後のタスクにも使用できます。
他のオプションは、次の理由によりオプション B ほど包括的ではありません。
* A. Nmap で ping スイープを開始し、次に Metasploit を使用して開いているポートとサービスをスキャンし、最後に Hping3 を使用してリモート OS フィンガープリンティングを実行する: このオプションは、ツールを最も効率的かつ効果的に使用していないため、最適ではありません。Nmap は ping スイープを実行できますが、カスタム パケットを作成して送信できる Hping3 よりも遅く、柔軟性に欠けます。Metasploit は開いているポートとサービスをスキャンできますが、スキャンよりもエクスプロイトに適しており、いずれにしてもポート スキャンは Nmap に依存しています。Hping3 はリモート OS フィンガープリンティングを実行できますが、さまざまなテクニックとプローブを使用して OS の種類とバージョンを判別できる Nmap ほど正確で信頼性がありません13。
* C. ランダム ポートで Hping3 を使用して UDP スキャンを開始し、次に Nmap を使用してバージョン検出スキャンを実行し、最後に Metasploit を使用して検出された脆弱性を悪用する: このオプションは、最適なスキャン方法とテクニックを使用していないため、効果的ではありません。Hping3 は UDP スキャンを実行できますが、UDP は必ずしも応答を生成するとは限らないコネクションレス プロトコルであるため、TCP スキャンよりも遅く、信頼性が低くなります。また、ランダム ポートのスキャンは、重要なポートやサービスを見逃す可能性があるため、非効率的で不完全です。Nmap はバージョン検出スキャンを実行できますが、範囲を絞り込んでスキャンを高速化できるため、最初にポート スキャンを実行する方が有用です。Metasploit は検出された脆弱性を悪用できますが、ハッカーが最初に脆弱性スキャンを実行せずに脆弱性を特定する方法は明らかではありません13。
* D. 一般的なネットワーク スキャンには NetScanTools Pro を使用し、次に OS 検出とバージョン検出には Nmap を使用し、最後に SYN フラッディングを Hping3 で実行します。このオプションは、ネットワーク スキャンのすべての側面と目的をカバーしていないため、包括的ではありません。NetScanTools Pro は、ping、traceroute、DNS ルックアップ、ポート スキャンなどのさまざまなネットワーク タスクを実行できるグラフィカル ツールですが、より高度でカスタマイズされたスキャンを実行できる Nmap や Hping3 ほど強力でも多機能でもありません。Nmap は OS 検出とバージョン検出を実行できますが、対象システムに関する詳細な情報と洞察が得られるため、最初にポート スキャンを実行する方が有用です。Hping3 で SYN フラッディングを実行することは、ネットワーク スキャンではなく、ネットワークを混乱させて対象システムに警告を出す可能性があるサービス拒否攻撃であり、雇われたハッカーにとって倫理的または法的に許される行為ではありません13。
参考文献:
* 1: 平 - Wikipedia
* 2: Hping3の例 - NetworkProGuide
* 3: Nmap - Wikipedia
* 4: Nmapチュートリアル: 検出からエクスプロイトまで - パート1: Nmap入門 | HackerTarget.com
* : Metasploit プロジェクト - Wikipedia
* : Metasploit Unleashed - 攻撃的なセキュリティ
* : NetScanTools Pro - Northwest Performance Software, Inc.

パッシブアセスメント パッシブアセスメントは、ネットワーク上のトラフィックをスニフィングして、アクティブなシステム、ネットワークサービス、アプリケーション、および脆弱性を特定します。また、現在ネットワークにアクセスしているユーザーのリストも提供します。

Certified Ethical Hacker (CEH) IDS/IPS および回避テクニック モジュールによると、パケットの断片化は、シグネチャ ベースの IDS センサーが完全なパケットを再構成して検査できないように、悪意のあるペイロードを小さな断片に分割するために攻撃者が使用するテクニックです。
CEHは、異常ベースのIDSシステムは、既知のシグネチャのみに頼るのではなく、動作の逸脱を分析するため、断片化回避に対してより効果的であると説明しています。断片化されたトラフィックは、パケットサイズ、シーケンス、再構成の異常に関して、ベースラインのネットワーク動作から逸脱することがよくあります。
オプション A は正解です。異常ベースの検出では、ペイロード自体が既知のシグネチャと一致しない場合でも、異常な断片化動作を識別できるためです。
オプション B は、攻撃者が一貫した間隔を使用しないため、信頼できません。
オプション C は、正当なトラフィックが断片化される可能性があるため、実用的ではありません。
オプション D は、シグネチャベースの IDS システムが断片化技術によってバイパスされる可能性があるため、あまり効果的ではありません。
CEH は、効果的な対策として、パケットの正規化と異常ベースの検出を推奨しています。