• ホーム
• IT関連
• ネットワークスペシャリスト
• メモ02

ネットワークスペシャリスト　出てくる重要単語 02

VDI

サーバー内にクライアントごとの仮想マシンを用意して仮想デスクトップ環境を構築する技術。 VDIの画面転送プロトコルのみを利用する。

FIDO認証

無線LAN

QoS

テンペスト技術

ディスプレイやキーボード、ネットワークケーブルなら放射されている電磁波を傍受し、元の情報を再現しようとする技術。 防ぐ方法 ・液晶ディスプレイに切り替える ・ケーブルを電磁シールドで包む

ポートスキャン

アドミッション制御

新たに通信を開始する場合、システム内の資源の利用状況を考慮位sて、余裕がある時のみにその要求を受け付けるように制御することをいう。

OFDMA

OFDM（デバイスによって複数のチャネルを割り当てる）の進化系
OFDMAは、複数のチャネルを分割して振り分ける方式。チャネルの余分なところも使える。
1つのチャネルをサブチャネルに分割する。

セッション維持機能

HTTP理消すとの送信元IPアドレスに基づいて行う方式と、LBによって生成されるセッションIDに基づいて行う方式がある。

EMOTET

2019年に流行したコンピューターウイルス。情報を搾取したり、感染したりする

TLSアクセラレーション

TLSの暗号化・複合化処理をハードウェアで高速に処理する機能

NTP

DDos攻撃を防ぐためには、NTPサーバーの状態確認機能(monlist)を無効にする。

ICMPv6

IPプロtコルの補完をする役割を持つICMPをIPv6環境に対応させたプロトコル。 「近隣要請メッセージ」「近隣告知メッセージ」で提供できる。またIPアドレスの自動設定の手段として、ICMPv6が使用される。

URLブロッキング

ISPごとに、DPIを導入することで、URLをみてブロックする。

プライベートLTE

1.9GHzを利用して、自営の通信網を作るときに規格。

sXGPは、LTE　BAND39に干渉対策のLBTを加えた通信方式。

XFF (X-Forwarded-For)

HTTPヘッダフィールドの１つであり、ロードバランサなどの機器を経由して、Webサーバーに接続するクライアントの送信元IPアドレスを特定する際のもの。 だから通信中に異なるロードバランサを使っても大丈夫になる。
途中でWAFサービスを使うときに、IPアドレスが変わってしまって、ログが取れなくなるので、このXFF機能を使う。 XFFを有効にする場合は、プロキシや、WAFサービス側で「forwarded_for_on」を記載すると、IPアドレスが追記されるようになる。通常はログを取らないので、OFFになっている場合が多い。

OpenFlow

ネットワーク制御のためのプロトコルであり、ネットワーク機器のフローテーブルの情報をコントローラから提供するときに使用される。

IPFIX

ネットワークのトラフィックを分析する時のプロトコル。コレクタと呼ばれるサーバーに送信する。
CiscoでNetFlowというものが使われていたが、それをパクったもの。
NetFlowと同じく、データリンク層、ネットワーク層、トランスポート層の情報を取得する。

SNMPはインターフェース層にのみ対応なので、IPFIXでの分析が必要。
IPFIXのフローデータには、入力インターフェース情報に加えて、以下のような情報が含まれています。
送信元IPアドレス、宛先IPアドレス
送信元ポート番号、宛先ポート番号
プロトコル種別（TCP、UDPなど）
Tosバイト（DSCP）
これらの情報は、ネットワーク輻輳の原因となっている通信のIPアドレス単位での特定に活用できます。

CPRM

SDメモリカードに使用される著作権保護技術。

CPPM

コンテンツをメディアに暗号化した状態で記録し、再生時に対応した機器で復号することで、違法コピーを防止する技術。

DTCP

家庭内ネットワークにおいて、著作権保護されたディジタルコンテンツを暗号化して、伝送することで、コピーや盗聴を防ぐ技術。

ポリモーフィック型マルウェア

パターンマッチによる検出を逃れるため、感染のたびに異なる暗号化・複合ルーティングを暗号かを行うなどして、自身プログラムコードを都度変化させるマルウェア。
パターンマッチングでは検知することができないので、検出にはマルウェアの活動を監視して判定を行う「ヒューリスティック法」や「ビヘイビア法」などの行動検知型の手法を利用する必要がある。

secure属性

ネットを使うときに必要なセキュリティー情報
https通信時のみCookie情報を送信するように設定する。

待ち行列の公式

{利用率/(1-利用率)}+平均サービス時間　+ 平均サービス時間

マルチキャストルーティング

ローカルブレイクアウト

クラウドサービス通信をインターネットに直接送りだす機能

無線LAN　種類

MIMO

空間分割多重w

SU-MIMO

複数の送信アンテナから同時にデータを送信。そのデータを複薄の受信アンテナで受信。
802.11nで利用されている。

デバイスごとに、通信しなきゃいけない。

MU-MIMO

複数の端末に接続したときに速度低下を防ぐ。
通常は、１対１で通信しなければならないが、MU-MIMOは、端末ごとに異なる電波を送信することで、同時に通信することを可能にする技術。

デバイスが複数台あっても、同時に通信することができる。（スループットの向上）
802.11acでは、ダウンリンクのみ使用可能{DL MU-MIMO（ダウンロードするときのみ)}
Wifi6では、アップリンクでも使用可能になった。

CSMA/CA

Wifiに使われる周波数について

2.4Ghz
チャネル数　13
同時使用数　3

5GHz
チャネル数　19
同時使用数　19
W52とW53は、気象レーダーとして利用しているため、屋外での利用を禁止している。
W56が屋外で利用できる。

SNI

バーチャルホストにTLSを対応させる機能。

IPブロッキング

ルータに、拒否するIPアドレスを設定しておく。 ブラックホールルーティング　存在しないIPアドレスを指定する 弱点、ホストのIPアドレスが変更されてしまうと、回避されてしまう。

ジッターが発生する原因

CPUの高負荷による、処理遅延。
キューイング遅延

優先制御をする方法

L2の場合
VLANタグをつかう。(PCPに書き込む)

L3の場合
TOSフィールド

マルウェアMIRAI

IoT機器を対象にして、感染しまくるマルウェア。 C&Cサーバーを利用する

WAF

ファイヤーウォールの進化バージョン。
通常のファイヤーウォールだとレイヤ３・４のヘッダしか見ないが、WAFはデータの内容まで見る。これにより、SQLインエジェクション・クロスサイトスクリプティング固有の高度な攻撃も防御できるようになる。

EAP（いーぷ）

PPPを拡張したプロトコルで様々な認証をすることができる。

Cos

データの優先度をフレームの中に埋め込むことができる。

VPN

サイト間VPNは境界ルータ間で暗号化 リモートアクセスは、クライアントソフトで暗号化する。
厳格優先（ストリクトプイオリティ）　優先度が高いものの送信がおわるまで、待つ。
重みづけ　　優先度：高　５回　→ 優先度:中　３回　→ って感じ。

コモンネーム(CN)

サーバー証明書の中に書いてある、サイトのFQDN(完全なURL)

netstat

ip通信の状態を調べるためのコマンド
どのIPアドレスと接続しているか通信状態を　表示することができる。
-a 全ての通信を表示、udpも表示。
-n 名前解決をしない、早く表示。　

TIME_WAIT

ポートを再利用するまでに待機する時間 ・多数の通信を代理する場合はポートが足りなくなることがあるので、TIME_WAITを短くすることによって解消

RTP

VoIPなど、音声データを順番制御しながら送信することができる。
UDPを使ってやり取りしたいが、順番制御できないので、低いコストで送信したい場合に、RTPを送信することができる。

IGMP

マルチホーム接続

複数のプロバイダに繋いで、ネットに接続する方法。冗長化や負荷分散を行える。

トランジットAS

複数のASに、マルチホーム接続して、外部ASのトラフィックを通過させる方法。メリットはわからん。

クエリ文字列（パラメータ）

URLの後につけられる文字列。?から始まる。商品販売サイトで好みの商品を出すために使われる。

パッシブパラメータ　　表示されるものは同じ。アクセス解析に使われる。パッシブは「消極的」という意味。

アクティブパラメータ　好みの商品を表示するために使われる。

WebDAV

HTTP通信拡張バージョン。
HTTPの仕様を拡張し、ファイルのアップ／ダウンロードに加えて属性の設定などのファイル管理をできるようにしたもの

VLAN ID

VLANを識別するためのID。
12ビット使えるので、4096種類のIDを利用できる。

VLANタグ

複数のネットワークの通信が混在する場所ではVLANタグが必要になる。

ポートVLAN

VLANの方式の一つで、一台のネットワークスイッチの差し込み口を単位に、物理的な回線でグループを構成する方式。

WSDL

Webサービスを外部のソフトウェアから接続・利用するための方式を記述することができる言語

リフレクタ攻撃

カップル不安攻撃。
「彼女が悪口を言っているという嘘をつく」→ 「心配して過剰に関わろうとする」→ 「ウザがられて仲が悪くなり、破局」
DNSの場合、TXTレコードに大量の文字列を含め、転送。DNSキャッシュポイズニングによってそのTXTレコードを応答するようにする。 これに対処するためには、キャッシュ機能を無効にして、TXTレコードをキャッシュしないようにする、 MXレコード　メールサーバのホスト名を登録。 PTRレコード　Aレコードを説明したモノ。DNS逆引きで使用するIPアドレス→ホスト名の関係を登録するレコード。

WPA2

無線LANのセキュリティプロトコル。 WEP,WPAで使用されていたRC4に変わって、AESが採用された。

UML ユースケース図

アクタ(利用者)を視点に、要求する機能を図式化したもの。

OP25B

DNSSEC

DNSのセキュリティを拡張したプロトコル。 DNSにおける応答の正当性を保証するための拡張仕様。 ドメイン応答に電子署名を付加することで、正当な管理者によって生成された応答レコード

LDAP

ディレクトリサービスにアクセスするためのプロトコル。

BOOTP

DHCPの前身。フォーマットは一緒。違いは処理すべき情報量。
ディスクレスクライアント(サーバーの力を借りなければ起動できない軟弱者）がIPアドレスを取得するために作られた。それまでは、RARPでMACアドレスとIPアドレスの変換を行っていた。

DHCPはDNS情報や、リース貸し出し期限まで扱うようになった。
例：BOOTPはアルバイト。DHCPは裏方の仕事もするバイトリーダー。
無線LANアクセスポイント(AP)にDHCPサーバー機能を使いすると、DHCPサーバーがいらなくなる。

ICMP Flood攻撃

ICMOはUDPを使用するので、IPアドレスの偽装を簡単に行える。 Redirectはよりよい経路情報を取得もとに伝達するために使用する。

R値

総合的に音声品質を評価した指標E-Modeの出力として得られ、ノイズ感・音量感・エコーや遅延など満足感を与える要素を加えて適量的に算出される。

Wi-Sun

IoT向けの省電力の無線機器で使用される無線通信。 端末同士の通信距離は、500mだが、端末同士で通信をリレーすることによって、数10kmまで通信をすることが可能。

SMTP

SMTPには送信と転送のどちらにも使える25/TCPと送信専用のサブミッションポート587/TCPが規定されている。

Re-Inviteとは

Inviteとは
INVITEを使って確立した通信の状態を変えること。

INVITEとは

SIPにおける通信の確立リクエスト(おはよう！って感じ)

SIPリクエスト

INVITEリクエスト　セッションの確立
ACK 確認受信
BYE　セッションの終了
CANCEL セッションの取り消し
REGISTER ユーザーの位置を通知
OPTIONS 受信側と発信側のSIP能力に関する通知をする。

SDP

音声や映像などのメディアデータのストリーミング送信を開始する際に、通信に必要なパラメータを伝達するための、データ形式の一つ。(映像の情報など) IP電話の保留中に保留音を流す

SMTPコマンド

MIME

ASCLLコードでは、アラビア文字とか使えないので、SMTPの機能を拡張したもの。

エンコーティング　　データの形式を異なるものから異なるものに変換する技術。MIMEではMIMEエンコーティングという。
Base64(画像とかを文字列に変換する)を用いて、エンコードする。

S/MIME　電子署名や暗号化の機能をつけたもの。RSA公開暗号方式でメッセージを暗号化する。認証局が発行したX.509形式の電子証明書が必要。

POP before SMTP

なりすましを防ぐために、メール転送時にも認証をしようとしたもの。 バスケットボールで言うとで言うと、『シュートしたらいきなりカットされる感じ』

SMTP Autentication

ユーザーIDとパスワードによる認証を行う。
AUth PLAINや、AUTH CRAM-MD5による認証

SPF

電子メールの送信元ドメインが詐称されていないか検査するための仕組み。SMTPでは差出人のメールアドレスを自由に変更することができてしまう。（それはあかん）
SPFはIPアドレスの範囲をDNSで公開する(TXTレコード)。その表をみて、送信元を詐称していないか確認する。
例『免許証の顔写真と実際の顔を見比べて、なりすましていないか確認。』
SPFレコードの書き方が午後問題に出やすいのでよく抑えておく！

DKIM

送信側メールサーバがメールに対してディジタル署名を行う方法。
『履歴書に免許書のコピーをつける』
受信側は、メールを受け取ったら、DNSに確認しに行く。
『履歴書を受け取ったら市役所に確認しに行く』

POP3

IMAP4

POP3に変わるメール受信プロトコル。モバイル環境で通信費を節約するために作られた。

SOAP

SOAPとは、異なるコンピュータ上で動作するプログラム同士がネットワークを通じてメッセージを伝え合うためのプロトコル。
メッセージの記述にXML、データ伝送に主にHTTPを使用する。

HTTP

GETにはクエリストリング（クエリ文字列）が埋め込まれており、一定期間サーバーに残る。そこから情報が漏れる可能性があるので注意。
→セキュリティが必要な情報ならPOSTを使って、HTTPボディにデータを埋め込んで転送する必要がある。

CGI

仮想化

ゲストOS...仮想マシン上で実行するOS
ホストOS...物理マシン上で実行するOS

ホストOSを介さないものをハイパーバイザ型という。

ダイレクトブロードキャスト

自分が接続していないネットワークへのブロードキャスト。

RASIS

MTU

１回の電装で送信できるデータの最大値を示す。1500バイト。
その中のTCPデータは、IPヘッダ(20バイト）とTCPヘッダ(20バイト)を引いた1460バイト分である。

MTBF

信頼性を数値で示したもの。
MTBF = 1/λ （λ ＝ 故障率）

MTBFが大きいほど信頼性のあるシステムとなる。

可用性

稼働率　＝　MTBF / (MTBF+MTTR)

保守性

MTTR = 1 / μ （μ = 修理率）

MTTRが小さいほど修理にかかる時間が少なくなる。

保全性

改竄される可能性

安全性

クラッカーなどの攻撃からシステムを守れる度合い。JRAMなどの評価基準がある。

フォールアボイダンス

高品質のものにして障害を起こさないようにする

フォールトレランス

障害による影響を抑える
フォールトマスキング　冗長化する
フェールセーフ　緊急時に大事なシステムだけ稼働
フェールソフト　誤入力を避ける　
フールプルーフ　冗長化・自動復旧。
フォールトレイテンシ　障害が発生した時、すぐに検出できる体制を整える。

故障予防

故障してから対処するよりも予防したほうがコストが減らせる。 UPSを設置。電圧を安定させる。 バックアップからの回復リハーサル 権限を限定する。

センドバック保守

故障した機器をベンダに送付して修理してもらう。

FTP

オンサイト保守

ベンダ要員が自社に待機していて、故障時に対応する。高コスト。

FTA

リストア

バクアップからデータを復元すること。

コンティンジェンシープラン

業務継続性が非常に重要であるという思想。

ハウジングサービス

顧客のサーバー等をあぶ買って安全に運用するサービス。

ホスティングサービス　レンタルサーバーを貸し出すサービス

IDC インターネットデータセンタ サーバー等を格納する施設。

SNI

TLSの拡張機能
ホスティングサービス（レンタルサーバ）でTLS利用時の不都合を解決するために作られた。

バーチャルホスト

同じIPアドレスを複数のドメインで共有するIPアドレスを節約する。

DNSブロッキング

サイトブロッキング　海賊版サイトにアクセスさせない

キャッシュDNSでアクセスをブロックする（管理者が設定しないといけない）
違法サイトIPアドレスの問い合わせがあった場合に、警告サイトのIPアドレスを応答する。

RBL

Real-time Blackhole List
スパム防止用のブラックリスト。さまざまな団体や個人がデータベースを作成。インターネットに公開されている。
このデータベースを使うと、オープンリレー(サーバーに送信してもらう)のSMTPサーバーから発信されたメールを全て拒否するようになる。

DNS逆引きチェック(スパム対策)

DNSの逆引きができない場合は、メールを拒否。

ファイヤーウォールポリシー

アクセス制限のルール。

RMON

SNMPでトラフィック情報など収集/分析を行いチアというニーズに応えるために設計されたプロコトル。

HTTPステータスコード

マルチホーム接続

SIP

セッションを始める際に使われるプロトコル(呼制御)。SIPサーバーも存在する。 音声通信を始める際にSIPサーバーを中継する。



SIP-AP　電話用ソフトウェア。インストールし、IPアドレスを使用して電話する。
個人のスマホを本社発信にするためには、IP-PBXを通過させる必要がある。そのために、事前に情報を登録しておかなければならない。(REGISTERを送る)

MPLS

ラベルで高速ルーティングする。


IP-VPNなどで使われる技術。

フォワードプロキシサーバー

Webブラウザのパシリ。 インターネットの安全な通信。危険なサイトのアクセスの遮断。高速なアクセスの実現が可能である。 フィルタリングの内容は、通信データに含まれている(レイヤ７)の内容。 HTTPS通信は、復号する。

smurf攻撃

DDos攻撃の一種。ICMP応答パケットを使って攻撃を行う。

SYN flood

SYNを使ったDos攻撃。 攻撃は、クライアント側がACK(確認応答)の操作を意図的に行わないようにして、サーバーから何度も情報を遅らせることによって、情報過多にさせる手法。

ライブロック

デットロックと同様、排他制御によりロックされた資源に、複数のユーザーかrあアクセス要求が出されたときに、お互いの資源が解放されるのをビジー状態で待つ状況が発生する。デットロックとは異なり、資源獲得の処理が進行しているのにもかかわらず、どのユーザーも資源が獲得できない状態である。

uRPF

ルータのルーティングの仕組みを使ったフィルタ。ワームやボットに感染したパソコンが出す不正パケットをインターネット上で遮断するのに利用できると期待されている。

ディレイドディバイディング装置

サーバーのメモリ消費の負荷を減らす装置。
3ハンドシェイクを代行する。(高性能)

SYNクッキー

ACKの情報を見て、正常なパケットかどうか判断する。以上であればメモリ解放を行わない

リバースプロキシサーバー

外部からのアクセスを内部ネットワークのサーバーに中継するプロキシt。安全性確保のほか、負荷分散を行う。

TCPフォールバック

古いDNSからの応答のデータサイズが大きかった場合に、TCP通信に切り替える技術
なので、UDPの他に、TCPの通信も許可しておかないといけない。

フルリゾルバ

中継する際のDNSサーバー。キャッシュリゾルバ。 コンテンツサーバーと、フルリゾルバを同じサーバーに置いておくのは、セキュリティ上良くない。キャッシュポイズニングの危険性がある キャシュポイズニングの対策:送信元ポート番号のランダム化。識別子を使って判別する(整理券みたいなものを使う)

IPS

不正な通信位よるネットワークの侵入を防止する機能を持ったネットワークセキュリティシステム。

デジタル署名

改竄されない様にする技術。ではなく、改竄されていないか確認し、なりすましのデータではないか確認するための技術。

スイッチングハブ

送りたい人だけに送ることができる。(MACアドレスを見て) コリジョンドメインを分割できる。

通信回線について

遅延を起こさないために、拠点間はフルメッシュ構造で組む。
ハブアンドスポークだと、中心がダウンしたら終わるので使わない方が良い。

シグナリング(SIP)とRTPの通信経路は異なる。

Call-ID

電話のやりとりの際に使うID。 発信元のIPアドレスが変われば、Call-IDも変わる。

ASP

SaaSとほぼ一緒。ASPは完結したアプリケーションを提供する。SaaSは部品化したサービスを提供する。

クラスタリング

複数のコンピュータを組み合わせて信頼性の高いシステムを作り上げること。

DES

共通暗号方式の一つ。64ビットごとに暗号化と転覆（適当に入れ替え）を行う。
さらに32ビットごとに暗号化と転覆を行い、16回処理を繰り返す。

秘密鍵は56ビットのデータ列を用いる。

TrippleDES　DESのアルゴリズムを使う。キーは２つ用意する。

ESP

チャレンジレスポンス方式

Cookieの設定(テスト頻出)

domain属性　クライアントがどのCookie情報を送信するか設定されている。domain情報のデフォルトは、Cookieを発行したサーバーにのみ送信する。
secure属性　SSL/TLSで通信が暗号化されているときだけCookieを送信する。

SSLアクセラレータ

通信を暗号化するSSL/TLSを利用する際に、暗号化や復号を専門に行う機器、ソフトウェアのこと。

TSLアクセラレータ

通信を暗号化するSSL/TLSを利用する際に、暗号化や復号を高速に行う機器、ハードウェアのこと。

死活問題機能

LBの機能。異常が発生したサーバーとの通信は断ち、正常なサーバーに振り分ける機能。

パスフレーズ

秘密鍵を知るためのパスワード（二重防衛だね） 文字列は10文字以上で、空白が認められる。

DisplayPort

ディジタル映像インターフェースのDVIで問題とされていたコネクタサイズの大きさ、音声伝送ができないと言った点を解決したインターフェース。

SAN

ハードディスク装置や磁気テープ装置などのストレージとサーバーなどのコンピュータをファイチャネルなどのシリアルSCSIプロトコルを用いてネットワーク化したシステム。 高速なデータ転送やストレージ共有することによる記憶装置の効率利用が期待できる

スタースキーマ

多次元データモデルを表現するように設計されたスキーマで、データウェアハウスの実装で用いられる。

GARP

IPアドレスの重複を検出する。自分のIPアドレスでARPパケットを送信し、返信があったら重複があると見る。

MD2

メッセージダイジェスト生成関数。128ビットからメッセージダイジェストを生成するが、処理速度は遅い。

MD4　128ビットからメッセージダイジェストを生成する。処理は早いが衝突が起こりやすい。
MD5　128ビットからメッセージダイジェストを生成する。処理速度はMD4までないが、衝突が起こりにくい。
SHA　160ビットのダイジェストを生成する。
SHA-2 ４種類の長さのビット長のダイジェストを生成する。

PKI

秘密鍵・公開鍵が偽装される可能性があるためつくられた仕組み。

社内でこのシステムを使うことがある。その際には、プラベートCAを構築する。

CVSS

脆弱性評価システム。 １、基本評価基準　機密性・完全性・可用性を見る。 ２、現状評価基準　脆弱性をみる。 ３、環境評価基準　利用者の環境をみて、被害度を考慮。

ステートフルインスペクション

ファイヤーフォールにて、通信の可否を動的にきめる機能。 パケットの前後をみて、整合性がなかったらシャットアウト！

ディープパケットインスペクション

データの中身まで見て、タブー用語（機密事項）（イヤンな用語）が入っていたらシャットアウト！ 例え：おせっかいすぎてうざい母親

WPAD

Web Proxy Auto-Discovery ネットに接続する際のプロキシをPCに自動設定をする際のプロトコル。 proxy.pacファイルに設定されている。

パーソナルファイヤーフォール

自分のPCにダウンロードして、使うタイプのファイヤーフォール。 内部犯（スパイ）から身を守れる。

PPP

NCP ネットワーク層とのネゴシエーションを行う。IPと接続する場合は、IPCPが使われる。 LCP　リンクネゴシエーションを行う。

フレームリレー

パケット交換方式のWANサービスの一つ。各拠点間を接続することができる。
信頼性を確保する再送制御ができる。
複数の相手の通信も可能。
X.25を簡略化したもの

PAP

ネットワークに接続する際、正規の利用者かどうか認証するためのプロトコル。

PPPoE

イーサネット上でPPPを利用し、PPPフレームをMACフレームでカプセリングして送信する ベストエフォート型で安価。専用線や広域イーサネットは高価になるので、PPPoEを使うことが多い。

広域イーサネット

VPN接続サービスの一つ。拠点間通信を可能にする。 通信事業者が同時に用意した閉鎖網を利用するレイヤ２のVPN接続サービス。

DIAMETER

RADIUSの後継。サーバークライアント間の双方向の情報交換やベンダの拡張情報を扱えるようにした。

Ajax

ブラウザ版javascript

プログラムカウンタ

マイクロプロセッサ内部でデータを保持するレジスタの一種。 メモリみたいなもので、次の命令のアドレスを覚えておいてくれる。

ブリッジモード

レイヤ３のルータ機能を使わず、レイヤ２のブリッジとして使用するモード。いらないルータ箱の機能を活用する。

ストアドプロージャ

データベース管理システムの機能の一つで、データベースに対する連続した複数の処理を一つのプログラムをまとめ、データとともに保存できるようにしたもの。 一度に複数のクエリを実行することができるので、ネットワーク負荷の軽減を期待できる。

kerberos

認証方式。アルゴリズムを選択できる。
レルムという領域展開ができる。

ドメインのような領域で、IDやパスワードは一切ネットワークに出ない。

レルム

ASプロセス　クライアントの認証を行う。
TGSプロセス　チケットの発行を行う
KDBプロセス　プリンシパルの共通鍵を管理する。

SSLでできること

サーバー認証・クライアント認証・セッションの暗号化を行うことができる。
DV　ドメインの確認
OV　組織が存在しているか
EV ガイドラインに従っているか

メッセージダイジェスト

入力データにハッシュ関数を使用して、生成される固定帳の値。データの改竄が行なわれていないかを確認するために使用する。

VPN

クロスサイトスクリプティング Reflected XSS 反射型。レスポンスに悪意のあるスクリプトが含まれている。
Store XSS 　悪意のあるスクリプトをウェブアプリに保存してしまう。
DOM　Badsed XSS JavascriptでHTMLを操作する方法。inner HTMLプロパティを使うとHTMLを直接読み書きできる。DOMはHTMLやXMLを操作するときにつかうAPI。

IDS

DoS攻撃の対応策。攻撃パターンをシグニチャという形で保存しておく。パターンに一致した場合ネットワークを遮断するなど対処する方法をMisuse検知法という。 正常なものを不正パケットとして検知してしまうことをフォールスポジティブといい、不正パケットを正常として判断してしまうことをフォールスネガティブという。 このように、パターンを収集するまで時間がかかるため、注意する必要がある。

Anomaly検知法　　　Misuse検知法は新種に対応できないので、パターンと外れた挙動を示したときに検知する方法が作られた。

HIDS　ホストにインストールして、ホスト自身を監視する。
NIDS　ネットワーク上に置いておいて、ネット全体を監視する。
インラインモード　　例：関所みたいな形でいちいちパケットの状態を判断。通信が遅くなる。 プロミスキャストモード 　例：監視カメラ見たいので見ておく。大量なパケットがあると見逃す可能性がある。

バッファオーバーフロー攻撃

　　 バッファが溢れた場合、誤動作がおこる。溢れたものもメモリに保存されるので、そのメモリがプログラムとして呼び出されるのなら意識した操作ができる。 難しそうだけど、やりやすい手法。

スタック攻撃

変数やコマンドを一時的に保存しておく領域、スタックを攻撃するクラッキング。 プログラムアドレスを変更すると、意図しないプログラムが発動する。 例：生徒簿が書き換えられていて、生徒の名前を間違って覚えてしまう。

ヒープ攻撃

スタック領域みたいなもの。ソフトが一時的に使う領域。
隣り合った領域のメモリに対して、確保した領域を超えるデータを保存させれば誤動作が起こせる。

DEP

データ実行防止機能。
プログラム実行はコード領域に保存して、ハッキングによる誤動作を避ける。

ASLR

アドレス空間配置ランダム化
コード領域・スタック領域・ヒープ領域にランダムに保存することによってハッカーに悟られないようにする。

SAML

認証情報やアクセス制御情報を安全にやりとりするプロトコル。XML形式で作られる。シングルサインオンとかで使われる。 SAMLで他ドメインとの間で認証情報を交換することで、同一ドメインに止まらない大規模のサイトでシングルサインオンを利用することができる。

SMTPエンベロープ

ヘッダの情報で、宛先・送信元が書かれている。

ヘッダにも宛先・送信元が書かれるが、分離する理由としては、配信用のサーバーにメールを返信しないようにするため。

ping

pingはインターフェースの死活問題しかわからず、トラフィック量は不明。そのときに、SNMPのMIBがトラフィック量を返してくれる。

メールサーバー

MTA メール転送エージェント。SMTPで使われるシステム。SMTPエンベロープの情報を利用してメールを転送する。
MUA メールユーザーエージェント。メールを受け取る際に使用されるシステム。
MSA　メールクライアントからサブミッション当てのメールを中継する。
MDA　MTAが受け取ったメールをサーバーをユーザー個々のメールボックスに配送するプログラム。
MRA 　個々のメールボックスに蓄えられているメールをMUAに渡すプログラム。

SMTPエラーメッセージ

200番台　肯定応答
300番台　DATAコマンド(文字列変換)に対する応答
400番台　転送エラー
500番台　中断エラー

SMTPエンベロープ

SMTPエンベロープのうち、送信者のアドレスを表すのがMAIL TO, 受信者の情報を表すのがRCPT TO

SNAT（ソースNAT）

NATのうち、送信元アドレスを書き換えるもの。

DSR

これを理解する時は、ソースNATを復習する必要あり。
Direct Sever Return
サーバーからクライアントに対して返信する際に、ロードバランサーを用いない方法。
サーバーは仮想IPアドレスを送信元IPアドレスにしてクラアントに送信する。(実際のIPアドレスは用いない)
ロードバランサーの負荷を軽減できる。
これを使用する場合、送信元IPアドレスが、ロードバランサーのものになるため、VIP(ロードバランサーのもの)を用いなければらならない。
ロードバランサーは、宛先MACアドレスのみ変更する必要がある。

DTCP-IP通信

著作権保護技術。IPネットワーク内でコンテンツが配信される経路での不正流出を防止する技術。家庭内LANなどでの映像配信などに利用される。

リンクアグリーケーション

LAGを構成する回線の負荷分散は、ハッシュ関数によって決定される。 パケットの振り分けをハッシュ関数によって決定する。 障害が起こっているリンクを除外することによって冗長性を保つことができる。 LAGの中の１本でも回線が切れると通信速度が落ちるので、気をつける。→　転覆させないようにするために、LAG内のすべての回線を切る（他の回線に切り替えるけど、LAGの意味ない）

VIP

仮想IPアドレス。
複数の機器で共有されるIPアドレスのこと。

ロードバランサーのために用いるVIP

DNSレコードについて

SOA　ゾーン（管理する範囲）に関する情報がいろいろ書かれている。

ゾーンファイル　権威DNSサーバーのお仕事マニュアル。

NSレコード

そのドメインにおいて、DNSレコードを保持する権威DNSサーバーを指定するためのレコード

ゾーン転送

マスターサーバーからスレーブサーバーへゾーン情報を転送し、マスターサーバーに障害が発生してもそのzーんの名前解決ができるようになる仕組み。 ゾーン転送時はTCPを利用する

NHRP

MQTT

Iot用途で使うプロトコル。通信量が少なくなることがメリット。

OSコマンドインジェクション

入力値として、OSコマンドとして、解釈される文字列を紛れ込ませることによって、システムに不正なOSコマンドを実行させる攻撃。
仕組みはSQLインジェクションと同じ。
対策： 別プログラムを組み込まない。 エスケープする

クロスサイトリクエストフォージェリ

ARPスプーフィング

悪意のあるデバイスがARP要求を行い、誤ったARP情報を記憶させる。(ARP要求を受けたホストはその情報を記憶する)
なぜARPを受けた側でARP情報を記憶しておかなければならにあのか？　→ 次通信するとき、相手側のMACアドレスを知っていれば楽になるから。
対策：事前に正常なPCのMACアドレスをリスト化しておく（途中の通信制限装置が記憶）。その他のPCが入ってきたら、除外対象とする。 攻撃者の通信先が通信制限装置になるように設定しておく。 攻撃対象のスイッチも攻撃者のARP要求で更新されてしまうので、通信制限装置のARP要求で上書きしておく。（念の為何回も上書き）

ARPスプーフィング

攻撃対象に誤ったARP情報を記憶させ、誤動作を起こさせる攻撃方法。ARPには認証機能がないので無条件に信じ込んでしまいます。
対処法として、通信制限装置を設置する手段がある。
嘘を嘘で返すようなやり方。
ARP情報は上書きされるため、

DNSラウンドロビン

負荷分散のために使う。

DNSサーバ

コンテンツDNSサーバ　　ドメイン情報を持つDNSサーバ
キャッシュDNSサーバ　　応答用でキャッシュする機能がある。リフレクタ攻撃の対処として、これを無効にする手段がある。

フルリゾルバ　全てのドメインを解決する能力がある。コンテンツサーバーに聞く（ずるい）

外部DNSサーバーはコンテンツDNSサーバーの機能とフルリゾルバの機能をもつ。

フォワーダ

DNSサーバーの問い合わせ先。


再帰問い合わせ　１問１答式。
反復問い合わせ　わかるまで反復的に聞き回ること
フォワード　ただ転送するだけ。

DNSキャッシュポイズニング

DNSキャッシュポイズニングへの対処

大量に送られてきたデータの送信元ポート番号に矛盾があると不正なパケットとして判断する。 TTLを長くして、再起問い合わせの頻度を少なくする。

カミンスキー攻撃

ドメイン内に存在しないホスト名を攻撃対象のキャッシュDNSサーバーに送信して、問い合わせを強制させてキャッシュDNSを汚染する攻撃。 対策 １、オープンリゾルバをやめる（内部ドメインからの問い合わせに応答するようにする） ２、DNAキャッシュサーバーで問い合わせに使うポート番号をランダムにする。

FastFlux

フィッシングサイトや偽サイトをインターネットに長く留めさせるために使用する手法。
IPアドレスの有効期限を短く（3分くらい）して、追跡を難しくさせる。
→C&Cサーバーからの通信を拒否されないようにする。
C&Cサーバー　　　乗っ取ったサーバーの司令官（ルルーシュ）

digコマンド　DNSサーバーに問い合わせる。ドメインからIPアドレスを問い合わせたりする。

Domain Flux

IPアドレスをコロコロ変えるのも重要だが、ドメインも変えなきゃいけない。
毎日新しいドメインを作り、*(ワイルドカード)で名前解決する。

マルチホーム接続

回線の冗長化を実現すること。

コアルータとは

通信キャリアやISPネットワークの通信を中継するために利用され るルータ

何のルーティングプロトコルを使うか

WANにはOSPF,BGP
LANにはOSPF
BGPはパスベクトル型。「パス（ASパス）」を使ってルーティングを行う。（ASの情報をつかってルーティング）

チャネルポンディング

802.11nから使われるようになった技術。
隣接する複数のチャネルをおまとめて使用することができる。
ガードバンドを利用することができる。

フレームアグリゲーション

フレームをまとめることによって、ヘッダの数・回線使用時間を減らすことができる。

無線LANの通信

TRILL

ブロッキングポートがないスパニングツリーみたいなもの。

マーシャルシャーシ

複数台のスイッチを一つにまとめる技術。スタック接続。
ブロッキングポートが発生しない。

L2TP

データリンク層でトンネリングするためのプロトコル。

インターネットで使用する場合は、暗号化するために、IPsecを利用する必要がある。

サーバー証明書

サーバーからクライアントに送られる公開鍵に対する電子式の証明書。 認証局によって発行されているので、信頼できる。 サーバー証明書には、認証を受けた公開鍵が含まれていて、その信頼性を担保するために

IPフラグメント

IPパケットを中継する時、最大転送単位(MTU)したがって、MTUより大きいパケットは分割して、転送する。
通信効率が良くないので、発生させない方が良い。

パスMTU探索

通信経路上で一番小さいMTUを検索する。(IPフラグメントを発生させないように)

FWの切り替え

gARPを使用して、自動的に切り替える。

RSVP

特定の通信に対して、優先制御を行い、通信品質を確保するためのプロトコル

ディジタル署名

SSL/TLS通信を利用。 ・サーバ認証 ・クライアント認証(オプション) ・クライアント側からサーバ側への共有秘密鍵(暗号化鍵)の送付

電話線構成

作成者　mine koharu

---

---