포트 스캐닝의 이해
페이지 정보
작성자 차동박 이름으로 검색 댓글 0건 조회 9,978회 작성일 05-09-12 22:35본문
Port scanning이란, Port scanner에 의한 목적지 시스템에 대하여 Listen 되어 있는 port(접속 가능한 port)를
찾기 위한 행위이다. 공격자들은 Target 시스템이 alive 되어 있는지 확인(주로 ping을 이용하며, 네트워크 단위에서는 ping
sweep을 한다) 하고, 열려진 port를 탐색한 후 취약점 scanner(Nessus, Internet Scanner 등)를 이용하여 취약점
분석을 한다. 그 후에 시스템의 취약점을 이용하여 공격을 하게된다.
Footprinting이 DNS정보나, Whois 정보와 같은 open된 정보를 수집하는 단계라고 한다면 port scanning은 시스템의
alive 체크 후 실질 적인 최초의 시스템 분석 시도라고 할 수 있다. 그렇기 때문에 관리자는 공격자로부터 port scanning 시도가
확인이 되면 다른 공격 시도가 없는지 모니터 해야한다.
그러나 Port scanning이 악의적인 목적으로만 사용되지는 않는다. 관리자 입장에서 유용하게 사용 할 수도 있는 것이 바로 port
scanning이다. 관리자가 시스템에 어떤 port가 열려 있는지 확인하여 사용하지 않는 불필요한 서비스를 중단 시킬 수 있으며, 운용중인
서비스에 접속이 되지 않을 경우 해당 port가 열려 있는지 닫혀 있는지 확인하는 용도로 사용 할 수 있다.
이번에는 port scanning에 대한 여러 기법에 대하여 설명을 하도록 하겠다. 많은 Port scanning기법들이 있지만 그 중에 많이
알려져 사용하는 기법들을 중심으로 설명하도록 한다. 가장 진보적인 scanner로 알려진 Nmap은 세가지 포트
상태(Open/Close/Filtered)를 알려 준다. Open이나 Close 상태는 이어지는 다음 설명을 통해 이해할 수 있다.
Filtered의 경우는 대상 포트에서 아무런 응답이 없을 경우 Filtered라고 Scan 결과에 표시된다.
Filtered의 경우 Firewall이나 Router/Switch와 같은 Network 장비의 Filtering에 의해서 표시 되기도 하며
대상 포트 자체의 Filtering에 의해서 표시 되기도 한다. Nmap의 경우 Filtered는 open 상태로 결정하고 있다.
1) TCP connect() scan
이 기법은 3Way hand-shaking을 이용한 scanning 이다. 완전한 TCP 연결을 하여 Port의 open/close 상태를
확인하기 때문에 시스템에서 쉽게 탐지가 될 수 있다.
2) TCP SYN scan
Half-open scan 또는 Stealth scan으로 불리기도 하며 완전한 TCP 연결을 맺지 않고, 대상 포트로 SYN 패킷을 전송하여
SYN/ACK을 받으면 open 상태, RST/ACK를 받으면 close 상태이다.
SYN scan은 half-open 연결을 통하여 포트의 open/close 상태를 확인하기 때문에 TCP connect() scan에 비하여
비밀스러운 연결로 시스템에 로그가 기록되지 않는다. TCP를 이용한 scanning 중 scan속도가 TCP connect() scan 보다
빠르기 때문에 가장 많이 사용하는 방법이다.
3) TCP FIN, Xmas Tree, NULL scan
이 세가지 scan기법은 Stealth scan이라고 불리기도 하며 UNIX 계열 시스템에 대해서만 사용 할 수 있다. 만약, TCP FIN,
Xmas Tree, NULL scan으로 scanning을 하여 결과가 없다면 해당 시스템은 Windows 계열의 시스템이라고 판단할 수 있다.
TCP FIN scan은 TCP flag의 FIN을 활성화 하여 대상 포트로 패킷을 전송하고, Xmas Tree scan은 TCP flag의
FIN, URG, PUSH을 활성화 하여 대상 포트로 패킷을 전송한다. NULL scan은 TCP flag를 모두 비활성화 하여 대상 포트로
패킷을 전송한다. 세 scan 모두 포트가 close 상태이면 RST 패킷을 되돌려 보낸다(RFC 793). Open 상태이면 패킷을 무시한다.
4) UDP scan
UDP scan은 UDP를 사용하는 열린 포트를 찾기 위한 scanning
댓글목록
등록된 댓글이 없습니다.