네트워크 스캔
스캔(Scan): 서버의 작동 여부와 서버가 제공하는 서비스 확인
다양한 유형의 스캐닝 존재
불법! → 공개되어있는 IP/도메인에 대해 스캐닝 절대 ㄴㄴ
ICMP 스캔
※ Ping 스캔
- Ping: ICMP 프로토콜을 이용해 공격 대상 시스템의 활성화 여부 확인
시스템 하나를 조사하기에 적절
일반적으로 Echo Request(Type 8)와 Echo Reply(Type 0) 이용
- 윈도우 실행 결과
① ICMP 패킷 길이: 32바이트
② 공격대상(192.168.0.1)에서 보내온
ICMP Echo Reply 패킷 크기
③ Echo Request 패킷을 보내고,
2ms 후에 Echo Reply를 받음
④ TTL은 64
⑤ Echo Request 패킷 개수 4
Echo Reply 패킷 개수 4
손실된 패킷 개수 0
- Echo Request 패킷이 막혔을 때
① Timestamp Request 패킷 이용
② Information Request 패킷 이용
③ ICMP Address Mask Request와 Reply 패킷 이용
TCP Open 스캔
- TCP를 이용한 가장 기본적인 스캔 방식
- 3-WAY Handshake로 TCP 연결(SYN/SYN+ACK/ACK)을 맺어서 포트 활성화 여부 판단
→ 결과가 신뢰성있지만, 속도가 느리고 로그가 남음
- SYN 패킷 수신 반응으로 결과 판단 → Open(SYN+ACK), Close(RST+ACK)
- Reverse Ident 스캔: 세션을 성립한 상태에서 원격지 서버에서 데몬을 실행하고 있는 프로세스의 소유권자 확인
113번 포트는 사용자 인증을 위해 사용되지만, 해당 서비스는 중지
TCP 스텔스(Stealth) 스캔
- 로그를 남기지 않고, 공격 대상을 속이고 자신의 위치를 숨기는 스캔 방법
- TCP Half Open 스캔, FIN/NULL/XMAS 스캔
- TCP 헤더를 조작한 TCP 패킷 송부: FIN/NULL/XMAS 스캔
※ TCP Half Open 스캔
- 로그를 남기지 않고, 공격 대상을 숨기기 위한 방법
- 공격자가 SYN 패킷을 보낸 후 SYN/ACK를 수신하면 RST로 즉시 연결 해제
※ FIN(finish) 스캔
- FIN 플래그와 목적지 포트를 설정한 TCP 패킷(비정상 피킷) 송신
- 목적지 포트가 열린 경우 응답이 없고(∵비정상 패킷), 닫힌 경우 RST 패킷이 수신됨
- ICMP 패킷(Type 3) 받으면 해당 포트는 필터링
※ NULL 스캔
- TCP 헤더 내 플래그 값을 설정하지 않고 TCP 패킷 송신
- 목적지 포트가 열린 경우 응답이 없고, 닫힌 경우 RST 패킷이 수신됨
- ICMP 패킷(Type 3) 받으면 해당 포트는 필터링
※ XMAS 스캔
- TCP 헤더 내 ACK, FIN, RST, SYN, URG 플래그 모두 설정한 TCP 패킷 송신
- 목적지 포트가 열린 경우 응답이 없고, 닫힌 경우 RST 패킷이 수신됨
- ICMP 패킷(Type 3) 받으면 해당 포트는 필터링
TCP 스캔
※ ACK 스캔
- Stateful(상태기반) 방화벽 존재 유무 확인
- ACK 플래그와 목적지 포트가 설정된 패킷을 서버 전송 (모든 포트 전송)
- 서버 포트가 열려있고, 중간에 방화벽이 없다면 RST 패킷(TTL 값, 윈도우 크기 기록)이 수신됨
- 해당 포트가 방화벽에 의해 필터링되고 있으면 응답이 없거나 ICMP Error 메시지가 수신됨
※ TCP 단편화(Fragmentation): 방화벽 탐지 우회
- 20바이트의 TCP 헤더를 패킷 두개로 나누어 보냄
- 첫번째 패킷은 출발지와 도착지 IP주소를 담고 있고, 포트에 대한 정보가 없으므로 방화벽 통과
- 두번째 패킷은 스캔하려는 포트 번호를 담고 있고, 출발지와 목적지 IP주소가 없으므로 방화벽 통과
※ 시간차에 의한 공격 구분
- 짧은시간 동안 많은 패킷을 보내서 방화벽과 IDS의 처리 용량 한계 초과로 탐지 우회
- 아주 긴 시간 동안 패킷을 보내서 탐지 우회
UDP 스캔
- 포트가 열린 경우 응답이 없고, 포트가 닫힌 경우 ICMP Unreachable 패킷이 수신됨
- TCP 스캔보다 신뢰성이 떨어짐(∵패킷이 유실될 때에도 응답이 없을 수 있음)
공부하면서 학습 목적으로 작성한 포스팅이므로 내용이 완전하지 않습니다ㅠ
계속해서 학습 후 지식이 좀 더 쌓이면 수시로 수정해나갈 예정입니다!
틀린 내용은 둥글게 댓글 달아주시면 빠른 확인 후 수정하겠습니다. :)
참고
* subscription.packtpub.com/book/networking_and_servers/9781784399771/6/ch06lvl1sec36/fin-scanning
* resources.infosecinstitute.com/topic/port-scanning-using-scapy/
* resources.infosecinstitute.com/topic/port-scanning-using-scapy/
* subscription.packtpub.com/book/networking_and_servers/9781784399771/6/ch06lvl1sec38/tcp-ack-scanning
'보안 > 네트워크 보안' 카테고리의 다른 글
| 스푸핑(Spoofing) (1) | 2020.12.14 |
|---|---|
| 스니핑(Sniffing) (0) | 2020.12.14 |
| 스캐닝 공격 분석(Nmap, 와이어샤크 이용) (0) | 2020.12.14 |
| 사이버공격 - 정보수집 (0) | 2020.12.13 |
| 네트워크 보안 기초 (0) | 2020.12.13 |
댓글