Port 스캔

port (포트)

: 프로그램이 네트워크 통신을 위하여 소켓에 부여한 번호

-포트를 열어놓으면 언제든 통신이 가능하지만, 공격자에게 취약점을 노출시킬 수 있다.

포트 스캔

: 정보 수집의 단계로 공격 대상이 어떤 취약점을 가지고 있는지 파악하는 작업을 한다.

-실무에서는 공격자들로부터 취약점 노출을 최소화하기 위해 포트 스캔을 정기적으로 사용한다.

-사용하지 않는 포트들을 관리하여 불필요한 외부 접촉을 줄일 수 있다.

-포트를 스캔한다는 의미는 컴퓨터 내부로 들어갈 수 있는 길을 찾는 것

포트 번호

: 컴퓨터 내에서 프로그램이 소켓을 요청할 때 부여하는 번호

-수많은 소켓들을 관리하기 위해 사용한다.

 

스캔의 종류

ARP 스캔

• ARP 프로토콜을 이용해서 네트워크 대역의 정보를 확인함
• 같은 네트워크 대역에서 ARP Request 를 보내고 , 살아있는 호스트는 ARP Reply 로 응답하여 공격자가 상대방의 존재 유무를 알 수 있게 함
• 하지만 , 해당 프로토콜이 2 계층 프로토콜이기 때문에 라우터를 넘지 않아 같은 네트워크의 정보만 알 수 있음

ICMP 스캔

• ICMP 프로토콜을 이용한 스캔과 희생자 서버의 작동 여부를 알 수 있음
• ping [대상 ip]의 형태로 스캔이 가능해 TTL 값을 알 수 있음 -> 대상의 OS 를 확인 가능함
• BUT, 현재는 보안 장비가 ping 을 막음

스텔스 스캔

• 로그를 남기지 않으며 , 공격 대상을 속이고 자신의 위치를 숨기는 스캔
• 세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알기 때문에 로그가 남지 않음
• FIN, NULL, XMAS 스캔이 있으며 , 패킷을 보내서 열린 경우 응답이 없고 , 닫힌 경우에는 RST 패킷이 돌아옴
• 그러나 현재의 보안 기술로는 이를 감지할 수 있기 때문에 큰 필요성이 있는 방식은 아님

TCP Open 스캔

• 열린 포트에 대해 완전한 세션을 연결하여 활성화 상태 파악
• Open 이 예상되는 포트에 SYN 패킷을 보내면 포트가 열린 경우, 서버에서 SYN+ACK 패킷이 돌아오고 공격자는 ACK 패킷을 보냄
• 포트가 닫힌 경오 , RST+ACK 패킷이 돌아오고 공격자는 아무 패킷도 보내지 않음
• 3way handshaking 의 정상 포트스캔 과정으로 ACK를 받는 경우 로그 기록이 남음

TCP Half Open 스캔

• SYN 패킷을 보내면 포트가 열린 경우 , 서버는 SYN+ACK 패킷을 보내고 , 공격자는 즉시 연결을 끊는 RST 패킷을 보내어 로그 기록을 남기지 않음
• 포트가 닫힌 경우 , RST+ACK 패킷이 돌아오고 , 공격자는 아무 패킷도 보내지 않음

TCP의 3way handshaking

• TCP/IP 프로토콜을 이용해서 통신을 하는 응용프로그램이 데이터를 전송하기 전에 먼저 정확한 전송을 보장하기 위해 상대방 컴퓨터와 사전에 세션을 수립하는 과정

• 양쪽 모두 데이터를 전송할 준비가 되었음을 보장하고 , 실제로 데이터의 전달이 시작하기 전에 한 쪽에서 상대방이 준비가 되었다는 것을 알 수 있도록 해준다

 

1. 클라이언트가 서버에 접속을 요청하는 SYN 패킷을 보냄

2. 서버는 SYN 요청을 받고 클라이언트에게 요청을 수락한다는 ACK 과 SYN flag 가 설정된 패킷을 발송하고 클라이언트가 다시 응답하기를 기다림

3. 클라이언트는 서버에게 ACK 을 보내고 그 이후로 연결이 이루어지고 , 데이터가 오가게 됨