기사 자격증(알기사, 네트워크 스캐닝)

네트워크 스캐닝

- 사이버 공격을 위한 정부 수집은 풋 프린팅, 스캐닝, 목록화 과정을 거친다.

- 풋 프린팅 : 공격자가 공격 전 다양한 정보 수집을 하는 단계, 사회공학 기법이 주로 사용

 

스캐닝

- 실제 공격 방법 결정 or 공격에 이용될 정보 얻기, 보안장비 사용현황, 우회가능 N/W 구조 시스템 플랫폼 형태 , OS 커널 버전 종류 제공서비스 등을 알 수 있다.

- 스캐닝은 방법에 따라 Sweep, Open-Scan, Stealth-Scan, Security-Scan으로 나눌 수 있음

 ※ 스캐닝의 종류

	Sweep	Open-Scan	Stealth-Scan	Security-Scan
종류	ㆍICMP Sweep ㆍTCP Sweep ㆍUDP Sweep	ㆍTCP Scan ㆍUDP Scan	ㆍFIN Scan ㆍNULL Scan ㆍXMAS SCAN ㆍACK SCAN ㆍFragment SCAN	ㆍOS/System ㆍN/W Device ㆍApplication

 

Sweep

- N/W에 속해 있는 System 유/무 판단, 타겟 기관의 IP주소 및 N/W 범위 파악

- 서버 / 클라이언트 구조

 

Open Scan

- System 자체 활성화 여부, 스캔하는 포트의 서비스 활성화 여부 확인

- TCP, UDP SCAN이 있다.

 

TCP Scan

- 종류에 따라 완전한 연결 시 TCP Full-Open, 완전한 연결 아니면 TCP Half-Open으로 나눌 수 있다.

 

Full-Open Scan

- SYN/ACK를 수신하면 ACK를 보내 연결을 완료함

- 만약 포트가 닫혀있다면 RST+ACK 패킷을 받음

- Full Open-Scan은 TCP이용해 신뢰성 있는 정보 습득은 가능하지만 속도가 느리고 로그가 남기 때문에 탐지가 가능하다.

 

Half-Open Scan

- 로그를 남기지 않아 로그로 인한 추적은 불가능

- 세션의 완전연결은 하지 않고 half-connection만으로 포트 활성화 여부 확인

- 포트가 닫혀있을 경우는 Full-Open Scan과 동일하지만 포트가 열려 있는 경우 ACK대신 RST를 전송

- 로그를 남기지 않지만 SYN 전송기록은 남아 스캐닝 공격 사실은 숨길 수 없음

 

UDP Scan

- 비연결 지향 전송 프로토콜로 송신자, 수신자 사이에 연결없이 데이터 송신

- ICMP Port Unreachable 에러 패킷 수신시 포트가 닫혀 있으며 아무 응답 없으면 포트가 열려있는 것으로 판단

- 라우터, 방화벽등에 의해 손실 가능성이 존재하므로 신뢰가 어렵다.

 

Stealth-Scan

- TCP 헤더를 조작해 특수 패킷을 만들어 전송 후 응답으로 포트 개방여부 확인

- 방법에 따라 Fin, Null, Xmas ACK 스캔 등으로 나눌 수 있음

 

FIN-Scan

- TCP 헤더 내 FIN 플래그 설정해 메시지 전송 후 포트가 열려 있으면 무응답, 포트가 닫혀있으면 RST 패킷 전송해 포트의 개방여부 확인

 

Null-Scan

- TCP 헤더의 Flag 설정을 하지 않고 메시지 전송

- 결과는 FIN-Scan과 동일

 

Xmas-Scan

- TCP 헤더 내 FIN, ACK, SYN, URG, RST 플래그를 모두 설정해 전송

- 결과는 FIN-Scan과 동일

 

TCP ACK-Scan

- 포트의 개방여부가 아닌 방화벽의 룰셋(필터링 정책)을 테스트 하기위한 스캔

- 확인하는 방화벽 룰셋

 1. 대상 방화벽이 Stateful 방화벽인지 확인

 2. 대상 포트가 방화벽에 의해 필터링 되고 있는지 여부

- ACK 플래그만 설정해서 전송

- 만약 필터링이 되면 응답이 없거나 ICMP 메시지를 수신, 필터링 되지 않으면 RST+ACK를 수신

 

Decoy Scan

- 다양한 IP로 스캐너 주소를 우조하여 관리자가 누가 스캔하는지 알아채기 어렵게 하는 방법

 

FTP 바운스 스캔

- 취약한 FTP 서버에서 POST 명령어 이용해 다른 시스템의 포트 활성화 여부 확인

- 현재는 시스템 보안 강화로 취약한 FTP서버가 거의 존재하지 않아 사용 X

 

NMAP

- 모든 운영체제에서 사용 가능

- 운영체제 종류, 사용서비스에 대한 정보, FTP 서버의 취약점 이용한 bounce 공격 수행 가능한 스캔 도구

- NMAP 사용의 예

 1. nmap -v 203.247.12.4 : 203.247.12.4 호스트의 정보를 자세하게(-v) 스캔

 2. nmap 203.120.12.0/24 : 네트워크 전체 스캔

 3. nmap 192.168.1.1-100 : 192.168.1.1 ~ 100까지 호스트 스캔

 4. nmap -p 1-30, 110, 520- 203.247.x.x : 203.247.x.x의 1 ~ 30, 110, 520번 이후(-) 포트 스캔

 5. nmap -T0 203.247.1.2 : 203.247.1.2 호스트를 아주 느리게 스캔(T0 = 아주 느리게, T5 = 아주 빠르게)

 

목록화

- 풋 프린팅, 스캐닝 작업을 통해 얻은 정보를 바탕으로 좀 더 실용적인 정보를 얻는 과정

- 수집한 정보를 바탕으로 실제 공격에 사용할 수 있도록 목록화 함

- 목록화는 공유 자원 목록화, 사용자 및 그룹 목록화, 응용프로그램 목록화로 구분

 

포트 스캔 공격에 대응책

- 포트 스캔만으로는 단순한 조사이기 때문에 포트스캔만으로는 실제 손해 발생하지는 않는다

- 하지만 포트 스캔으로 취약점 존재시 정보 유출가능성이 크므로 피해를 입을 가능성이 있다.

- 포트 스캔 대책

 1. 불필요한 패킷 차단하도록 방화벽 설정

 2. 사용하지 않는 포트는 열어놓지 않는다.

 3. 침입탐지시스템(IDS) 사용해 포트 스캔 탐지

 4. 시스템 로그 검사