SCAN(스캔)
스캔은 서비스를 제공하는 서버의 작동 여부와 제공하고 있는 서비스를 확인하는 것을 말한다.
질의(Request)를 보내면 응답(Response)을 받는 구조인 네트워크의 특성을 이용한다.
이 과정에서 네트워크 상 다른 단말기의 정보를 얻어온다.
포트 스캔(Port Scan) 공격
포트가 열려있는지 닫혀있는지 확인한 후 해당 포트의 취약점을 이용해 공격한다.
Sweep
특정 네트워크에 대하여 해당 네트워크에 속해있는 시스템의 작동유무를 판단할 수 있는 기법
목표 대상 기관에서 사용하거나 소유하고 있는 IP 주소와 네트워크 범위를 알아낼 수 있다.
요청에 대한 응답을 수행하는 클라이언트/서버 구조를 기반으로 한다.
Open
시스템 자체의 활성화 여부 뿐만 아니라, 스캔하는 포트에 해당하는 서비스의 활성화 여부를 조사할 수 있는 방법
전송 프로토콜에 따라 TCP와 UDP로 나뉘고, 둘 다 스캔하려고 하는 목적 포트로 연결을 시도한 후 그 응답 형태를 보고 포트의 활성화 여부를 판단
TCP Full Open Scan(TCP Connect 스캔)
- 포트가 열려 있는 경우 대상 시스템으로부터 SYN/ACK 패킷을 수신하면 그에 대한 ACK 패킷을 전송함으로써 연결을 완료하는 방식
- 포트가 닫혀 있을 경우 대상 시스템이 연결 요청을 받아들이지 못하므로 RST/ACK 패킷을 전송
- 신뢰성 있는 결과를 얻을 수 있지만, 속도가 느리고 로그를 남기므로 탐지가 가능하다.
TCP Half Scan(TCP SYN 스캔)
- 로그가 남지 않아 추적이 불가능하다
- 세션을 완전히 연결하지 않고, TCP Half Connection만으로 포트의 활성화 여부를 판단
- 공격자의 SYN 세그먼트 전송기록은 남게 되므로 스캐닝 공격 사실을 완전히 숨길 수는 없다
UDP Scan
- ICMP Port Unreachable 에러 메시지가 수신되면 해당 포트를 비활성화를 의미하며, 아무런 응답이 없다면 해당 포트의 활성화를 의미
- 신뢰하기 어렵다 - 라우터나 방화벽에 의해 손실될 수 있기 때문
Stealth
TCP 헤더를 조작하여 특수한 패킷을 만든 후 스캔 대상 시스템에 보내 그 응답으로 포트 활성화 여부를 알아내는 기법
FIN, NULL, XMAS 스캔
- FIN 스캔은 TCP 헤더 내에 FIN 플래그를 설정하여 공격대상 시스템으로 메시지를 전송한다.
- NULL 패킷은 TCP 헤더 내에 플래그 값을 설정하지 않고, 전송하는 패킷
- XMAS 패킷은 TCP 헤더 내에 ACK, FIN, RST, SYN, URG 플래그를 모두 설정하여 전송하는 패킷
- 세가지 모두 포트가 열려 있을 때는 응답이 없고, 포트가 닫혀 있을 경우에만 RST 패킷이 돌아온다.
FIN 스캔
NULL 스캔
XMAS 스캔
TCP ACK 스캔
- 포트의 오픈 여부를 판단하는 것이 아니라 방화벽의 룰셋을 테스트하기 위한 스캔
- ACK 플래그만 설정해서 전송
- 방화벽에서 필터링 된다면 응답이 없거나 ICMP 메시지를 받는다. 필터링 되지 않으면 RST+ACK를 받는다.
- 방화벽이 stateful한 필터인지 아니면 단순히 들어오는 syn 패킷을 차단하는 필터링인지를 점검하는 목적
Decoy 스캔
- 스캔을 당하는 대상 호스트에서 스캐너 주소를 식별하기 어렵도록 실제 스캐너 주소 외에 다양한 위조된 주소로 스캔하는 방식
- 다양한 IP로 스캐너 주소를 위조하여 관리자가 스캔을 누가 하는지 알아채기 어렵도록 한다.
참고
https://m.blog.naver.com/dsz08082/221466143946
'Study > Network' 카테고리의 다른 글
| [Network]Nginx Proxy Manager 설치 및 설정 (0) | 2024.08.01 |
|---|---|
| [Network]HAProxy 설치 및 설정 (0) | 2024.07.30 |
| [Network]DNS(Domain name System) (0) | 2023.06.14 |
| [Network]HAProxy (0) | 2023.06.11 |
| [Network]Load Balancing(로드밸런싱) (0) | 2023.06.10 |