Network 계열 공격 - Port Scanning 공격 기법

Port Scanning

---

01. TCP Connect Scan(Open)

TCP Connect Scan

• 3-Way-Handshaking을 이용하여 포트 확인,
• 포트 스캔 과정 중 세션 연결 수립
• 로그가 남으므로 스텔스 스캔이 아님
• 일반사용자 권한으로 스캔 가능
• Open: SYN+ACK, Close:RST+ACK
• nmap -sT -p 23 192.168.10.20

02. TCP SYN Scan(Half Open)

TCP SYN Scan

• SYN 패킷 전송 응답 정보로 포트 확인,
• 세션 연결이 되지 않는 스텔스 스캔 기법
• 스텔스 스캔 4가지 중에서 유일하게 응답 발생 (SYN+ACK)
• Open: SYN+ACK, Close:RST+ACK
• nmap -sS -p 23 192.168.10.20

03. FIN Scan

FIN Scan

• FIN 패킷 전송
• 로그가 남지 않는 스텔스 스캔 기법
• Open: 응답 X , Close: RST+ACK
• nmap -sF -p 23 192.168.10.20

04. X-MAS Scan

X-MAS Scan

• FIN, PSH, URG 패킷 전송
• 로그가 남지 않는 스텔스 스캔 기법
• Open: 응답 X , Close: RST+ACK
• nmap -sX -p 23 192.168.10.20

05. NULL Scan

NULL Scan

• NULL패킷 전송
• 로그가 남지 않는 스텔스 스캔 기법
• Open: 응답 X , Close: RST+ACK
• nmap -sN -p 23 192.168.10.20

06. UDP Scan

UDP Scan

• UDP패킷 전송
• 신뢰성 낮음
• Open: 응답 X, Close: ICMP Unreachable
• nmap -sU -p 23 192.168.10.20

07. ACK Scan

ACK Scan

• 포트 오픈 여부를 판단하는 것이 아닌 방화벽 룰셋을 스캔하는 목적
• 방화벽에 의해 차단 된 상태 : 응답이 없거나, ICMP Destination Unreachable 에러 메시지 응답 수신
• 방화벽에 의해 허용 된 상태 : 포트 오픈 여부와 무관하게 RST 응답 수신
• 이전 과정 없이 ACK만 오면 RST 응답으로 강제 종료하기 때문
• nmap -sA -p 23 192.168.10.20

08. Decoy Scan

• 공격자가 누군지 혼란을 주기위해 공격자 IP와 위조된 여러 Source IP를 섞어 스캔하는 방식
• 위조된 IP들로 스캔하는 것은 단순 혼란을 주기 위함으로 응답을 받지는 않음
• nmap -sS -p 23 192.168.10.20 -D RND
• Random IP들로 Decoy 스캔 시도

※ 포트 스캔 시 강제 종료 응답 패킷 유형
- RST 패킷으로 강제 종료 하는 경우 : 이전 패킷에 Ack.Number가 존재 할 경우
- RST+ACK 패킷으로 강제 종료하는 경우 : 이전 패킷에 Ack.Number가 없는 경우