[네트워크보안개론] TCP와 UDP의 개요 및 스캔 종류

TCP와 UDP의 개요 및 스캔 종류

※ TCP와 UDP를 이용한 스캔은 시스템 자체의 활성화 여부가 아닌 포트 스캔 (Port Scan)을 한다.

● TCP Open 스캔

- TCP를 이용하는 가장 기본적인 스캔

- 쓰리웨이 핸드셰이킹 과정을 거침 (상대방 시스템에 로그가 남음)

- 포트가 닫힌 경우, 공격자가 SYN 패킷을 보내면 RST + ACK 패킷이 돌아오고, 공격자는 스톱

● 스텔스 스캔

- 세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템에 

  로그가 남지 않음

- 공격 대상을 속이고 자신의 위치를 숨기는 스캔 모두 통칭

- 대표적으로 TCP Half Open 스캔

- SYN 패킷을 보낸 후 SYN + ACK 패킷을 보내고 즉시 연결을 끊는 RST 패킷을 보냄 (TCP Open 스캔과 차이)

◎ FIN 스캔 : 포트가 열린 경우 응답이 없고, 닫힌 경우 RST 패킷이 돌아옴

◎ NULL 스캔 : 플래그(Flag) 값을 설정하지 않고 보낸 패킷

◎ XMAS 스캔 : ACK, FIN, RST, SYN, URG 플래그 모두를 설정하여 보낸 패킷

● ACK 패킷을 이용한 스캔 

- 모든 포트에 ACK 패킷을 보낸 후 이에 대한 RST 패킷을 받아 분석

- 포트가 열린 경우 TTL 값이 64이하인 RST 패킷, 윈도우가 0이 아닌 임의의 값을 가진 RST 패킷이 돌아옴

  (닫힌 경우에 TTL 값이 일정하게 큰 값이며, 윈도우 크기가 0인 RST 패킷)

● TCP 패킷을 이용한 스캔

- 모든 시스템에 동일하게 적용되지 않으며, 많이 알려져서 거의 적용되지 않음

- SYN 패킷을 이용한 스캔 방법은 세션을 성립하기 위한 정당한 패킷과 구별할 수 없기 때문에 아직도 유효하며 아주 효과적

● TCP 단편화 (Fragmentation)

- 크기가 20바이트인 TCP 헤더를 패킷 두 개로 나누어 보냄 (첫 번째 패킷 - 출발지와 도착지 IP 주소, 두번째 패킷 - 스캔하려는 포트 번호)

- 첫 번째 패킷은 TCP 포트에 대한 정보가 없어 방화벽을 통과하고, 두 번째 패킷은 출발지와 목적지 주소가   없어 방화벽을 지날 수 있음

● 시간차를 이용한 스캔

- 아주 짧은 시간 동안 많은 패킷을 보내는 방법 : 방화벽과 IDS(침입 탐지 시스템) 처리 용량의 한계를 넘기는 방법

- 아주 긴 시간 동안 패킷을 보내는 방법

● FTP 바운스 스캔

● UDP 스캔

- 포트가 닫힌 경우 공격 대상이 ICMP Unreachable 패킷을 보내지만, 열린 경우에는 보내지 않음

  (신뢰성이 떨어짐)