TCP와 UDP의 개요 및 스캔 종류
※ TCP와 UDP를 이용한 스캔은 시스템 자체의 활성화 여부가 아닌 포트 스캔 (Port Scan)을 한다.
● TCP Open 스캔
- TCP를 이용하는 가장 기본적인 스캔
- 쓰리웨이 핸드셰이킹 과정을 거침 (상대방 시스템에 로그가 남음)
- 포트가 닫힌 경우, 공격자가 SYN 패킷을 보내면 RST + ACK 패킷이 돌아오고, 공격자는 스톱
● 스텔스 스캔
- 세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템에
로그가 남지 않음
- 공격 대상을 속이고 자신의 위치를 숨기는 스캔 모두 통칭
- 대표적으로 TCP Half Open 스캔
- SYN 패킷을 보낸 후 SYN + ACK 패킷을 보내고 즉시 연결을 끊는 RST 패킷을 보냄 (TCP Open 스캔과 차이)
◎ FIN 스캔 : 포트가 열린 경우 응답이 없고, 닫힌 경우 RST 패킷이 돌아옴
◎ NULL 스캔 : 플래그(Flag) 값을 설정하지 않고 보낸 패킷
◎ XMAS 스캔 : ACK, FIN, RST, SYN, URG 플래그 모두를 설정하여 보낸 패킷
● ACK 패킷을 이용한 스캔
- 모든 포트에 ACK 패킷을 보낸 후 이에 대한 RST 패킷을 받아 분석
- 포트가 열린 경우 TTL 값이 64이하인 RST 패킷, 윈도우가 0이 아닌 임의의 값을 가진 RST 패킷이 돌아옴
(닫힌 경우에 TTL 값이 일정하게 큰 값이며, 윈도우 크기가 0인 RST 패킷)
● TCP 패킷을 이용한 스캔
- 모든 시스템에 동일하게 적용되지 않으며, 많이 알려져서 거의 적용되지 않음
- SYN 패킷을 이용한 스캔 방법은 세션을 성립하기 위한 정당한 패킷과 구별할 수 없기 때문에 아직도 유효하며 아주 효과적
● TCP 단편화 (Fragmentation)
- 크기가 20바이트인 TCP 헤더를 패킷 두 개로 나누어 보냄 (첫 번째 패킷 - 출발지와 도착지 IP 주소, 두번째 패킷 - 스캔하려는 포트 번호)
- 첫 번째 패킷은 TCP 포트에 대한 정보가 없어 방화벽을 통과하고, 두 번째 패킷은 출발지와 목적지 주소가 없어 방화벽을 지날 수 있음
● 시간차를 이용한 스캔
- 아주 짧은 시간 동안 많은 패킷을 보내는 방법 : 방화벽과 IDS(침입 탐지 시스템) 처리 용량의 한계를 넘기는 방법
- 아주 긴 시간 동안 패킷을 보내는 방법
● FTP 바운스 스캔
● UDP 스캔
- 포트가 닫힌 경우 공격 대상이 ICMP Unreachable 패킷을 보내지만, 열린 경우에는 보내지 않음
(신뢰성이 떨어짐)
'수업 > 네트워크보안개론' 카테고리의 다른 글
[네트워크보안개론] SNMP 개요 및 취약점 (0) | 2017.06.13 |
---|---|
[네트워크보안개론] 방화벽 탐지 기법 (0) | 2017.06.13 |
[네트워크보안개론] ICMP 개요 및 스캔 (0) | 2017.06.13 |
[네트워크보안개론] VPN (Virtual Private Network) (0) | 2017.06.13 |
[네트워크보안개론] 스푸핑 공격 및 방어방법 (0) | 2017.06.12 |
댓글