포트 스캔 (TCP / TCP half - open/ TCP ACK scan / 스텔스(Stealth scan) / UDP scan) 공부

#1 TCP 스캔

- 스캔 시 공격자와 피해자가 3 way-handshaking 과정을 통하며 열린 포트를 확인하는 스캔이다.

- 로그가 남는다!

TCP Scan (open)

SYN ->

SYN, ACK <-

ACK ->

RST ->

(그림이 날라갔다.)

 

TCP Scan (close)

#2 Half - open Scan

- Half-open scan 또는 SYN 스캔이라고 부르고 SYN 패킷 만을 이용해 열린 포트를 확인하는 스캔 방식이다.

Half - open Scan (open)

Half - open Scan (close)

 

#3 TCP ACK Scan ( 14회 기출문제 )

- 포트의 오픈 여부를 판단하는 것이 아닌, 방화벽 정책을 테스트하기 위한 스텔스 스캔 기법 ! (ACK 플래그만 보냄)

- 방화벽에서 필터링 되고 있으면 응답이 없거나 ICMP 메시지를 받고, 필터링 되고 있지 않다면 RST 응답을 받음.

 

1. 이 스캐닝의 종류는 무엇인가 ?

- TCP ACK 스캔

2. 이 스캐닝의 목적은 무엇인가 ?

- 포트의 오픈 여부가 아닌 방화벽 필터링 정책을 판별

3. 이 그림에서 파악 가능한 스캔 결과는 ?

- 2017 포트는 방화벽에서 필터링을 하지 않고 있음을 알 수 있음. (다른 포트들은 무응답)

 

#4 Stealth Scan

- 세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내기 위한 스캔, 로그가 남지 않는다!

• TCP FIN 스캔 - FIN 플래그를 설정하여 보낸다. 응답이 없으면 열림, RST 패킷이 오면 닫힘.
• NULL 스캔 - NULL 플래그를 설정하여 보낸다. 응답이 없으면 열림, RST 패킷이 오면 닫힘.
• Xmas 스캔 - 여러 플래그를 설정하여 보낸다. 응답이 없으면 열림, RST 패킷이 오면 닫힘.

 

#5 UDP Scan

- UDP 패킷을 전송해 포트의 열림을 확인한다.

UDP Scan (open)

 

UDP Scan (close)