Information Security - Network Scanning
네트워크 스캐닝 특정 호스트의 작동유무 및 서비스 확인 TCP의 Request-Response 활용 운영체제의 고유 특성을 사용하여 현재 운영중인 시스템의 정보를 비롯한 다양한 정보를 취득가능 해킹을 위한 초석 작업 과거에는 이런 프로토콜의 특성을 이해한 사람만이 활용 가능하였으나 자동화된 툴의 등장으로 누구나 쉽게 시도 가능 그러나 최근 침입탐지시스템의 발달로 무분별하게 스캐닝을 수행할 경우 IP 블록을 당할 수 있고 시스템에서 쉽게 필터링 될 수 있으니 주의 필요 악의적인 목적으로 사용 시 법적인 문제도 발생할 수 있으니 신중하게 사용할 필요성이 있음
Ping과 ICMP 스캔 ICMP 메시지의 경우 다음 네 가지를 사용하여 스캔 가능 Echo Request/Reply Timestamp Request/Reply Information Request/Reply ICMP Address Mask Request/Reply
Ping과 ICMP 스캔 보안상의 이유로 라우터나 방화벽에서 ICMP Echo Request 메시지를 차단한 경우 Timestamp Request – 상대방 호스트의 시간 정보 요청 Information Request – 부팅 시 시스템이 스스로 IP를 설정하도록 하는 패킷 ICMP Address Mask Request – 자신이 속한 네트워크의 서브넷 마스크 확인 OS Information Timestamp Address Mask Linux 2.2~2.6 X O FreeBSD Solaris HP-UX AIX v4 Windows 98 Windows NT sp4 Above Windows 2K x o
TCP 스캔 TCP Open 스캔 TCP-Half Open 스캔 TCP ACK 스캔 스텔스 스캔 스캔을 위한 특정 포트에 SYN 패킷을 전송 포트가 열린 경우 SYN+ACK 패킷을 수신하고 ACK를 송신 포트가 닫힌 경우 RST+ACK 패킷을 수신하고 종료 상대방 시스템에 로그가 남을 수 있음 TCP-Half Open 스캔 TCP Open 스캔과 같으나 SYN+ACK 패킷 수신 시 RST를 송신하여 세션을 맺지 않음 TCP ACK 스캔 특정 포트로 ACK 패킷을 전송 포트가 열린 경우 RST 패킷을 수신 포트가 닫힌 경우 RST/ACK 패킷을 수신 스텔스 스캔 TCP 헤더의 플래그를 조작하여 로그를 남기지 않는 기법 FIN/XMAS/NULL 스캔 포트가 열린 경우 응답이 없고 닫힌 경우 RST 패킷을 수신
방화벽 및 IDS 우회를 위한 스캐닝 최근 방화벽이나 IDS의 경우 다양한 스캐닝 패킷을 필터링 가능 SYN 패킷을 이용한 스캐닝의 경우 일반 데이터와 구분이 용이하지 않아 여전히 유효한 방법 (방화벽에 효과적) 그러나 최신 IDS 기술은 SYN 기반의 스캐닝이나 스텔스 스캐닝도 탐지 가능 IDS를 무력화 하기위한 시간차 스캔기법 아주 짧은 시간동안 많은 패킷을 보내어 IDS의 처리용량을 상회 긴시간에 걸쳐 스캐닝을 할 경우 패턴 정보인식이 불가능 하여 IDS 우회 가능
nmap 을 이용한 스캐닝 다양한 종류의 스캔 옵션을 지원하는 툴 GUI 기반의 윈도우용 프로그램 zenmap 설치 : http://nmap.org/dist/nmap-6.46-setup.exe GUI 기반의 윈도우용 프로그램 zenmap 간단한 조작으로 손쉽게 대상 스캔 가능 스캔 옵션 내용 -sT Connect()함수를 사용한 Open 스캔 -sS 세션을 성립시키지 않는 SYN 스캔 -sF FIN 패킷을 이용한 스캔 -sN NULL 패킷을 이용한 스캔 -sX XMAS 패킷을 이용한 스캔 -sP Ping를 이용한 호스트 활성화 확인 -sU UDP 포트 스캔 -sA ACK 패킷에 대한 TTL 값 분석 -sW ACK 패킷에 대한 윈도우 크기 분석
nmap 을 이용한 스캐닝 Target Profile Command 스캔을 할 대상 미리 지정된 스캔 옵션 타겟과 프로파일을 선택하면 자동완성 직접 커맨트 작성 가능