네트워크 스캐닝

1. 스캐닝

 (1) 공격자는 타겟이 정해지면 스캐닝을 통하여 타겟의 네트워크나 시스템의 자세한 정보를 수집한다. 스캐닝 단계에서 얻을 수 있는 정보는 다음과 같다.

 * 각 시스템에서 실행되고 있는 TCP/UDP 서비스들

 * 시스템에 대한 기종

 * 운영체제 종류

 * IP 정보 및 기타 사항

 (2) 하지만 이러한 스캐닝은 시스템이나 네트워크에서 보안 강화를 위해 열려있거나 닫힌 포트를 필터링하여 제어하기 때문에 그 환경에 따라 제한적이 될 수 있다. 공격자는 이러한 노력을 통하여 시스템의 최대한 많은 정보를 수집하게 되고 반대로 관리자는 여러 로그분석 등 다양한 분석을 통하여 시스템을 방어하게 되는 것이다.

2. Host Discovery

 (1) 실제로 시스템이 동작하고 운영되고 있는 시스템을 찾아내는 기술을 말한다. 여러 가지 기술이 있지만 가장 많은 방법은 ICMP ping, TCP ping 등이 있다. ICMP ping은 가장 쉬운 방법이긴 하지만 정확도가 떨어지고 불가능한 경우도 많다. ICMP echo request/reply를 이용한다. 최근에는 윈도우 2008 서버의 경우 기본적인 icmp ping이 오픈되고 있지 않아 사실상 시스템의 운영 여부를 찾기는 쉽지 않다.

 (2) TCP ping은 운영되고 있는 시스템의 경우 ACK 또는 SYN/ACK를 받으면 목적지 포트에 관계없이 RST로 응답하는 기술을 말한다.

3. 포트 스캐닝

 포트 스캐닝은 원격지 시스템의 IP주소를 알고 있다면 그 타겟시스템의 서비스 포트가 어떤 것이 열려 있는지를 확인하는 기술이다. 만약 오픈된 포트가 잘 알려진 포트라면 어떠한 서비스를 하고 있는지 알 수 있기 때문에 시스템 정보 수집이 목적이다. 예를 들어 80포트가 열려 있다면 시스템은 웹서비스를 하고 있을 것이고, 그러면 우선 웹 취약점을 찾을 수 있게 되는 것이다. 역설적으로 말하면 웹서비스를 하고 있다면 방어자 입장인 관리자는 웹 취약점을 제거해야하는 것이다. 포트 스캐닝은 크게 TCP포트 스캐닝과 UDP 포트 스캐닝으로 구분된다.

 (1) TCP 포트 스캐닝 : 특정 TCP 플래그를 설정한 뒤에 패킷을 보내어 돌아오는 반응을 체크하는 기술이다. Connect() scanning, SYN/FIN/NULL, XMAS 스캐닝 등의 종류가 있다.

 (2) UDP 포트 스캐닝 : 타겟 시스템의 포트를 목적지 포트로 설정하여 UDP 패킷을 보내는 것이다. 포트가 열려 있으면 아무런 응답이 없고, 포트가 닫혀 있다면 UDP port unreachable message return 되어 온다.

 (3) 포트스캐닝 기법과 기술

 Open scanning : TCP connect() scanning

  Half-open scanning : SYN scanning

  Stealth scanning : FIN scanning, X-MAS scanning, NULL scanning

  More advanced scanning : Spoofed scanning