여러 유형의 TCP 스캔과 각기 다른 방법과 목적에 대해 알아보겠습니다.
Ⅰ. TCP Full Open 스캔 방식
포트 스캔 기법 중 하나로, 완전한 TCP 연결을 맺어 포트 상태를 확인하는 방법입니다. 이 스캔은 TCP 핸드셰이크의 모든 단계를 수행하여 포트가 열려 있는지, 닫혀 있는지 또는 필터링되었는지 확인합니다. 이 기법은 "Full Open"이라는 이름에서 알 수 있듯이, 핸드셰이크를 완료하여 전체 연결을 설정합니다.
Ⅱ. TCP Full Open Scan 작동 방식
ⅰ | SYN 패킷 전송 | 스캐너(공격자 또는 보안 분석 도구)가 대상 포트에 SYN 패킷을 보냅니다. |
ⅱ | SYN-ACK 패킷 수신 | 대상 포트가 열려 있으면, 대상 시스템은 SYN-ACK 패킷으로 응답합니다 |
ⅲ | ACK 패킷 전송 | 스캐너는 ACK 패킷을 보내 핸드셰이크를 완료하고, 이로써 TCP 연결이 설정됩니다. |
ⅳ | RST 패킷 전송 | 연결이 설정된 후, 스캐너는 즉시 RST(Reset) 패킷을 보내 연결을 종료합니다. |
ⅴ | 포트 상태 결정 | 포트가 닫혀 있으면, 대상 시스템은 SYN 패킷에 대해 RST 패킷으로 응답합니다. |
Ⅲ. TCP Full Open Scan 종류
Full Open Scan: 기본적으로 위에서 설명한 방식으로 작동하며, 전체 TCP 핸드셰이크를 수행합니다.
ⅰ. ACK Scan
ACK 패킷을 보내 방화벽 규칙을 탐지하는 방법입니다. ACK 패킷에 대한 응답을 통해 포트가 필터링되었는지 여부를 확인할 수 있습니다.
ⅱ. ACK Scan 작동 방식
1) 스캐너가 ACK 패킷을 보냅니다.
2) 포트가 필터링되지 않았으면 RST 패킷으로 응답합니다.
3) 필터링된 포트는 응답하지 않거나, 특정 오류 메시지를 보냅니다.
ⅲ. Window Scan
ACK 패킷을 사용하여 응답 패킷의 윈도우 크기를 분석하여 포트 상태를 확인하는 방법입니다.
ⅳ. Window Scan 작동 방식
1) 스캐너가 ACK 패킷을 보냅니다.
2) 응답 패킷의 윈도우 크기를 확인하여 포트가 열려 있는지 닫혀 있는지를 판단합니다.
3) 열린 포트는 0이 아닌 윈도우 크기를 보이고, 닫힌 포트는 0 윈도우 크기를 보일 수 있습니다.
ⅴ. Idle Scan
좀비 호스트를 이용하여 은밀하게 스캔을 수행하는 방법입니다.
ⅵ. Idle Scan 작동 방식
스캐너가 좀비 호스트의 IP ID 값을 확인합니다.
1) 좀비 호스트를 통해 대상 시스템에 SYN 패킷을 보냅니다.
2) 대상 시스템의 응답을 통해 좀비 호스트의 IP ID 값이 변경되는지 확인합니다.
Ⅳ. TCP Half-Open Scan 스캔 방식
가장 널리 알려진 Stealth Scan 기법 중 하나입니다. 이것은 TCP 핸드셰이크의 처음 두 단계만을 수행하는 방식으로, 연결을 완전히 맺지 않기 때문에 "Half-Open"이라는 이름이 붙여졌습니다.
* Stealth Scan : 보안 장치나 감시 시스템에 탐지되지 않도록 설계된 다양한 스캔 기법을 포함합니다. Stealth Scan의 목적은 포트 스캔이 감지되지 않거나, 감지되더라도 정상적인 트래픽으로 오인되도록 하는 것입니다.
Ⅴ. TCP Half-Open Scan 작동 방식
1. SYN Scan
SYN Scan은 TCP Half-Open 스캔이라고도 불립니다. 이 스캔은 TCP 핸드셰이크의 처음 두 단계를 이용하여 포트 상태를 확인합니다.
2. SYN Scan 작동 방식
1) 공격자가 대상 포트에 SYN 패킷을 보냅니다.
2) 대상 포트가 열려 있으면 SYN-ACK 패킷으로 응답합니다.
3) 공격자는 즉시 RST(Reset) 패킷을 보내 핸드셰이크를 완료하지 않고 연결을 닫습니다. 이렇게 하면 완전한 연결이 이루어지지 않으므로 로그에 남을 가능성이 줄어듭니다.
4) 대상 포트가 닫혀 있으면 RST 패킷으로 응답합니다.
3. SYN Scan 장점
1) 빠르고 효율적입니다.
2) 많은 시스템에서 로그에 남지 않거나 덜 남습니다.
4. FIN Scan
FIN Scan은 FIN 플래그를 설정한 TCP 패킷을 보내 대상 포트의 상태를 확인하는 기법입니다.
5. FIN Scan 작동 방식
1) 공격자가 대상 포트에 FIN 패킷을 보냅니다.
2) 대상 포트가 열려 있으면 응답하지 않습니다.
3) 대상 포트가 닫혀 있으면 RST 패킷으로 응답합니다.
6. FIN Scan 장점
1) 방화벽과 패킷 필터를 우회할 수 있습니다.
2) 대부분의 로그 시스템에서 탐지되지 않습니다.
7. XMAS Scan
XMAS Scan은 여러 TCP 플래그(FIN, URG, PUSH)를 설정한 패킷을 보내는 기법입니다. 이 스캔은 패킷이 크리스마스트리처럼 여러 플래그로 장식된 것처럼 보인다고 해서 이름이 붙여졌습니다.
8. XMAS Scan 작동 방식
1) 공격자가 대상 포트에 XMAS 패킷을 보냅니다.
2) 대상 포트가 열려 있으면 응답하지 않습니다.
3) 대상 포트가 닫혀 있으면 RST 패킷으로 응답합니다.
9. XMAS Scan 장점
1) FIN Scan과 마찬가지로 방화벽과 패킷 필터를 우회할 수 있습니다.
2) 대부분의 로그 시스템에서 탐지되지 않습니다.
10. NULL Scan
NULL Scan은 TCP 플래그를 전혀 설정하지 않은 패킷을 보내는 기법입니다.
11. NULL Scan 작동 방식
1) 공격자가 대상 포트에 플래그가 설정되지 않은 NULL 패킷을 보냅니다.
2) 대상 포트가 열려 있으면 응답하지 않습니다.
3) 대상 포트가 닫혀 있으면 RST 패킷으로 응답합니다.
12. NULL Scan 장점
1) 방화벽과 패킷 필터를 우회할 수 있습니다.
2) 대부분의 로그 시스템에서 탐지되지 않습니다