포트 스캔 분류

1. Sweep

시스템 활성화 여부를 판단한다. 포트에 무관하게 돌아가고 있는 서비스가 있는지 판단한다.

(1) ICMP Sweep : ping 응답이 있다 -> 살아있다.

(2) TCP Sweep : 응답이 있다 -> 살아 있다.

(3) UDP Sweep : ICMP Port Unreachable 받지 못했다 -> 살아있다.

2. Open 스캔

시스템의 특정 Port에 대한 오픈 여부를 판단한다.

(1) TCP Scan : RTS를 받은 경우 -> 서비스가 죽었다.

(2) TCP Half Open : SYN을 보낸 후 SYN/ACK이 온 경우 -> 살아있다.

(3) UDP Scan : ICMP Port Unreachable 받지 못했다 -> 살아있다.

3. Stealth 스캔

정상적인 연결을 시도 하는것이 아니라 TCP 헤더를 조작하여 보낸 후 그 응답을 분석한다. 정상적인 연결이 아니므로 로그에 남지 않는다. 위에서 설명한 TCP Half Open 또한 일종의 스텔스 스캔이다.

(1) FIN 스캔 : FIN플래그를 설정하여 보낸다.

(2) NULL 스캔 : 플래그 값 없이 보낸다.

(3) XMAS 스캔 : 모든 플래그를 동시에 설정해 보낸다,.

  (1,2,3) ---> 응답이 없으면 열려 있고, RST가 오면 닫혀 있다고 판단.

(4) TCP ACK 스캔

- 많은 포트에 동시에 ACK 패킷을 날린다.

- RST패킷과 TTL을 통해 포트 오픈 여부를 판단한다.

- TTL : 열려 있으면 64 이하, 닫혀 있으면 더 큰 값이 돌아온다.

- RST : 닫혀 있으면 윈도우 크기가 0으로 돌아온다.

--> TTL이 64이하이고 RST 윈도우 크기가 0이 아니면 열려 있다고 판단.

예제문제

정보보안기사 기출

33. 다음 중에서 포트 스캔 공격을 했을 때 포트가 열린 경우 돌아오는 응답이 다른 하나는?

① 스텔스(Stealth) 스캔

② NULL 스캔

③ TCP Open

④ UDP 스캔

정답확인 : http://q.fran.kr/문제/3062

풀이

NULL스캔은 Stealth스캔의 일종이다. 둘다 RST가 돌아오면 닫혀 있고, 아무 응답도 없으면 열려 있는 것으로 판단한다.

UDP스캔은 ICMP Unreachable이 돌아오면 닫혀 있고, 아무 응답도 없으면 열려 있는 것으로 판단한다.

즉 1,2,4 모두 열려 있을 땐 아무 응답이 없다. 반면 TCP오픈의 경우 3-way-handshaking을 이용한 것으로, 포트가 열려 있을 경우 SYN/ACK을 받게 된다.