네트워크 보안 시작 정보 수집 (2) Nmap 및 Wireshark

오랜만입니다.
3학년의 구직은 상당히 바쁘다. 자기 전시, 자기 분석, 기업 관리...그리고 회사의 장기 인턴십도 해야 하기 때문에 QIITA에 기사를 쓰는 것을 잊어버렸다.
지난번에 OSINT를 소개하겠다고 했지만 저는 논술적인 글을 잘 못해서 (외국인이라 일본어에 어쩔 수 없는 상태로 웃는다) 오늘은 NMAP 복습을 위해 간단한 NMAP과 WIRESHARK 사용법을 소개해 드리려고 합니다.

Namp


WIKI, 영어 문헌 등 NMAP에 대한 소개를 많이 썼다.
NMAP의 역할은 크게 4가지입니다.
-Host dicovery
-Servic、Version detection
-Operating System detection
-Network traceroute
-Nmap Scripting Engine
침입의 흐름도 이런 느낌이다.
1、Host dicovery:
침입하기 전에 상대방의 서버 "UP"(살아있나요?)의 상태입니다.기본적으로'핑'이다.최근 몇 년간'피어웰'이 많이 발전한 것 같은데, 솔직히 현실에서는 핑을 여러 번 해도 답을 얻지 못하는 경우가 많다.여기에 사용된 매개 변수는 -sn입니다.
예:
여기, 192.168.135.130 스캔 시nmap -sn [192.168.135.130]를 입력합니다.

이런 결과가 나올 겁니다.간단한 PING이기 때문에 얻는 정보량은 당연히 적다.

2.Servic、Version detection
일단'핑'을 해보고 타겟 시스템이 살아있다는 것*(Host is up)을 확인했다.하지만 입수한 정보량이 부족하기 때문에 더 발굴해야 한다.
TCP SYN 검색을 수행합니다.
  nmap -sS 192.168.135.130
지난번보다 정보량이 늘었죠.
그럼, 이 지령은 왜 SYN 스캐닝이라고 합니까?WIRESHARK의 상태를 확인하세요.

WIRESHARK


WIRESHARK의 소개도 많기 때문에 여기서 사랑을 끊는다.
WIRESHARK의 시작도 매우 간단해서 터미널에서wireshark를 입력하면 된다.

다음 그림은 WIRESHARK의 동작 화면입니다. "eth0"을 두 번 클릭하세요!
eth는 이더리움 카드를 뜻하고 0은 0번 이더리움 카드를 뜻한다.이더리움 카드를 감시하면 자신의 컴퓨터 프로그램이 어느 IP와 통신하고 있는지 바로 알 수 있다.

클릭 2회: 이런 느낌이에요.

다시 한 번 입력하겠습니다nmap -sS 192.168.135.130.그래서:

Sourece의 192.168.135.141은 SYN 패킷의 발송측입니다.
Destination(IP 주소: 192.168.135.130)은 SYN 그룹을 수락하는 쪽입니다.
그림의 NO7호(빨간색 상자)에서 SOURCE 측은 잠시 Destination 측에 SYN 그룹을 보냅니다.그러자 데스티네이션 측이 답장 속도가 느리다고 판단한 SOURCE 측은 이어 다른 SYN 그룹(8번)을 보냈다.NO7의 답장은 아직 받지 못했지만 SOURCE는 9, 10, 11번 SYN팀을 계속 보낼 예정이다.
그리고Destination측은 마침내 NO7호의 데이터 패키지를 받았고, 이어서 8,9,10호의 데이터 패키지를 받았다!그러나 NO7이 먼저 왔기 때문에 바로 Source 측에 NO7호에 답장을 보냅니다.그 답장은 [NO12]입니다.그림에 빨간색 사각형을 그렸다.
8번 손님의 답장은 14:

'info'의 정보를 보면 NO7의 발송측(source 192.168.135.141)은 SYN 그룹만 발송했고, 이에 NO12호 Destination은 [RST, ACK]에 답장을 보냈다.NMAP이라는 -SS 매개 변수는 syn 그룹을 보내는 것일 뿐, 대상 시스템이 RST나 SYN+ACK에 회신하면 NMAP는 이 시스템이'살아있다'고 판단한다.
그러면 NO7 "info"를 다시 한 번 주목해 주십시오: (필터: tcp.port 사용)
56282>1720 [syn]..........
SOURCE 측의 56282 포트에서 Destination의 1720 포트로 SYN 그룹을 보내는 것입니다.상대방의 1720 포트에서 실행되는 서비스를 검사합니다.

그러나 Detination 측은 1720개 포트에서 아무것도 실행하지 않았습니다.

그러자 데스티네이션 측은 "RST, ACK"(죄송하지만 1720은 아무것도 아닙니다. 이번 악수회 RESET(RST))에 답장했습니다.
위의 그림에서 볼 때 512개의 포트가 exec 서비스를 실행하고 있는 것 같습니다.WIRESHARK를 다시 한 번 보면:

이번 서비스는 512에서 실행되기 때문에 TCP를 세 번 악수하는 일반적인 SYN+ACK에 답장을 보냈다.그러나 통신이 꺼려지자 SOURCE 측은 그 이후 아무런 답장이 없었고, 데스티네이션 측은 리셋을 보낼 방법이 없었다.
다음에는 FIN 스캐너, TCP-CONNCT 스캐너 등을 소개하고 싶다.잘 부탁드립니다.
 

좋은 웹페이지 즐겨찾기