포트 스캔을 스캔해 보았습니다.
개요
포트 스캔에 대해 조사하고 정리해 보았다.
포트 스캔이란?
네트워크에 연결된 포트 중 어느 것이 통신 가능하게되어 있는지를 찾는 것입니다.
포트란?
데이터가 네트워크에서 PC로 들어갈 때 문.
장비의 연결 포트.
포트는 0~65535번까지 존재한다.
웰노운 포트 번호
0~1023번을 웰노운 포트 번호라고 하며, IANA에 의해 관리되고 있다. 이미 나누어져 있다.
등록된 포트 번호
1024~49151번은 레지스터드 포트 번호라고 하며, 이것도 IANA로 관리되고 있다. IANA가 등록을 수락합니다.
기타 포트 번호
사용자가 자유롭게 사용할 수 있는 것은 49152~65535번
유명한 포트 번호
여기에 잘 정리하고 있다.
htp : // 에-를 rds. jp / p / r ぇ ㅇ lk의 w mpt rts. HTML
포트 스캔 유형
TCP 스캔(Vanilla Scan)
3웨이 핸드셰이크를 확립하여 포트의 상태를 확인한다.
연결이 설정되기 때문에 대상 서버의 로그에 기록됩니다.
SYN 스캔
연결을 설정하지 않고 포트의 작동 상태를 확인하는 방법.
스텔스 스캔, 하프 오픈 스캔이라고도 한다. 대상 호스트의 로그에는 기록되지 않습니다. 응답 결과가 SYN/ACK 일 때는 활성 상태이고 RST/ACK 일 때는 비활성 상태라고 판단한다.
FIN 스캔
FIN 패킷을 보내고 RST 패킷을 수신하면 활성, 아무것도 수신하지 않으면 비활성이라고 판단한다.
크리스마스 트리 스캔 (XMAS scan)
FIN, PSH, URG (긴급 확인) 플래그를 모두 ON으로 한 패킷을 송신하고, RST를 수신하면 비활성, 아무것도 수신하지 않으면 활성으로한다.
NULL 스캔
모든 플래그를 OFF로 한 패킷을 송신하고, RST 패킷을 수신하면 비활성, 아무것도 수신하지 않으면 활성으로 한다.
UDP 스캔
대상에 UDP 패킷을 전송하고, 응답이 없으면 활성, ICMP port unreachable을 수신하면 비활성으로 판단한다.
FTP Bounce Scann
FTP 서버를 중계하여 지정된 호스트에 어택이나 포트 스캔을 실시하는 방법. 현재 상황에서는 거의 이용 불가능.
실제로 해보자
MAC 네트워크 유틸리티로 포트 스캔
이번에는 nmap을 사용하지 않고 mac의 네트워크 유틸리티로 포트 스캔해 보겠습니다.
로컬 주소 127.0.0.1을 입력하고 scan을 누릅니다.
다음으로 LINE과 Skype를 열고 다시 포트 스캔해 본다.
10400포트가 열렸으므로, 터미널을 아는 기동해, lsof
커멘드로 조사해 본다.
% lsof -i:10400
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
LINE 19523 Tomoki 11u IPv4 0xa2dbb30cec7973c1 0t0 TCP localhost:10400 (LISTEN)
10400포트를 LINE이 사용하고 있다는 것을 알 수 있다.
kill <PID>
를 입력하면 대상 프로세스가 입력됩니다.
% kill 19523
LINE이 종료되었습니다.
포트 스캔 대책
예방, 예방
네트워크에 연결된 포트 중 어느 것이 통신 가능하게되어 있는지를 찾는 것입니다.
포트란?
데이터가 네트워크에서 PC로 들어갈 때 문.
장비의 연결 포트.
포트는 0~65535번까지 존재한다.
웰노운 포트 번호
0~1023번을 웰노운 포트 번호라고 하며, IANA에 의해 관리되고 있다. 이미 나누어져 있다.
등록된 포트 번호
1024~49151번은 레지스터드 포트 번호라고 하며, 이것도 IANA로 관리되고 있다. IANA가 등록을 수락합니다.
기타 포트 번호
사용자가 자유롭게 사용할 수 있는 것은 49152~65535번
유명한 포트 번호
여기에 잘 정리하고 있다.
htp : // 에-를 rds. jp / p / r ぇ ㅇ lk의 w mpt rts. HTML
포트 스캔 유형
TCP 스캔(Vanilla Scan)
3웨이 핸드셰이크를 확립하여 포트의 상태를 확인한다.
연결이 설정되기 때문에 대상 서버의 로그에 기록됩니다.
SYN 스캔
연결을 설정하지 않고 포트의 작동 상태를 확인하는 방법.
스텔스 스캔, 하프 오픈 스캔이라고도 한다. 대상 호스트의 로그에는 기록되지 않습니다. 응답 결과가 SYN/ACK 일 때는 활성 상태이고 RST/ACK 일 때는 비활성 상태라고 판단한다.
FIN 스캔
FIN 패킷을 보내고 RST 패킷을 수신하면 활성, 아무것도 수신하지 않으면 비활성이라고 판단한다.
크리스마스 트리 스캔 (XMAS scan)
FIN, PSH, URG (긴급 확인) 플래그를 모두 ON으로 한 패킷을 송신하고, RST를 수신하면 비활성, 아무것도 수신하지 않으면 활성으로한다.
NULL 스캔
모든 플래그를 OFF로 한 패킷을 송신하고, RST 패킷을 수신하면 비활성, 아무것도 수신하지 않으면 활성으로 한다.
UDP 스캔
대상에 UDP 패킷을 전송하고, 응답이 없으면 활성, ICMP port unreachable을 수신하면 비활성으로 판단한다.
FTP Bounce Scann
FTP 서버를 중계하여 지정된 호스트에 어택이나 포트 스캔을 실시하는 방법. 현재 상황에서는 거의 이용 불가능.
실제로 해보자
MAC 네트워크 유틸리티로 포트 스캔
이번에는 nmap을 사용하지 않고 mac의 네트워크 유틸리티로 포트 스캔해 보겠습니다.
로컬 주소 127.0.0.1을 입력하고 scan을 누릅니다.
다음으로 LINE과 Skype를 열고 다시 포트 스캔해 본다.
10400포트가 열렸으므로, 터미널을 아는 기동해, lsof
커멘드로 조사해 본다.
% lsof -i:10400
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
LINE 19523 Tomoki 11u IPv4 0xa2dbb30cec7973c1 0t0 TCP localhost:10400 (LISTEN)
10400포트를 LINE이 사용하고 있다는 것을 알 수 있다.
kill <PID>
를 입력하면 대상 프로세스가 입력됩니다.
% kill 19523
LINE이 종료되었습니다.
포트 스캔 대책
예방, 예방
TCP 스캔(Vanilla Scan)
3웨이 핸드셰이크를 확립하여 포트의 상태를 확인한다.
연결이 설정되기 때문에 대상 서버의 로그에 기록됩니다.
SYN 스캔
연결을 설정하지 않고 포트의 작동 상태를 확인하는 방법.
스텔스 스캔, 하프 오픈 스캔이라고도 한다. 대상 호스트의 로그에는 기록되지 않습니다. 응답 결과가 SYN/ACK 일 때는 활성 상태이고 RST/ACK 일 때는 비활성 상태라고 판단한다.
FIN 스캔
FIN 패킷을 보내고 RST 패킷을 수신하면 활성, 아무것도 수신하지 않으면 비활성이라고 판단한다.
크리스마스 트리 스캔 (XMAS scan)
FIN, PSH, URG (긴급 확인) 플래그를 모두 ON으로 한 패킷을 송신하고, RST를 수신하면 비활성, 아무것도 수신하지 않으면 활성으로한다.
NULL 스캔
모든 플래그를 OFF로 한 패킷을 송신하고, RST 패킷을 수신하면 비활성, 아무것도 수신하지 않으면 활성으로 한다.
UDP 스캔
대상에 UDP 패킷을 전송하고, 응답이 없으면 활성, ICMP port unreachable을 수신하면 비활성으로 판단한다.
FTP Bounce Scann
FTP 서버를 중계하여 지정된 호스트에 어택이나 포트 스캔을 실시하는 방법. 현재 상황에서는 거의 이용 불가능.
실제로 해보자
MAC 네트워크 유틸리티로 포트 스캔
이번에는 nmap을 사용하지 않고 mac의 네트워크 유틸리티로 포트 스캔해 보겠습니다.
로컬 주소 127.0.0.1을 입력하고 scan을 누릅니다.
다음으로 LINE과 Skype를 열고 다시 포트 스캔해 본다.
10400포트가 열렸으므로, 터미널을 아는 기동해, lsof
커멘드로 조사해 본다.
% lsof -i:10400
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
LINE 19523 Tomoki 11u IPv4 0xa2dbb30cec7973c1 0t0 TCP localhost:10400 (LISTEN)
10400포트를 LINE이 사용하고 있다는 것을 알 수 있다.
kill <PID>
를 입력하면 대상 프로세스가 입력됩니다.
% kill 19523
LINE이 종료되었습니다.
포트 스캔 대책
예방, 예방
% lsof -i:10400
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
LINE 19523 Tomoki 11u IPv4 0xa2dbb30cec7973c1 0t0 TCP localhost:10400 (LISTEN)
% kill 19523
예방, 예방
감지, 추적
1포트마다 어느 정도의 시간을 비우고, 포트 번호를 랜덤하게 선택해 행해지면 검지는 매우 곤란.
Reference
이 문제에 관하여(포트 스캔을 스캔해 보았습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/twrcd1227/items/4da62d64faa1746493b3텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)