포트 스캔을 스캔해 보았습니다.

개요



포트 스캔에 대해 조사하고 정리해 보았다.

포트 스캔이란?



네트워크에 연결된 포트 중 어느 것이 통신 가능하게되어 있는지를 찾는 것입니다.

포트란?



데이터가 네트워크에서 PC로 들어갈 때 문.
장비의 연결 포트.

포트는 0~65535번까지 존재한다.

웰노운 포트 번호



0~1023번을 웰노운 포트 번호라고 하며, IANA에 의해 관리되고 있다. 이미 나누어져 있다.

등록된 포트 번호



1024~49151번은 레지스터드 포트 번호라고 하며, 이것도 IANA로 관리되고 있다. IANA가 등록을 수락합니다.

기타 포트 번호



사용자가 자유롭게 사용할 수 있는 것은 49152~65535번

유명한 포트 번호



여기에 잘 정리하고 있다.
htp : // 에-를 rds. jp / p / r ぇ ㅇ lk의 w mpt rts. HTML

포트 스캔 유형



TCP 스캔(Vanilla Scan)



3웨이 핸드셰이크를 확립하여 포트의 상태를 확인한다.
연결이 설정되기 때문에 대상 서버의 로그에 기록됩니다.



SYN 스캔



연결을 설정하지 않고 포트의 작동 상태를 확인하는 방법.
스텔스 스캔, 하프 오픈 스캔이라고도 한다. 대상 호스트의 로그에는 기록되지 않습니다. 응답 결과가 SYN/ACK 일 때는 활성 상태이고 RST/ACK 일 때는 비활성 상태라고 판단한다.



FIN 스캔



FIN 패킷을 보내고 RST 패킷을 수신하면 활성, 아무것도 수신하지 않으면 비활성이라고 판단한다.

크리스마스 트리 스캔 (XMAS scan)



FIN, PSH, URG (긴급 확인) 플래그를 모두 ON으로 한 패킷을 송신하고, RST를 수신하면 비활성, 아무것도 수신하지 않으면 활성으로한다.

NULL 스캔



모든 플래그를 OFF로 한 패킷을 송신하고, RST 패킷을 수신하면 비활성, 아무것도 수신하지 않으면 활성으로 한다.

UDP 스캔



대상에 UDP 패킷을 전송하고, 응답이 없으면 활성, ICMP port unreachable을 수신하면 비활성으로 판단한다.



FTP Bounce Scann



FTP 서버를 중계하여 지정된 호스트에 어택이나 포트 스캔을 실시하는 방법. 현재 상황에서는 거의 이용 불가능.

실제로 해보자



MAC 네트워크 유틸리티로 포트 스캔



이번에는 nmap을 사용하지 않고 mac의 네트워크 유틸리티로 포트 스캔해 보겠습니다.
로컬 주소 127.0.0.1을 입력하고 scan을 누릅니다.



다음으로 LINE과 Skype를 열고 다시 포트 스캔해 본다.



10400포트가 열렸으므로, 터미널을 아는 기동해, lsof 커멘드로 조사해 본다.
% lsof -i:10400
COMMAND   PID   USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
LINE    19523 Tomoki   11u  IPv4 0xa2dbb30cec7973c1      0t0  TCP localhost:10400 (LISTEN)

10400포트를 LINE이 사용하고 있다는 것을 알 수 있다.
kill <PID>를 입력하면 대상 프로세스가 입력됩니다.
% kill 19523

LINE이 종료되었습니다.

포트 스캔 대책



예방, 예방


  • 불필요한 서비스를 중지하고 포트를 닫습니다.
  • OS, 어플리케이션을 최신화해, 패치를 적용한다.
  • 취약성 검사를 실시하여 보안 홀이 막혀 있는지 확인한다.
  • 방화벽 등으로 불필요한 포트에의 액세스를 차단한다.

  • 감지, 추적



    1포트마다 어느 정도의 시간을 비우고, 포트 번호를 랜덤하게 선택해 행해지면 검지는 매우 곤란.
  • 네트워크 모니터링 IDS, 호스트 모니터링 IDS, IPS 사용
  • 방화벽 로그에서 감지합니다.
  • 호스트 로그에서 감지.
  • 좋은 웹페이지 즐겨찾기