바쁜 건가 게으른 건가
11. 포트 스캔 기법
- 개요
- Nmap 포트 스캐너 사용법
- 출력 옵션 -o
- -oN <파일명> — 결과를 일반 파일 형식으로
- -oX <파일명> — 결과를 XML 파일 형식으로
- -oG <파일명> — 결과를 Grepable 파일 형식으로
- -oA <디렉터리명> — 모든 형식으로
- -O — 대상 호스트의 운영체제 정보 스캔
- -T — 스캔 속도 지정 T0~T5
- 출력 옵션 -o
- TCP Connect(Open) 스캔
- 개요
- connect 시스템 호출 이용
- 일반 사용자 권한
- 스캔 흔적 남음
- 스캔 방식
- Open/Closed 상태
- 열린 포트 — SYN + ACK, 연결 즉시 중단을 위해 RST + ACK 전송
- 닫힌 포트 — RST + ACK
- Filtered 상태
- DROP — 응답 없음
- REJECT — ICMP 오류 메시지
- Open/Closed 상태
- 개요
- TCP SYN(Half-Open) 스캔
- 개요
- 관리자 권한으로 TCP 패킷 자체를 직접 조작
- 스텔스 스캔
- 스캔 방식
- Open/Closed 상태
- Open — SYN + ACK 수신 후 RST 전송
- Closed — RST + ACK
- Filtered 상태 — TCP Connect와 동일
- Open/Closed 상태
- 개요
- TCP FIN, NULL, Xmas 스캔
- 개요
- 관리자 권한, 스텔스
- TCP FIN 스캔 — FIN 제어 플래그만 설정한 비정상 패킷으로 스캔
- TCP NULL 스캔 — 제어 플래그 미설정
- TCP Xmas 스캔 — URG, PSH, FIN 제어 플래그 설정
- Closed — RST + ACK
- Open — 응답 없음
- 개요
- TCP ACK 스캔
- 개요
- 필터링 정책 파악을 위함
- 지정한 포트로 ACK 제어 플래그 설정 패킷 전송
- Filtered — 응답이 없거나 ICMP 오류 메시지
- Unfiltered — 포트 오픈 여부와 무관하게 RST 응답 수신
- 개요
- UDP 스캔
- 개요
- UDP 오픈 여부를 판단하는 스캔
- 빈 패킷을 보내면 서버는 이를 무시하고 응답을 보내지 않는 경우가 대부분이며 일부 서비스는 단방향으로 응답 자체가 없음
- 서비스별 규격에 맞는 페이로드를 만들어 요청하고 응답을 확인해야 함
- 스캔 방식
- Open/Closed 상태
- Open — 응답 없음
- Closed — ICMP 오류 메시지
- Filtered 상태 — 응답이 없거나 ICMP 오류 메시지
- Open/Closed 상태
- 개요
- Decoy 스캔
- 개요
- 다양한 포트 스캔을 수행할 때 사용할 수 있는 옵션
- 실제 스캐너 주소 외에 여러 개의 가짜 IP 주소를 함께 사용하여 스캔
- 스캔 방식
- 개요
- 출력 옵션
12. 서비스 거부 공격
- 개요
- 정의
- 대표적인 유형
- 파괴 공격 — 디스크, 데이터 등 시스템 자원을 직접 손상하거나 비정상적인 동작을 유발하는 유형
- 시스템 자원 고갈 공격 — CPU, 메모리, 프로세스, 세션 테이블 등 내부 자원을 과도하게 점유하는 유형
- 네트워크 대역폭 소진 공격 — 대량의 트래픽을 전송하여 네트워크 대역폭을 소진시키는 유형
- DoS Vs DDoS
- Ping of death
- 개요 — ping 명령을 이용하여 매우 큰 ICMP Echo Request 패킷을 전송함으로써 대상 시스템에 과부하나 오류 유발
- 공격 원리 — IP 단편을 재조합하는 과정에서 과부하나 재조합 버퍼 오류에 의한 서비스 거부 발생
- 대응책
- 비정상적으로 큰 ICMP 패킷 탐지 및 차단
- 시스템 패치 적용
- 실습
- Land
- 개요
- 출발지 IP 주소를 목적지 IP 주소와 동일하게 위조한 패킷을 전송하여 무한 루프 상태 또는 과도한 자원 소모 유발
- IP 스푸핑 기법 사용. 단일 패킷만으로도 시스템 자원 소모 및 마비
- 대응책
- 출발지와 목적지 IP 주소와 동일한 패킷 탐지 및 차단
- 시스템 패치 적용
- 실습
- 개요
- Smurf
- 개요 — 출발지 IP 주소를 희생자 IP 주소로 위조한 후 증폭/반사 네트워크의 다이렉티드 브로드캐스트 주소로 ICMP Echo Request 패킷을 전송함으로써, 네트워크 대역폭 소진
- 주요 특징
- IP 스푸핑
- 다이렉티드 브로드캐스트 및 증폭/반사 네트워크 사용
- 대응책
- 다이렉티드 브로드캐스트 패킷 차단
- Cisco 라우터 설정 예시
- enable(en) — enable 모드로 전환
- configure terminal(conf t) — 글로벌 설정 모드로 전환
- interface FastEthernet0/0 — 특정 인터페이스 설정 모드로 전환
- no ip directed-broadcast — 해당 인터페이스로 유입되는 Directed Broadcast 패킷을 차단하는 설정
- Cisco 라우터 설정 예시
- 다이렉티드 브로드캐스트 ICMP 응답 비활성화
- 리눅스/유닉스(솔라리스) 커널 파라미터 설정 예서
- 리눅스 sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
- 유닉스/솔라리스 ndd -set /dev/ip ip_forward_directed_broadcasts 0
- 리눅스/유닉스(솔라리스) 커널 파라미터 설정 예서
- 비정상적으로 많은 ICMP Reply 패킷 탐지 및 차단
- 다이렉티드 브로드캐스트 패킷 차단
- 실습
- Teardrop
- 개요 — IP 단편의 오프셋 값을 비정상적으로 조작한 패킷 전송
- 대응책
- 비정상 IP 단편 탐지 및 차단
- 시스템 패치 적용
- IP 단편화 취약점을 이용한 우회 공격
- 개요
- Tiny fragment 공격, Fragment overlap 공격
- 패킷 필터링 장비의 검사 기능을 우회하여 원래 허용되지 않는 대상 시스템의 서비스에 접근하기 위한 공격
- Tiny fragment
- 개요 — TCP/UDP 헤더가 두 개의 IP 단편으로 나누어질 정도로 첫 번째 단편을 매우 작은 크기로 생성하여 패킷 필터링 장비 우회
- 공격 원리
- 첫 번째 단편에 목적지 포트 정보가 포함되지 않도록, 두 번째 단편에 목적지 포트 정보가 포함되도록
- 첫 번째는 검사할 정보가 없으므로 허용, 두 번째는 이미 첫 번째가 허용되었다는 이유로 허용
- 대상 시스템에서 재조합되어 연결 이루어짐
- Fragment overlap
- 개요 — 두 번째 단편이 첫 번째 단편의 일부를 덮어쓰도록 만들어 장비 우회
- 동작 원리
- 첫 번째 단편에 장비가 허용하는 포트 정보 포함
- 두 번째 단편에 차단 대상 포트 번호를 포함시키고, 이 단편이 첫 번째 단편의 목적지 포트 필드를 덮어쓰도록 오프셋 값 조작
- 대응책
- 패킷 필터링 장비가 IP 단편을 재조합하여 검사할 수 있도록 설정
- 비정상적으로 단편화된 패킷을 탐지 및 차단하 수 있는 패킷 필터링 장비 적용
- 개요
'정보보안기사' 카테고리의 다른 글
| [정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - DRDoS (0) | 2026.05.09 |
|---|---|
| [정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - DDoS (0) | 2026.05.08 |
| [정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - 스니핑 공격 (1) | 2026.04.20 |
| [정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - UDP, 네트워크 관련 기술, 네트워크 관리 명령어 (1) | 2026.04.19 |
| [정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - ICMP, TCP (1) | 2026.04.17 |