네트워크 기반 주요 위협(1)

네트워크 스캐닝

네트워크 스캐닝 : 네트워크를 통해 제공하고 있는 서비스, 포트, HOST 정보 등을 알아내는것을 의미

TCP 기반의 프로토콜 질의 응답 매커니즘

대표적인 스캔 프로그램으로는 nmap이 있음

목적

• 열려 있는 포트 확인
• 제공하는 서비스 확인
• 동작중인 Daemon의 버전
• 운영체제 종류 및 버전
• 취약점

=> Scanning시 사용 Protocals : ICMP(3계층), TCP(4계층), UDP(4계층)

 

필요한 3가지 주소

MAC

IP

PORT

 

네트워크 스캐닝 절차

활동  범위 결정 => 네트워크 목록 수집 => DNS 질의 => 네트워크 정찰

 

활동 범위 결정

a. 회사에 정보

- 위치, 네트워크 주소 등

b. 직원에 대한 정보

- 연락처, E-mail 등

c. 협력사에 관한 정보

- 업무 연계 정보 등

관련 : OSINT 등

 

네트워크 목록 수집

a. 서비스를 제공하는 네트워크 대역

- Web server

- DB server

b. 내부 네트워크 대역

- 내부에서 사용중인 IP대역

- 인트라넷 주소

관련 : nmap 등

 

DNS질의

a. DNS 쿼리를 통한 정보 수집

- 관리자 정보

- 레코드 업데이트 시기

b. DNS 역 질의

- 서버 리다이렉트 여부

관련 : nslookup, dig, whois, intodns.com, Maltego 등

 

네트워크 정찰

a. 경로 추적

- 보안장비 존재 여부

b. 도달 가능한 네트워크

 

관련 : Tracert(Windows), Traceroute(Unix, Linux), Visual Route 등

ICMP 프로토콜 사용함

 

네트워크 스캐닝 종류

Ping & ICMP 스캔

Ping은 네트워크와 시스템이 정상적으로 작동하는지 확인

Echo Request와 Echo Reply를 이용한 방법

ICMP를 사용

 

오픈 스캔(Open Scan)

TCP 3-way-handshake를 이용해 정상적인 연결을 바탕으로 Open된 포트 정보를 추출

TCP connect 스캔

Open된 포트의 경우 target 시스템에서 SYN/ACK 패킷이 응답

Close된 포트의 경우 target 시스템에서 RST/ACK 패킷이 응답

 

하프-오픈 스캔

TCP 3-way-handshake방식의 연결을 비정상적으로 종료 하는 방식

표적 시스템 로그 기록되는것은 피할 수 있지만 방화벽 IDS는 못피함

 

스텔스 스캔

세션을 완전히 성립하지 않고 공격대상 시스템의 포트 활성화 여부를 알아내는 스캔

시스템 세션 연결 관련된 로그가 남지 않음

ACK, NULL, X-MAS 스캔이 존재

 

UDP 스캔

대상 HOST에 UDP 패킷을 보냈을 때 닫힌포트는 ICMP_PORT_UNREACHABLE 응답

열린 포트는 아무 응답이 없음

 

Nmap 사용법

활성화 된 host 검색

nmap -sP 192.0.0.0/24