네트워크 보안 - 포트 스캔 공격

 

다음은 PORT 스캔 공격에 관한 설명이다. 설명 중 맞는 것을 모두 고른 것은? 4
[보기]
가. PORT 스캔은 공격대상 시스템의 포트가 열려있는지 확인하는 일종의 공격이다. 
나. Stealth 스캔의 대표적인 경우로 TCP Half-Open 스캔이 있다.
다. Null 스캔은 포트가 열려 있을 경우에는 응답이 없고, 닫혀있을 경우에만 RST/ACK 패킷이 되돌아 온다. 
라. UDP Open 스캔은 포트가 열려 있을 경우에는 아무런 응
답이 없고, 포트가 닫혀있을 경우에는 ICMP Unreachable 패킷을 받게 된다.

① 가, 나 
② 가, 나, 다.
③ 가, 나, 라
④ 가, 나, 다, 라

---

SCAN 이란 - 서비스를 제공하는 서버의 작동 여부와 제공하고 있는 서비스를 확인하는 작업

=> 네트워크는 기본적으로 질의(Reques)를 보내면 응답(Response)을 받는 구조로 되어 있다. 이 특성을 이용한 공격

 

▶ 상세 설명: https://yjshin.tistory.com/128?category=714971

[정보보안기사] 네트워크 보안 - 네트워크 기반 공격 이해

 

1. SCAN의 종류

   (1) ARP Scan - ARP 프로토콜을 이용해서 네트워크 대역의 정보를 확인

   (2) ICMP Scan - ICMP 프로토콜(대표 ping)을 이용한 스캔과, 희생자 서버의 작동여부 확인

   (3) TCP/UDP Scan - 3-way handshaking 방식을 이용한 공격

   (4) Stealth Scan - 공격 대상 시스템에 세션을 성립하지 않고 스캔하는 방식. 로그가 남지 않는 방식

   (5) FIN Scan - 포트가 열린 경우 응답이 없고, 닫힌 경우 RST 패킷이 돌아옴

   (6) NULL Scan - 플래그 값(SYN, RST, ACK, AN, PS URG) 을 설정하지 않고 보낸 패킷

   (7) XMAS Scan - ACK, FIN, RST, SYN, URG Flag 모두를 설정하여 보내는 패킷

 

   (1) ARP Scan

      ▶ 같은 네트워크 대역에서 ARP Request를 보내어 살아 있는 Host를 판별한다

      ▶ ARP프로토콜은 2계층 프로토콜이기 때문에 같은 네트워크의 정보만 알 수 있다.

 

   (2) ICMP Scan

      ▶ ping [대상ip] 명령어로 스캔이 가능하고 TTL 값을 알 수 있다. 이는 OS를 알 수 있다는 뜻이다.

      ▶ windows에서 tracert [대상ip] 명령어로 중간 경로 및 방화벽 등의 보안장비 탐지가 가능하다

      ▶ 리눅스 명령어는 traceroute [대상ip] 이다.

 

   (3) TCP/UDP Scan

      ▶ 포트가 열린 경우 공격자가 SYN 패킷을 보내면 SYN+ACK 패킷이 돌아오고 ACK를 다시 보낸다.

      ▶ 포트가 닫힌 경우 공격자가 SYN 패킷을 보내면 RST+ACK 패킷이 돌아온다 

   (4) Stealth Scan

      ▶ 세션을 완전히 성립하지 않고 포트 활성화 여부를 알아내는 방법, 세션을 성립하지 않기 때문에 로그남지 않는다

      ▶ 대표적인 예) TCP Half Open Scan

      ▶ SYN 패킷을 보낸 후 SYN+ACK 패킷을 보내고 즉시 연결을 끊는 RST 패킷을 보내는 방식