네트워크 보안 - 스텔스 스캔

---

네트워크 보안 - 스텔스 스캔

---

스텔스 스캔의 종류에 해당되지 않은 것은?  1

① UDP 스캔
② XMAS 스캔
③ TCP Fragmentation 스캔
④ ACK 스캔

---

Stealth 스캔?

세션을 완전히 성립하지 않고, 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템에 로그가 남지 않습니다. 따라서 공격 대상의 시스템 관리자는 어떤 IP를 가진 공격자가 자신의 시스템을 스캔 했는지 확인 할 수 없습니다.

 

1. TCP Half Open 스캔

스캔의 시작은 일반 OPEN스캔과 같으나 마지막에 RST 패킷을 보내 서버의 활성화 여부만 알고 즉시, 세션을 끊습니다. 포트가 닫힌 경우는 OPEN과 같습니다.

 

 

2. FIN 패킷을 이용한 스캔

포트가 열린경우 응답이 없고, 닫힌 경우에만 RST패킷이 돌아옵니다

이 FIN패킷과 같은 성질을 가진것이 NULL과 XMAS패킷입니다

NULL은 플래그값을 설정하지않은 패킷이고

XMAS는 ACK,FIN,RST,SYN,URG 플래그 모두 설정하여 보낸 패킷을 일컫습니다.

 

 

3. ACK 패킷을 이용한 스캔

ACK 패킷을 포트 하나가 아니라 모든 포트에 보냅니다.

이 패킷을 받은 시스템은 RST패킷을 보내고 이 RST패킷의 TTL값과 윈도우의 크기를 분석합니다.

포트가 열린경우 TTL 값이 64이하인 RST패킷이 돌아오고, 윈도우가 0이 아닌 값을 가진 RST패킷이 돌아옵니다.

포트가 닫힌경우 TTL 값이 운영체제에 따라 일정하게 큰 값이며, 윈도우의 크기가 0인 RST 패킷이 돌아옵니다.

 

 

4. TCP 단편화(fragmentation)를 이용한 스캔

이 방법은 크기가 20바이트인 TCP 헤더를 패킷 두개로 나누어 보내는 것입니다.

처음 패킷에는 출발지 IP주소와 도착지 IP 주소를, 두번째 패킷에는 스캔하고자 하는 포트 번호가 있는 부분을 보냅니다.

처음 패킷은 TCP 포트에 대한 정보가 없어 방화벽을 통과, 두번째 패킷은 출발지 주소와 목적지 주소가 없어 방화벽을 통과 할 수 있습니다.

 

 

5. 시간차 이용 스캔

아주 짧은 시간 동안 많은 패킷을 보내는방법과, 아주 긴시간동안 패킷을 보내는 방법입니다.

아주 짧은 시간 동안 많은 패킷을 보내는 방법은 방화벽과 IDS의 처리 용량의 한계를 넘기고,

아주 긴 시간 동안 걸쳐서 패킷을 보내는 방법은 방화벽과 IDS가 패킷 패턴에 대한 정보를 얻기 힘들게 만듭니다.

 

종류

가. Paranoid : 5분이나 10분 마다 패킷을 하나씩 보냅니다.

나. Sneaky : WAN에서는 15분 단위, LAN에서는 5초 단위로 패킷을 보냅니다.

다. Polite : 패킷을 0.4초 단위로 보냅니다.

라. Normal : 정상경우

마. Aggressive : 호스트에 대한 최대 타임아웃은 5분이며, 패킷당 1.25초 까지 응답을 기다립니다.

바. Insane : 호스트에 대한 최대 타임아웃은 75초이며, 패킷당 0.3초까지 응답을 기다립니다.

                  방화벽과 IDS의 네트워크 카드가 100Mbps 이상이 아니면 탐지 불가능(거의 탐지가능하단얘기죠)