Network Scanning Attack

1. 네트워크 스캐닝 절차

활동범위 결정 - 네트워크 목록 수집 - DNS 질의 - 네트워크 정찰

1) 활동범위 결정

어느 범위까지 스캔을 수행할지 결정한다

 

2) 네트워크 목록 수집

kali linux의 nmap으로 네트워크 목록을 스캔한다

 

3) DNS 질의

1. nslookup 명령으로 네임서버를 통해 해당 도메인의 IP를 찾아준다

ex) nslookup 도메인명

 

2. dig: nslookup에 대비 유연성 및 편의성, 출력의 명료성을 가진 DNS 쿼리 도구

ex) dig 도메인명

 

3. dnshistory.org 사이트에서 도메인 레코드 정보가 조회 가능하다

 

4) 네트워크 정찰

tracert 명령어로 해당IP주소 경로 추적

tracert(Window)

traceroute(Linux)

 

2. 네트워크 스캐닝 종류

- Ping & ICMP 스캔

 

- 오픈 스캔(Open Scan)

: TCP 3-Way-Handshake를 이용해 정상적인 연결을 바탕으로 Open 된 포트 정보를 추출

 

- 하프-오픈 스캔(Half-Open Scan)

: TCP 3-Way-Handshake 방식의 연결을 비정상적으로 종료 하는 방식

 

- 스텔스 스캔(Stealth Scan)

: 세션을 완전히 성립하지 않고 공격대상 시스템의 포트 활성화 여부를 알아내는 스캔

  1) X-MAS 스캔

  2) ACK or FIn 스캔

  3) NULL 스캔

 

- UDP스캔

 

3. 네트워크 스캐닝 실습

1) 활성화된 host 검색

스캔한 네트워크 대역중 2, 17, 18이 열려있다

 

2) TOP5 포트 스캐닝

일반적으로 제일 많이 사용하는 포트 5개를 ClientPC에다 스캔하니 위와 같은 결과가 나왔다

 

3) Ping & ICMP 스캔

- 리눅스와 윈도우의 ttl값이 다르므로 아래와 같이 ping을 보내 OS를 추측할 수 있다 하지만 ttl값을 변경했을 수도 있기 때문에 100% 확신할수는 없다

리눅스로 ping을 보낼 시 ttl=64

윈도우로 ping을 보낼 시 ttl=128

 

4. 네트워크 스캐닝 대응 방안

 

- 네트워크 장비에 의한 필터링

 

- 서버에서 실행중인 불필요한 서비스 중지

 

- IDS 및 IPS 연동