"스텔스 스캔(Stealth Scan)"의 두 판 사이의 차이
둘러보기로 가기
검색하러 가기
(새 문서: == 소개 == 포트 스캔 기법 중 '''서버에 로그가 남지 않는 스캔 기법'''을 스텔스 스캔(Stealth Scan)이라고 한다. == 종류 == === TCP Half-Open Scan(=...) |
(→TCP Half-Open Scan(=TCP SYN Scan)) |
||
| 9번째 줄: | 9번째 줄: | ||
* 서버에 SYN 패킷을 하나 보냄 | * 서버에 SYN 패킷을 하나 보냄 | ||
* 서버로부터 SYN/ACK 응답이 오면 Listening 상태 (RST 패킷을 보내 접속을 끊음) | * 서버로부터 SYN/ACK 응답이 오면 Listening 상태 (RST 패킷을 보내 접속을 끊음) | ||
| − | * 만약 서버에서 RST 응답이 오면 포트가 닫힌 상태 | + | * 만약 서버에서 RST+ACK 응답이 오면 포트가 닫힌 상태 |
=== TCP FIN Scan === | === TCP FIN Scan === | ||
2019년 11월 7일 (목) 19:22 판
목차
1 소개
포트 스캔 기법 중 서버에 로그가 남지 않는 스캔 기법을 스텔스 스캔(Stealth Scan)이라고 한다.
2 종류
2.1 TCP Half-Open Scan(=TCP SYN Scan)
- 서버에 SYN 패킷을 하나 보냄
- 서버로부터 SYN/ACK 응답이 오면 Listening 상태 (RST 패킷을 보내 접속을 끊음)
- 만약 서버에서 RST+ACK 응답이 오면 포트가 닫힌 상태
2.2 TCP FIN Scan
- 서버에 FIN 패킷을 하나 보냄
- 서버로부터 RST 응답이 오면 Closed 상태
- 만약 서버에서 아무런 응답이 없다면 둘 중 하나 (1. 포트가 닫힘 2. 방화벽 등의 보안 장비에 의해 Filtered 됨)
2.3 TCP Xmas Scan
- 서버에 FIN, URG, PUSH 패킷을 보냄
- 서버로부터 RST 응답이 오면 Closed 상태
- 만약 서버에서 아무런 응답이 없다면 둘 중 하나 (1. 포트가 닫힘 2. 방화벽 등의 보안 장비에 의해 Filtered 됨)
2.4 TCP Null Scan
- 서버에 NULL 패킷을 보냄
- 서버로부터 RST 응답이 오면 Closed 상태
- 만약 서버에서 아무런 응답이 없다면 둘 중 하나 (1. 포트가 닫힘 2. 방화벽 등의 보안 장비에 의해 Filtered 됨)
3 대응 방법
스캔 자체를 근본적으로 막을 수 있는 방법은 없다. 아래와 같은 방법을 통해 사전 혹은 적시에 대응해야 한다.
- 침입 차단 시스템과 같은 네트워크 장비로 공격자 IP 차단
- OS 내 불필요한 서비스 중지
