스텔스 스캔(Stealth Scan)

라이언양 위키
둘러보기로 가기 검색하러 가기

1 소개

포트 스캔 기법 중 서버에 로그가 남지 않는 스캔 기법을 스텔스 스캔(Stealth Scan)이라고 한다.

2 종류

2.1 TCP Half-Open Scan(=TCP SYN Scan)

  • 서버에 SYN 패킷을 하나 보냄
  • 서버로부터 SYN/ACK 응답이 오면 Listening 상태 (RST 패킷을 보내 접속을 끊음)
  • 만약 서버에서 RST/ACK 응답이 오면 포트가 닫힌 상태

2.2 TCP FIN Scan

  • 서버에 FIN 패킷을 하나 보냄
  • 서버로부터 RST 응답이 오면 Closed 상태
  • 만약 서버에서 아무런 응답이 없다면 둘 중 하나 (1. 포트가 닫힘 2. 방화벽 등의 보안 장비에 의해 Filtered 됨)

2.3 TCP Xmas Scan

  • 서버에 FIN, URG, PUSH 패킷을 보냄
  • 서버로부터 RST 응답이 오면 Closed 상태
  • 만약 서버에서 아무런 응답이 없다면 둘 중 하나 (1. 포트가 닫힘 2. 방화벽 등의 보안 장비에 의해 Filtered 됨)

2.4 TCP Null Scan

  • 서버에 NULL 패킷을 보냄
  • 서버로부터 RST 응답이 오면 Closed 상태
  • 만약 서버에서 아무런 응답이 없다면 둘 중 하나 (1. 포트가 닫힘 2. 방화벽 등의 보안 장비에 의해 Filtered 됨)

3 대응 방법

스캔 자체를 근본적으로 막을 수 있는 방법은 없다. 아래와 같은 방법을 통해 사전 혹은 적시에 대응해야 한다.

  • 침입 차단 시스템과 같은 네트워크 장비로 공격자 IP 차단
  • OS 내 불필요한 서비스 중지