[정보보안기사] 포트 스캔 기법 총정리

728x90

포트 스캔은 네트워크 보안 및 공격에서 중요한 기술로, 시스템의 열려 있는 포트를 식별하고 잠재적 취약점을 찾는 데 사용됩니다. 아래는 주요 포트 스캔 기법과 그 특징을 정리한 내용입니다.

1. 스텔스 스캔 (Stealth Scan)

스텔스 스캔은 탐지를 피하면서 포트 상태를 확인하는 기법입니다.

(1) SYN Scan (Half-Open Scan)

설명: TCP 3-way handshake를 완전히 완료하지 않고, SYN 패킷을 보내고 SYN/ACK 응답을 기다리는 방식.

동작 원리:

SYN 패킷 전송 → 응답 분석:
- SYN/ACK: 포트 열림.
- RST: 포트 닫힘.
- 응답 없음: 필터링됨.

장점:

빠르고 효율적.
연결을 완전히 맺지 않아 탐지 가능성이 낮음.

단점:

일부 방화벽이나 IDS에서 탐지될 수 있음.

(2) FIN Scan

설명: TCP FIN 플래그만 설정된 패킷을 전송하여 포트 상태를 확인.

동작 원리:

FIN 패킷 전송 → 응답 분석:
- RST: 포트 닫힘.
- 응답 없음: 포트 열림 또는 필터링됨.

장점:

스텔스성이 높아 탐지되기 어려움.
상태 비저장(stateless) 방화벽 우회 가능.

단점:

Windows 시스템에서는 작동하지 않음(RFC 비표준 구현).

(3) XMAS Scan

설명: TCP 헤더의 모든 플래그(FIN, URG, PUSH)를 설정해 "크리스마스 트리"처럼 보이게 하는 방식.

동작 원리:

XMAS 패킷 전송 → 응답 분석:
- RST: 포트 닫힘.
- 응답 없음: 포트 열림 또는 필터링됨.

장점:

스텔스성이 높아 IDS/IPS 탐지를 피하기 쉬움.

단점:

Windows 시스템에서 작동하지 않음.

(4) Null Scan

설명: TCP 헤더에 어떠한 플래그도 설정하지 않고 전송하는 방식.

동작 원리:

Null 패킷 전송 → 응답 분석:
- RST: 포트 닫힘.
- 응답 없음: 포트 열림 또는 필터링됨.

장점:

스텔스성이 높음.

단점:

Windows 시스템에서 작동하지 않음.

2. 방화벽 탐지 스캔 (Firewall Detection Scan)

(1) ACK Scan

설명: ACK 플래그만 설정된 패킷을 전송하여 방화벽 규칙 및 필터링 상태를 확인.

동작 원리:

ACK 패킷 전송 → 응답 분석:
- RST: 비필터링(Unfiltered).
- 응답 없음 또는 ICMP 오류: 필터링됨(Filtered).

주요 목적:

방화벽이 상태 저장(Stateful)인지 비상태 저장(Stateless)인지 판별 가능.
포트가 열려 있는지 여부는 확인할 수 없음.

(2) Decoy Scan

설명: 여러 가짜 IP(Decoy)를 사용하여 실제 스캐너의 IP를 숨기는 방식.

특징:

IDS/IPS가 여러 IP에서 스캔이 들어오는 것처럼 보이게 하여 실제 공격자를 식별하기 어렵게 만듦.
Nmap에서 -D 옵션으로 실행 가능.

3. UDP 스캔 (UDP Scan)

UDP Scan

설명: UDP 프로토콜 기반으로 동작하는 포트를 식별하는 방식.

동작 원리:

UDP 패킷 전송 → 응답 분석:
- ICMP Port Unreachable 메시지 수신: 포트 닫힘.
- 응답 없음: 포트 열림 또는 필터링됨.

단점:

UDP는 TCP보다 상태 확인이 어렵고, 속도가 느림.

4. 기본적인 포트 스캔 (Basic Port Scan)

Full Connect Scan (Vanilla Scan)

설명: TCP 3-way handshake를 완전히 수행하여 포트 상태를 확인하는 방식.

동작 원리:

SYN → SYN/ACK → ACK 순으로 핸드셰이크 완료 후 연결 종료(RST).

장점:

정확도가 높음.

단점:

느리고 탐지가 쉬움.

이처럼 포트 스캔 기법은 목적과 대상에 따라 다양한 방식으로 활용됩니다. 네트워크 보안을 강화하기 위해서는 이러한 스캔 기법을 이해하고, 적절한 방어 전략을 마련하는 것이 중요합니다.

728x90

저작자표시

'자격증 > 정보보안기사' 카테고리의 다른 글

[정보보안기사] 위험 분석 접근법 비교 및 장단점 정리 (0)	2025.04.11
[정보보안기사] FTP Active Mode vs Passive Mode (0)	2025.04.05

S0NG의 정보보안 블로그

[정보보안기사] 포트 스캔 기법 총정리

1. 스텔스 스캔 (Stealth Scan)

(1) SYN Scan (Half-Open Scan)

(2) FIN Scan

(3) XMAS Scan

(4) Null Scan

2. 방화벽 탐지 스캔 (Firewall Detection Scan)

(1) ACK Scan

(2) Decoy Scan

3. UDP 스캔 (UDP Scan)

UDP Scan

4. 기본적인 포트 스캔 (Basic Port Scan)

Full Connect Scan (Vanilla Scan)

'자격증 > 정보보안기사' 카테고리의 다른 글

티스토리툴바

[정보보안기사] 포트 스캔 기법 총정리

1. 스텔스 스캔 (Stealth Scan)

(1) SYN Scan (Half-Open Scan)

(2) FIN Scan

(3) XMAS Scan

(4) Null Scan

2. 방화벽 탐지 스캔 (Firewall Detection Scan)

(1) ACK Scan

(2) Decoy Scan

3. UDP 스캔 (UDP Scan)

UDP Scan

4. 기본적인 포트 스캔 (Basic Port Scan)

Full Connect Scan (Vanilla Scan)

'자격증 > 정보보안기사' 카테고리의 다른 글

'자격증/정보보안기사' Related Articles

티스토리툴바