TCP scan - TCP Open Scan (TCP Open 스캔)

공격 대상 서버의 정보를 수집하는 것은 매우 중요한 침입 준비 단계이다.

당장에 침입이 불가할지라도 작은 정보들을 캐내고 캐내다보면 쌓여서 큰 정보를 이루고 침입을 위한 힌트가 제공될 수 있기때문이다.

그렇기에 이런 준비단계중 하나인 scan은 중요한 영역이며 정보보안기사 시험에서도 개념언급이 이루어 지고 있는 상황이다.

 

그래서 오늘은 TCP scan의 한 종류인 TCP Open scan에 대해서 포스팅 하려한다.

 

TCP scan은 결국에 port를 스캔하는 것으로 열려있는 포트가 어떤게 있는지 알기 위해서 사용된다.

 

TCP Open 스캔의 과정은 간단하다.

 

 

공격자는 포트 세션을 생성하기 위해서 SYN 패킷을 보낸다.

 

공격자 ->(SYN)-> 공격 대상

 

이 경우에 만약 공격 대상의 포트가 열려있다면 SYN 패킷을 받게되고 SYN 패킷을 받았다는 의미로 SYN과 ACK를 보내게 된다.

하지만 만약 그 포트가 열려있지 않다면 SYN을 보내지 않고 RST와 ACK 패킷을 보내게 된다.

 

대상 포트가 열려 있는 경우

공격자 <-(SYN+ACK)<- 공격 대상

 

대상 포트가 닫혀 있는 경우

공격자 <-(RST+ACK)<- 공격 대상

 

열려있는 포트라는 것이 확인되면 공격 대상 서버에서 데몬을 실행하고 있는 프로세스의 소유권자를 알아내기 위하여 Reverse Ident라는 방법을 사용한다.

 

이경우에는 앞서 포트에 3 way handshaking 과정 후

 

공격자 -> 113번 포트 TCP 접속 생성 -> 공격 대상

공격자 <- Ident Query 전송 <- 공격 대상

공격자 -> Username/UID 정보 -> 공격 대상

 

과정을 진행하여 데몬 실행 소유권자를 확인 할 수 있다.