TCP Port Scan - 스텔스 스캔

스텔스(Stealth) 스캔이란 스텔스라는 이름에 걸맞게 알아치리지 못하게 스캔하는 기법을 말합니다.

세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내는 방법입니다.

그래서 공격받은 서버는 공격자의 IP를 확인하기가 어려워진다.

 

스텔스의 대표적인 Half Open Scan에 대해서 알아보도록하자.

 

opened port

공격자 ->(SYN)-> 공격 대상

공격자 <-(SYN+ACK)<- 공격 대상

공격자 ->(RST)-> 공격 대상

 

그래서 기록을 남기지 않게된다.

 

closed port

공격자 ->(SYN)-> 공격 대상

공격자 <-(RST+ACK)<- 공격 대상

 

 

Half Open Scan 말고도 FIN, NULL, XMAS 패킷등 다양한 패킷을 보내서 확인하는 방법이 있습니다.

다 사용하는 방법과 용도는 틀리지만 결론적으로 보면 포트가 열려있을때는 아무런 패킷도 오지 않게되고 포트가 닫혀있다면 Server가 FIN, NULL, XMAS 등의 패킷을 받고나서 RST 패킷을 전송하게 되는 차이를 이용한 방식입니다.

 

오늘은 TCP 기반에 stealth 스캔에 대해서 알아봤는데요.

정보보안기사 시험에 나오는 개념이기도 하여 정리해보았습니다.

다만 이러한 공격기법들은 요즘은 통하지 않을 정도로 너무 고전적인 부분이 있음으로 개념적인 지식 습득으로만 받아드려주셨으면 합니다.