포트 스캔 네트워크 스캔 이란 관련 기술 및 보안 설정

포트 스캔 네트워크스캔 IP 스캐닝 네트워크맵퍼 Nmap 보안설정

포트 스캔이란 ?

포트 스캔은 해커가 네트워크의 열린 문이나 약점을 발견하는 데 사용하는 일반적인 기술입니다. 포트 스캔 공격은 사이버 범죄자가 열린 포트를 찾고 데이터를 수신 또는 전송하는지 파악하는 데 도움이 됩니다. 또한 조직에서 방화벽과 같은 활성 보안 장치를 사용하고 있는지 여부를 나타낼 수 있습니다.

 

해커가 포트에 메시지를 보낼 때 받는 응답은 포트가 사용 중인지 여부와 악용될 수 있는 잠재적인 약점이 있는지 여부를 결정합니다.

 

기업은 또한 포트 스캐닝 기술을 사용하여 특정 포트로 패킷을 보내고 잠재적인 취약점에 대한 응답을 분석할 수 있습니다. 그런 다음 IP 스캐닝, 네트워크 매퍼(Nmap) 및 Netcat과 같은 도구를 사용하여 네트워크와 시스템이 안전한지 확인할 수 있습니다.

 

포트 스캔을 통해 얻을 수 있는 정보들

• 실행 중인 서비스
• 서비스를 소유한 사용자
• 익명 로그인 허용 여부
• 인증이 필요한 네트워크 서비스

 

포트란?

 

포트는 여러 프로그램과 인터넷 간의 정보 교환이 장치 또는 다른 컴퓨터에 발생하는 컴퓨터의 지점입니다. 일관성을 보장하고 프로그래밍 프로세스를 단순화하기 위해 포트에 포트 번호가 할당됩니다. 이것은 IP 주소와 함께 각 인터넷 서비스 공급자(ISP)가 요청을 이행하는 데 사용하는 중요한 정보를 형성합니다.

 

포트 번호의 범위는 0에서 65,536까지

0에서 1,023까지 번호가 지정된 포트를 잘 알려진 포트 (well-known ports)라고 하며 일반적으로 인터넷 사용을 위해 예약되어 있지만 특수 목적도 있을 수 있습니다.

IANA(Internet Assigned Numbers Authority)에서 할당한 이러한 포트는 주요 기업 및 구조적 쿼리 언어(SQL) 서비스.

 

포트는 일반적으로 응용 프로그램 간의 네트워크 대화를 설정하고 유지 관리하는 방법을 정의하는 TCP(전송 제어 프로토콜)와 응용 프로그램 간의 짧은 대기 시간 및 손실 허용 연결을 설정하는 데 주로 사용되는 UDP(사용자 데이터그램 프로토콜)에 의해 관리됩니다. .

 

가장 인기 있고 가장 자주 사용되는 포트

 

• 포트 20(UDP): 데이터 전송에 사용되는 FTP(파일 전송 프로토콜)
• 포트 22(TCP): FTP, 포트 전달 및 보안 로그인에 사용되는 SSH(Secure Shell) 프로토콜
• 포트 23(TCP): 암호화되지 않은 통신에 사용되는 Telnet 프로토콜
• 포트 53(UDP): 인터넷 도메인 이름을 기계가 읽을 수 있는 IP 주소로 변환하는 DNS(Domain Name System)
• 포트 80(TCP): World Wide Web 하이퍼텍스트 전송 프로토콜(HTTP)

 

• 1,024에서 49,151까지 번호가 지정된 포트는 "등록된 포트"로 간주되며 소프트웨어 회사에 의해 등록
• 49,152에서 65,536까지 번호가 지정된 포트는 인터넷의 거의 모든 사람이 사용할 수 있는 동적 및 개인 포트

 

포트 스캐닝 기술이란?

 

포트 스캔은 다양한 기술을 사용하여 대상 포트 번호로 전송된 패킷을 확인. 

 

핑 스캔 (Ping Scan) : 핑 스캔 (Ping Scan) 은 가장 간단한 포트 스캔 기술로 간주됩니다. ICMP(인터넷 제어 메시지 프로토콜) 요청이라고도 합니다. Ping 스캔은 응답을 얻기 위해 여러 ICMP 요청 그룹을 다양한 서버에 보냅니다. 관리자는 핑 스캔을 사용하여 문제를 해결할 수 있으며 핑은 방화벽에 의해 차단 및 비활성화될 수 있습니다.

 

바닐라 스캔: (Vanilla scan) :  또 다른 기본 포트 스캔 기술인 바닐라 스캔은 65,536개의 모든 포트에 동시에 연결을 시도합니다. 동기화(SYN) 플래그 또는 연결 요청을 보냅니다. SYN-ACK 응답 또는 연결 승인을 받으면 ACK 플래그로 응답합니다. 이 검사는 정확하지만 방화벽에서 항상 전체 연결을 기록하기 때문에 쉽게 감지할 수 있습니다.

 

SYN 스캔 (SYN scan) : 반개방 스캔이라고도 하며 대상에 SYN 플래그를 보내고 SYN-ACK 응답을 기다립니다. 응답이 있는 경우 스캐너는 응답하지 않습니다. 이는 TCP 연결이 완료되지 않았음을 의미합니다. 따라서 상호 작용은 기록되지 않지만 보낸 사람은 포트가 열려 있는지 확인합니다. 이것은 해커가 약점을 찾는 데 사용하는 빠른 기술입니다.

 

XMAS 및 FIN 스캔: 크리스마스 트리 스캔(XMAS 스캔) 및 FIN 스캔은 보다 개별적인 공격 방법입니다. XMAS 스캔은 와이어샤크 (Wireshark) 와 같은 프로토콜 분석기에서 볼 때 크리스마스 트리처럼 깜박이는 것처럼 보이는 패킷 내에서 켜져 있는 플래그 집합에서 이름을 가져옵니다. 이러한 유형의 스캔은 플래그 집합을 전송하며, 이에 응답하면 방화벽 및 포트 상태에 대한 통찰력을 공개할 수 있습니다. FIN 스캔은 공격자가 종종 설정된 세션을 종료하는 데 사용되는 FIN 플래그를 특정 포트로 보내는 것을 봅니다. 이에 대한 시스템의 응답은 공격자가 활동 수준을 이해하고 조직의 방화벽 사용에 대한 통찰력을 제공하는 데 도움이 될 수 있습니다.

 

FTP 바운스 스캔 (FTP bounce scan) : 이 기술을 사용하면 발신자가 FTP 서버를 사용하여 패킷을 바운스하여 자신의 위치를 ​​가장할 수 있습니다.

 

스윕 스캔 (Sweep scan) : 이 예비 포트 스캔 기술은 활성 상태인 컴퓨터를 식별하기 위해 네트워크의 여러 컴퓨터에 걸쳐 포트로 트래픽을 보냅니다. 포트 활동에 대한 정보를 공유하지 않지만 송신자에게 시스템이 사용 중인지 여부를 알려줍니다.

 

 

포트 스캐닝 대 네트워크 스캐닝 (Port Scanning vs Network Scanning )

 

네트워크 스캐닝은 네트워크의 활성 호스트 목록을 식별하고 포트 스캔을 실행하기 전에 컴파일해야 하는 해당 IP 주소에 매핑하는 프로세스입니다.

 

네트워크 스캐닝 프로세스는 호스트 검색이라고도 하며, 이는 종종 해커가 공격을 준비하는 첫 번째 단계입니다. 이들은 ARP(Address Resolution Protocol) 스캔과 다양한 ICMP 스캔의 두 가지 기본 프로토콜을 사용합니다. ARP 스캔은 IP 주소를 MAC(미디어 액세스 제어) 주소에 매핑하고 활성 호스트를 확인하는 데 사용할 수 있습니다. 근거리 통신망(LAN) 내에서만 작동하므로 공격자가 내부 네트워크에 연결되어 있어야 합니다.

 

주소 표시, 에코 및 타임스탬프 요청과 같은 다양한 ICMP 패킷을 사용하여 LAN 외부에서 네트워크 스캔을 수행할 수 있습니다. 호스트 검색은 대상 호스트로부터 응답 수신에 따라 다릅니다. 응답을 받지 못한다는 것은 대상 주소에 호스트가 없거나 방화벽이나 패킷 필터에 의해 요청이 차단되었음을 의미합니다.

 

네트워크 스캔이 스캔되고 사용 가능한 호스트 목록이 컴파일되면 포트 스캐너 공격은 특정 포트의 사용을 식별할 수 있습니다. 일반적으로 포트를 개방, 폐쇄 또는 필터링으로 분류합니다.

 

포트 스캔 공격을 방지하는 방법 ( How to Prevent Port Scan Attacks )

 

포트 스캐닝은 사이버 범죄자가 취약한 서버를 검색하는 데 사용하는 인기 있는 방법입니다. 그들은 종종 조직의 보안 수준을 발견하고, 기업에 효과적인 방화벽이 있는지 확인하고, 취약한 네트워크나 서버를 탐지하는 데 사용합니다. 일부 TCP 방법을 사용하면 공격자가 위치를 숨길 수도 있습니다.

 

사이버 범죄자는 네트워크를 검색하여 포트가 어떻게 반응하는지 평가하여 비즈니스의 보안 수준과 배포하는 시스템을 이해할 수 있습니다.

 

포트 스캔 공격을 방지하려면 진화하는 위협 환경에 맞춰 효과적으로 업데이트된 위협 인텔리전스를 확보해야 합니다. 기업에는 또한 포트를 모니터링하고 악의적인 행위자가 네트워크에 접근하지 못하도록 방지하는 강력한 보안 소프트웨어, 포트 스캐닝 도구 및 보안 경고가 필요합니다. 포트 스캔(Port scan) 도구로는 IP 스캐닝, Nmap 및 Netcat이 있습니다.

 

다른 방어 메커니즘

 

• 강력한 방화벽 ( A strong firewall ) : 방화벽은 기업의 사설 네트워크에 대한 무단 액세스를 방지할 수 있습니다. 포트와 해당 가시성을 제어할 뿐만 아니라 종료하기 전에 포트 스캔이 진행 중일 때 감지합니다.
• TCP 래퍼( TCP wrappers ) : 이를 통해 관리자는 IP 주소 및 도메인 이름을 기반으로 서버에 대한 액세스를 유연하게 허용하거나 거부할 수 있습니다.
• 네트워크 허점 발견 ( Uncover network holes ) : 기업은 포트 스캐너를 사용하여 필요한 것보다 더 많은 포트가 열려 있는지 확인할 수 있습니다. 그들은 공격자가 악용할 수 있는 잠재적인 약점이나 취약점을 보고하기 위해 정기적으로 시스템을 점검해야 합니다.

 

침입 방지 시스템 ( intrusion prevention system 또는 IPS )은 알려진 위협으로부터 비즈니스 네트워크를 보호하고 트래픽을 보호하는 데 중요하며, 차세대 방화벽 ( next-generation firewall 또는 NGFW ) 는 네트워크 트래픽을 필터링하여 외부 위협으로부터 조직을 보호합니다. 지원되는 도구에는 네트워크 모니터링, 패킷 필터링 및 IP 매핑이 포함되며, 이를 통해 기업이 공격을 식별하고 네트워크 전반에 고급 가시성

 

포트 스캐너 공격이란?

 

해커( Hacker )는 포트 스캐너 공격( port scanner attack )을 사용하여 비즈니스 네트워크의 약점이나 취약점을 알아냅니다. 해커( Hacker )가 포트 번호로 메시지를 보낼 때 받는 응답은 포트 번호가 열려 있는지 여부를 알려주고 잠재적인 약점을 찾는 데 도움이 됩니다.

 

포트 스캔이 위험합니까?

 

포트 스캐너는 기업이 공격에 취약한지 여부를 해커에게 알릴 수 있기 때문에 위험할 수 있습니다. 스캔을 통해 공격자는 회사 네트워크 또는 시스템 내의 기존 취약점을 알릴 수 있으며, 이를 악용하여 무단 액세스를 얻을 수 있습니다.

 

해커는 어떤 포트를 사용합니까?

 

일반적으로 사용되는 포트는 일반적으로 매우 안전하지만 다른 포트는 간과되고 해커에게 취약할 수 있습니다. 일반적으로 해킹되는 TCP 포트 번호에는 포트 21(FTP), 포트 22(SSH), 포트 23(Telnet), 포트 25(Simple Mail Transfer Protocol 또는 SMTP), 포트 110(POP3), 포트 443(HTTP 및 하이퍼텍스트 전송 프로토콜)이 포함됩니다. 보안 또는 HTTPS). 일반적으로 대상이 되는 TCP 및 UDP 포트에는 포트 53(DNS), 포트 137~139(TCP/IP를 통한 Windows NetBIOS), 1433 및 1434(Microsoft SQL Server)가 있습니다.

 

일반적인 열린 포트 번호는 무엇입니까?

 

일반적인 열린 포트에는 FTP를 보유하는 포트 20이 포함됩니다. 보안 로그인에 사용되는 포트 22; DNS인 포트 53; World Wide Web HTTP인 포트 80.