포트 스캐닝

1) TCP Connect(Open) 스캔

① OPEN 상태 : 타겟으로부터 SYN+ACK 응답이 오고 연결 완료 후 ACK를 보낸 후 RST+ACK를 전송하여 연결을 강제로 종료한다.

② CLOSED 상태 : 타겟으로부터 RST+ACK 응답이 온다.

③ 결과는 가장 정확하지만 연결 설정을 직접 수행하므로 시스템 로그가 남는다.

 

2) TCP SYN(Half-Open) 스캔

① 기본적으로 관리자 권한을 가지고 있어야 SYN 스캔을 할 수 있다.

② 완전한 연결 설정 과정을 수행하지 않기 때문에 Half-Open 스캔이라 한다. 완전한 연결을 수행하지 않기 때문에 시스템 로그가 남지 않아 그 흔적을 알 수 없다는 의미로 Stealth Scan이라 한다.

③ OPEN 상태 : 타겟으로부터 SYN+ACK 응답이 오고 ACK가 아닌 RST 플래그를 설정한 TCP 패킷을 전송하여 연결을 강제로 종료한다.

④ CLOSED 상태 : 타겟으로부터 RST+ACK 응답이 온다.

 

3) TCP FIN 스캔

① 연결되어 있지 않은 포트에 FIN 제어비트를 설정한 탐지패킷을 전송한다.

② OPEN 상태 : 타겟으로부터 응답이 없다.

③ CLOSED 상태 : 타겟으로부터 RST+ACK 응답이 온다.

 

4) TCP NULL 스캔

① 연결되어 있지 않은 포트에 제어비트를 아무것도 설정하지 않은 탐지패킷을 전송한다.

② OPEN 상태 : 타겟으로부터 응답이 없다.

③ CLOSED 상태 : 타겟으로부터 RST+ACK 응답이 온다.

 

5) TCP XMAS 스캔

① 연결되어 있지 않은 포트에 일부 제어비트(FIN, PSH, URG) 또는 전체 제어비트를 설정한 탐지패킷을 전송한다.

Xmas라고 이름붙인 이유는 크리스마스트리처럼 제어비트를 반짝거리게 설정했다는 의미이다. 

② OPEN 상태 : 타겟으로부터 응답이 없다.

③ CLOSED 상태 : 타겟으로부터 RST+ACK 응답이 온다.

 

6) TCP ACK 스캔

① 포트의 오픈 여부를 판단하는 것이 아니라 방화벽의 필터링 정책을 테스트하기 위한 스캔이다.

② ACK 플래그만 설정해서 보낸다. 방화벽에서 필터링이 된다면 아예 응답이 없거나 ICMP 메시지를 받고 필터링이 되지 않으면 RST+ACK 응답을 받는다.

③ 방화벽이 상태 기반인지 아니면 단순히 들어오는 syn 패킷을 차단하는 필터인지 점검하는 목적이다. 

 

7) UDP 스캔

① ICMP Unreachable 메시지를 이용하여 UDP 포트의 Open 여부를 확인하기 위한 스캐닝 방식이다.

② 열려진 포트 : UDP 응답이 옴 or 응답 없음

③ 닫힌 포트 : IMCP 메시지 응답이 옴

 

8) Decoy 스캔

① 유인한다는 의미로 스캔을 당하는 대상 호스트에서 스캐너 주소를 식별하기 어렵도록 실제 스캐너 주소 외에 다양한 위조된 주소로 스캔하는 방식

② 다양한 IP로 스캐너 주소를 위조하여 관리자가 스캔을 누가 하는지 알아채기 어렵도록 한다.