포트 스캐닝이란 무엇입니까? 그것은 당신의 이웃을 지나는 도둑과 비슷하며 각 집에있는 모든 문과 창을 확인하여 어떤 문이 열려 있고 어떤 문이 잠겨 있는지 확인합니다.
TCP ( 전송 제어 프로토콜 ) 및 UDP (사용자 데이터 그램 프로토콜)는 보편적으로 인터넷에서 통신하는 데 사용되는 TCP / IP 프로토콜을 구성하는 두 가지 프로토콜입니다. 이들 각각에는 포트 0에서 65535까지 사용할 수 있으므로 본질적으로 6 만 5 천 개가 넘는 문이 잠길 수 있습니다.
첫 번째 1024 개의 TCP 포트는 잘 알려진 포트라고하며 FTP, HTTP, SMTP 또는 DNS 와 같은 표준 서비스와 연결됩니다. 1023을 넘는 주소 중 일부는 일반적으로 관련 서비스를 가지고 있지만이 포트의 대부분은 서비스와 관련이 없으며 통신에 사용할 프로그램이나 응용 프로그램에 사용할 수 있습니다.
포트 스캐닝 작동 방식
가장 기본적인 상태의 포트 스캐닝 소프트웨어는 각 포트의 대상 컴퓨터에 연결하기위한 요청을 순차적으로 전송하고 어떤 포트가 응답했는지 또는 더 심층적 인 조사가 가능한지를 기록합니다.
포트 스캔이 악의적 인 의도로 수행되면 침입자는 일반적으로 탐지되지 않는 것을 선호합니다. 네트워크 보안 응용 프로그램은 단일 호스트의 광범위한 포트에서 연결 요청을 감지 한 경우 관리자에게 알리도록 구성 할 수 있습니다. 이를 해결하기 위해 침입자는 스트로브 또는 스텔스 모드에서 포트 스캔을 수행 할 수 있습니다. 스트로브는 모든 65536 포트를 포괄적으로 검색하는 것이 아니라 포트를 더 작은 대상 세트로 제한합니다. 스텔스 스캔은 스캔 속도를 늦추는 등의 기술을 사용합니다. 훨씬 더 오랜 시간 동안 포트를 스캔하면 대상이 경고를 트리거 할 기회가 줄어 듭니다.
다른 TCP 플래그를 설정하거나 다른 유형의 TCP 패킷을 보내 포트 스캔은 다른 결과를 생성하거나 열린 포트를 다른 방법으로 찾을 수 있습니다. SYN 스캔은 포트 스캐너에게 어떤 포트가 수신 중인지와 생성 된 응답 유형에 의존하지 않는지를 알려줍니다. FIN 스캔은 닫힌 포트에서 응답을 생성하지만 열려 있고 수신중인 포트는 응답을 보내지 않으므로 포트 스캐너는 어떤 포트가 열려 있고 어떤 포트가 아닌지를 결정할 수 있습니다.
실제 포트 스캔과 트릭을 수행하여 포트 스캔의 실제 소스를 숨기는 여러 가지 방법이 있습니다. 다음 웹 사이트에서 Port Scan 또는 Network Probes Explained를 방문하여이 중 일부에 대해 자세히 알아볼 수 있습니다.
포트 검사를 모니터링하는 방법
포트 스캔을 위해 네트워크를 모니터링하는 것이 가능합니다. 정보 보안의 대부분과 마찬가지로 네트워크 성능과 네트워크 안전 간의 올바른 균형을 찾는 것이 트릭입니다. SYN 스캔을 모니터링 할 수 있습니다. SYN 패킷을 열거 나 수신하지 않는 포트로 보내려고하면 로깅을 시도합니다. 그러나 한 번 시도가 발생할 때마다 경고를받는 것이 아니라 한밤중에 여느 때와 달리 실수로 깨어날 가능성이있을 때마다 경고를 발생시키는 임계 값을 결정해야합니다. 예를 들어, 경고가 트리거되어야하는 특정 시간에 수신 대기하지 않는 포트에 대한 SYN 패킷 시도가 10 개를 초과하는 경우라고 말할 수 있습니다. 필터 및 트랩을 설계하여 다양한 포트 스캔 방법을 탐지 할 수 있습니다. FIN 패킷의 스파이크 또는 단일 IP 소스의 다양한 포트 및 / 또는 IP 주소에 대한 비정상적인 연결 시도를 감시 할 수 있습니다.
네트워크가 보호되고 보안이 유지되도록하기 위해 자체 포트 검사를 수행 할 수 있습니다. 여기 주요한 주의 사항은 당신이 법의 틀린면에서 스스로를 발견하지 못하도록하기 위해이 프로젝트를 시작하기 전에 모든 권한을 승인 받았는지 확인하는 것입니다. 정확한 결과를 얻으려면 회사가 아닌 장비와 다른 ISP를 사용하여 원격 위치에서 포트 검사를 수행하는 것이 가장 좋습니다. NMap과 같은 소프트웨어를 사용하면 IP 주소 와 포트 범위를 스캔하여 공격자가 네트워크를 포트 검사 할 때 무엇을 볼 수 있는지 확인할 수 있습니다. 특히 NMap은 스캔의 거의 모든 부분을 제어하고 필요에 따라 다양한 유형의 포트 스캔을 수행 할 수있게합니다.
포트가 자신의 네트워크를 스캔하여 열려있는 것으로 응답하는 포트를 찾으면 실제로 네트워크 외부에서 포트에 액세스 할 수 있는지 여부를 확인하는 작업을 시작할 수 있습니다. 필요하지 않으면 차단하거나 차단해야합니다. 필요한 경우 이러한 포트에 액세스 할 수있게함으로써 네트워크에 열려있는 취약성 및 악용이 어떤 종류인지 조사하고 네트워크를 최대한 보호하기 위해 적절한 패치 또는 완화를 적용하기 시작할 수 있습니다.