포트 스캔(PortScan) 개념 및 종류

포트 스캔이란?

대상의 어떤 포트가 열려 있는지 확인하는 작업

 

1. TCP Open 스캔

• 3-way handshake 과정
• 포트가 열려있는 경우에는 대상 시스템으로부터 SYN+ACK 패킷을 수신하면 그에 대한 ACK패킷을 전송하여 연결을 완료하는 방식
• 포트가 닫혀있을 경우에는 대상 시스템이 연결 요청을 받아들이지 못하므로 RST+ACK 응답이 온다.
• 완전한 TCP 연결을 하기 때문에 확실한 결과가 나오지만, 검색 속도 느리고 대상 서버에 로그가 남는다. 

TCP Connect Scan

2. TCP Half-Open 스캔

• 세션에 대한 로그가 남는 TCP Open 스캔의 단점을 보완하기 위해 나온 기법으로 로그를 남기지 않아 추적이 불가능한 기법이다.
• 3-way handshake 과정에서 SYN 패킷을 받는 서버가 SYN-ACK 패킷을 응답하고서 언젠가 ACK패킷이 돌아올 것을 기다리는 '반쯤 열린' 상태를 말한다. 
• 3-way 가 정상적으로 맺어지지 않아서 로그에 남지 않는게 특징.

TCP Half Open Scan

• 포트가 열린 상태면 타켓으로부터 SYN+ACK 응답이 오고 정상적으로 연결할 때 보내는 ACK가 아닌 RST플래그를 설정한 TCP 패킷을 전송하여 연결을 강제로 종료(로그에 안 남음)
• 포트가 닫힌 상태면 타깃으로부터 RST+ACK 응답이 온다.

3. TCP FIN/NULL/Xmax 스캔

• 스텔스 스캔으로 TCP Header의 제어 비트(Control Bit)를 비정상적으로 설정하여 스캔하는 방식
• TCP 표준(RFC 793)의 허점을 이용
  • RFC 793에서는 "포트 상태가 Closed라면 요청 세그먼트에 대한 응답으로 RST를 보내게 한다"라고 명시되어 있음
• TCP FIN 스캔

• TCP NULL 스캔

• TCP Xmax Scan

• 연결되어 있지 않은 포트에 일부 제어 비트(FIN, PSH, URG) 또는 전체 제어 비트를 설정한 탐지 패킷을 전송
• Xmas라고 이름 붙인 이유는 크리스마스트리처럼 제어 비트를 반짝거리게 설정했다는 의미

4. UDP 스캔

• ICMP Unreachable 메시지를 이용하여 UDP 포트의 Open 여부를 판단하기 위한 스캐닝 방식
• Open Port : UDP응답이나, 응답 없음
• Close Port : ICMP 메시지(Type 3 : Destination Unreachable, Code 3: Port Unreachable) 응답
• UDP를 이용한 포트 스캔은 신뢰하기 어려움. 패킷 손실 우려가 있기 때문에.