포트 스캐닝이란 무엇입니까? 그것은 당신의 이웃을 지나는 도둑과 비슷하며 각 집에있는 모든 문과 창을 확인하여 어떤 문이 열려 있고 어떤 문이 잠겨 있는지 확인합니다.
TCP (전송 제어 프로토콜) 및 UDP (사용자 데이터 그램 프로토콜)는 보편적으로 인터넷에서 통신하는 데 사용되는 TCP / IP 프로토콜을 구성하는 두 가지 프로토콜입니다. 각 포트에는 0에서 65535 개의 포트가 있으므로 본질적으로 6 만 5 천 개가 넘는 문을 잠글 수 있습니다.
첫 번째 1024 개의 TCP 포트는 잘 알려진 포트라고하며 FTP, HTTP, SMTP 또는 DNS와 같은 표준 서비스와 연결됩니다. 1023을 넘는 주소 중 일부는 일반적으로 관련 서비스를 가지고 있지만이 포트의 대부분은 서비스와 관련이 없으며 통신에 사용할 프로그램이나 응용 프로그램에 사용할 수 있습니다.
포트 스캐닝 작동 방식
가장 기본적인 상태의 포트 스캐닝 소프트웨어는 각 포트의 대상 컴퓨터에 연결하기위한 요청을 순차적으로 전송하고 어떤 포트가 응답했는지 또는 더 심층적 인 조사가 가능한지를 기록합니다.
포트 스캔이 악의적 인 의도로 수행되면 침입자는 일반적으로 탐지되지 않는 것을 선호합니다. 네트워크 보안 응용 프로그램은 단일 호스트의 광범위한 포트에서 연결 요청을 감지 한 경우 관리자에게 알리도록 구성 할 수 있습니다. 이 문제를 해결하기 위해 침입자는 스트로브 또는 스텔스 모드에서 포트 검사를 수행 할 수 있습니다. 스트로브는 모든 65536 포트를 포괄적으로 검색하는 것이 아니라 포트를 더 작은 대상 세트로 제한합니다. 스텔스 스캔은 스캔 속도를 늦추는 등의 기술을 사용합니다. 훨씬 더 오랜 시간 동안 포트를 스캔하면 대상이 경고를 트리거 할 기회가 줄어 듭니다.
다른 TCP 플래그를 설정하거나 다른 유형의 TCP 패킷을 보내 포트 스캔은 다른 결과를 생성하거나 열린 포트를 다른 방법으로 찾을 수 있습니다. SYN 스캔은 포트 스캐너에게 어떤 포트가 수신 중인지와 생성 된 응답 유형에 의존하지 않는지를 알려줍니다. FIN 검사는 닫힌 포트에서 응답을 생성하지만 열려 있고 수신중인 포트는 응답을 보내지 않으므로 포트 스캐너는 어떤 포트가 열려 있고 어떤 포트가 아닌지를 결정할 수 있습니다.
실제 포트 스캔과 트릭을 수행하여 포트 스캔의 실제 소스를 숨기는 여러 가지 방법이 있습니다.
포트 검사를 모니터링하는 방법
포트 스캔을 위해 네트워크를 모니터링하는 것이 가능합니다. 정보 보안의 대부분과 마찬가지로 네트워크 성능과 네트워크 안전 간의 올바른 균형을 찾는 것이 트릭입니다. SYN 스캔을 모니터링 할 수 있습니다. SYN 패킷을 열거 나 수신하지 않는 포트로 보내려고하면 로깅을 시도합니다. 그러나 한 번 시도가 발생할 때마다 경고를받는 것이 아니라 한밤중에 여느 때와 달리 실수로 깨어날 가능성이있을 때마다 경고를 발생시키는 임계 값을 결정해야합니다. 예를 들어, 경고가 트리거되어야하는 특정 시간에 수신 대기하지 않는 포트에 대한 SYN 패킷 시도가 10 개를 초과하는 경우라고 말할 수 있습니다. 필터 및 트랩을 설계하여 다양한 포트 스캔 방법을 탐지 할 수 있습니다. FIN 패킷의 스파이크 또는 단일 IP 소스의 다양한 포트 및 / 또는 IP 주소에 대한 비정상적인 연결 시도를 감시 할 수 있습니다.
네트워크가 보호되고 보안이 유지되도록하기 위해 자체 포트 검사를 수행 할 수 있습니다. 에이 주요한 여기에서주의해야 할 것은 당신이 법의 틀린면에서 자신을 발견하지 못하도록이 프로젝트에 착수하기 전에있을 수있는 모든 권력의 승인을 얻는 것입니다. 정확한 결과를 얻으려면 회사가 아닌 장비와 다른 ISP를 사용하여 원격 위치에서 포트 검사를 수행하는 것이 가장 좋습니다. Nmap과 같은 소프트웨어를 사용하면 IP 주소와 포트 범위를 스캔하여 네트워크를 포트 스캔하는 경우 침입자가 무엇을 볼 수 있는지 확인할 수 있습니다. 특히 NMap은 스캔의 거의 모든 부분을 제어하고 필요에 따라 다양한 유형의 포트 스캔을 수행 할 수있게합니다.
포트를 통해 자신의 네트워크를 스캔하여 열려있는 포트가 무엇인지 알게되면 실제로 있는지 여부를 확인하는 작업을 시작할 수 있습니다 필요한 이러한 포트는 네트워크 외부에서 액세스 할 수 있어야합니다. 필요하지 않으면 차단하거나 차단해야합니다. 필요한 경우 이러한 포트에 액세스 할 수있게함으로써 네트워크에 열려있는 취약성 및 악용이 어떤 종류인지 조사하고 네트워크를 최대한 보호하기 위해 적절한 패치 또는 완화를 적용하기 시작할 수 있습니다.
