포트 스캐닝이란 무엇입니까? 이것은 도둑이 이웃을 돌아 다니며 각 집의 모든 문과 창문을 확인하여 어떤 것이 열려 있고 어떤 것이 잠겨 있는지 확인하는 것과 비슷합니다.
TCP (전송 제어 프로토콜) 및 UDP (사용자 데이터 그램 프로토콜)는 인터넷에서 통신하는 데 보편적으로 사용되는 TCP / IP 프로토콜 제품군을 구성하는 두 가지 프로토콜입니다. 이들 각각에는 포트 0에서 65535까지 사용할 수 있으므로 기본적으로 잠글 수있는 문이 65,000 개 이상 있습니다.
포트 검색 작동 방식
가장 기본적인 상태의 포트 스캔 소프트웨어는 각 포트의 대상 컴퓨터에 순차적으로 연결하라는 요청을 보내고 어떤 포트가 더 심층적 인 조사에 응답했거나 열린 것처럼 보 였는지 기록합니다.
포트 스캔이 악의적 인 경우 침입자는 일반적으로 탐지되지 않는 것을 선호합니다. 관리자가 단일 호스트의 광범위한 포트에서 연결 요청을 감지하면이를 알리도록 네트워크 보안 애플리케이션을 구성 할 수 있습니다.
이를 우회하기 위해 침입자는 스트로브 또는 스텔스 모드에서 포트 스캔을 수행 할 수 있습니다. 스트로 빙은 모든 65536 포트를 일괄 스캔하는 대신 더 작은 대상 세트로 포트를 제한합니다. 스텔스 스캔은 스캔 속도 저하와 같은 기술을 사용합니다. 장기간에 걸쳐 포트를 스캔하면 대상이 경고를 트리거 할 가능성을 줄일 수 있습니다.
다른 TCP 플래그를 설정하거나 다른 유형의 TCP 패킷을 전송함으로써 포트 스캔은 다른 결과를 생성하거나 다른 방법으로 열린 포트를 찾을 수 있습니다. SYN 스캔은 생성 된 응답 유형에 의존하지 않는 포트와 수신 대기중인 포트를 포트 스캐너에 알려줍니다. FIN 스캔은 닫힌 포트에서 응답을 생성하지만 열린 포트와 수신 대기는 r이 아니므로 포트 스캐너는 어떤 포트가 열려 있는지 여부를 확인할 수 있습니다.
실제 포트 스캔을 수행하는 여러 가지 방법과 포트 스캔의 소스를 숨기는 트릭이 있습니다.
포트 스캔을 모니터링하는 방법
네트워크에서 포트 스캔을 모니터링 할 수 있습니다. 정보 보안의 대부분과 마찬가지로 비결은 네트워크 성능과 네트워크 안전 간의 적절한 균형을 찾는 것입니다.
열려 있지 않거나 수신하지 않는 포트에 SYN 패킷을 보내려는 시도를 기록하여 SYN 스캔을 모니터링 할 수 있습니다. 그러나 한 번의 시도가 발생할 때마다 경고를받는 대신 경고를 트리거 할 임계 값을 결정하십시오. 예를 들어, 주어진 분 동안 수신하지 않는 포트에 대한 SYN 패킷 시도가 10 회를 초과하면 경고가 트리거되어야한다고 말할 수 있습니다.
다양한 포트 스캔 방법을 감지하는 필터와 트랩을 설계하여 FIN 패킷의 급증이나 단일 IP 소스의 포트 또는 IP 주소 범위에 대한 비정상적인 연결 시도 횟수를 감시 할 수 있습니다.
네트워크가 보호되고 안전한지 확인하기 위해 고유 한 포트 검색을 수행 할 수 있습니다. 여기서 중요한주의 사항은이 프로젝트를 시작하기 전에 모든 권한의 승인을 받았는지 확인하여 법의 잘못된 편에 처하지 않도록하는 것입니다.
가장 정확한 결과를 얻으려면 회사가 아닌 장비와 다른 ISP를 사용하여 원격 위치에서 포트 스캔을 수행하십시오. Nmap과 같은 소프트웨어를 사용하여 IP 주소 및 포트 범위를 스캔하고 공격자가 네트워크를 포트 스캔하는 경우 무엇을 볼 것인지 알아낼 수 있습니다. 특히 NMap을 사용하면 스캔의 거의 모든 측면을 제어하고 필요에 맞게 다양한 유형의 포트 스캔을 수행 할 수 있습니다.
네트워크 포트 검색에 의해 열려있는 것으로 응답하는 포트를 찾으면 해당 포트가 네트워크 외부에서 액세스 할 수 있어야하는지 여부를 결정하는 작업을 시작할 수 있습니다. 필요하지 않은 경우 종료하거나 차단해야합니다. 필요한 경우 이러한 포트에 액세스 할 수 있도록하고 네트워크를 최대한 보호하기 위해 적절한 패치 또는 완화 조치를 적용하여 네트워크에 어떤 종류의 취약점과 악용이 열려 있는지 조사 할 수 있습니다.