풋프린팅 (Footprinting) 과 스캔(Scan)풋프린팅 (Footprinting) 과 스캔(Scan)

11

22

33

44

풋프린팅 (footprinting)

스캔의 의미

스캔의 종류

결 론

풋프린팅 (Footprinting)

풋프린트란 발자국을 뜻하며풋프린팅이란 그 발자국을 살펴보는 것을 의미한다 .

사전적 의미

인터넷 보안

공격할 대상의 정보를 모으는 방법 중 하나를 의미 즉 사회공학이라고 불리는 공격 기법 중에 하나다 .

기술적인 해킹에 의한 방법이 아닌 , 개인적인 인간관계 , 업무적 관계 등을 이용한 방법에서부터 어깨 넘어 훔쳐보기 등 정보를 획득하는 데 이용 가능한 비기술적인 경로를 이용해서 정보를 모으는 방법이다 .

풋프린팅 (Footprinting)

사회공학 (Social Engineering)

가장 능통한 분야도 사회공학이며 ,사회 공학만을 이용해 자신을 해고한 회사 시스템의 핵심부까지 침투한 이야기를 실은 책을 출판

케빈 미트닉

풋프린팅 (Footprinting)

풋프린팅 (Footprinting)

풋프린팅이란 본격적인 해킹을 위한 사전 준비 작업 이라 할 수 있다 .

구체적으로

즉 ,

자신의 활동영역을 결정하고

노출을 막기 위한 규칙을 정하고

얻을 수 있는 최대한의 정보를 얻어내야 한다 .

풋프린팅 (Footprinting)

사용자의 계정을 알아내야 한다 . 계정을 알아낸다면 패스워드를 알아내어 침입이 가능하다 . 물론 패스워드를 알아내는 일을 더욱 어려운 일이지만 그건 차후의 일이다 .

사용자 계정을 알아내는 방법은 매우 다양하다 .가장 쉬운 방법은 웹사이트의 관리자 계정과 사원들의 계정을 알아내는 것이다 .

어떤 정보를 얻어내야 하는 것일까 ?

풋프린팅 (Footprinting)

경일대 홈페이지

활용 예

풋프린팅 (Footprinting)

주의할 점

시스템의 정보를 수집할 때로그와 접속시도를 너무 많이 남기면 나중에 자신을 노출시키는 실마리가 된다 .

WebZIP 과 같은 유틸리티로 웹페이지를 다운로드 해서 검색하는 것이 좋다 .

WebZIP 이란 ? 원하는 웹사이트를 다운로드 /압축하여 오프라인에서 탐색해주는 유틸리티

풋프린팅 (Footprinting)

결론

풋프린팅이 별거 아닌 것처럼 보여도 해킹을 하기 위한 기본적인 작업이 되고 , 기술적인 위협보다 더욱 중요한 위협요소가 될 수 있다 .

스캔

서비스를 제공하는 서버의 작동여부와 그 서버가 제공하고 있는 서비스를 확인하기 위한 것이다 .

TCP 기반의 프로토콜은 기본적으로 질의 (Request) 를 보내면 응답 (Response) 을 전달해준다 .

이것을 통해 요청을 하여 응답을 받아 동작여부를 확인하고 서비스 등을 확인하여 정보수집을 하는 것을 의미한다 .

스캔의 정의

스캔

네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 ICMP(Internet Control Message Protocol) 프로토콜의 유틸리티다 .

기본적으로 TCP/IP 네트워크에서 사용된다 .

ICMP 스캔

스캔

Echo Request(Type 8) 과 Echo Reply(Type 0) 을 이용한 방법

Timestamp Request(Type 13) 와 Timestamp Reply(Type 14) 을 이용한 방법

Information Request(Type 15) 와 Information Reply(Type 16)을 이용한 방법

ICMP Address Mask Request(Type 17) 와 ICMP Address Mask Reply(Typ18) 을 이용한 방법

ICMP 를 이용한 스캔 방법

스캔

Echo Request 와 Echo Reply 를 이용한 방법

Ping test 성공과 실패

스캔

Timestamp Request 와 Timestamp Reply 를 이용한 방법

Timestamp Request 는 원격지 시스템의 현재 시간을 알아보기 위한 패킷이다 . Timestamp 패킷은 송신자가 패킷을 받은 시간(Originate Timestamp) 과 수신자가 패킷을 받은 시간(Receive Timestamp), 송신자가 수신자에게 전송하는 동안 걸린 시간 (Transmit Timestamp) 으로 공격대상의 현재 시스템 시간을 알 수 있다 .

하지만 , Timestamp Request 패킷에 Reply 패킷을 돌려보내오는 시스템이 시간만을 알려준다고 생각할 수는 없다 . 상대 시스템이 Reply 패킷이 돌아온다는 것은 상대 시스템이 활성화되어 있음을 말하는 것이다 .

스캔

Information Request 와 Information Reply 를 이용한 방법

 Information Request 와 Reply 패킷은 메인 프레임의 터미널과 같이 부팅할 때 자신의 디스크가 없는 시스템에 스스로 설정할 수 있도록 하는 패킷으로 , 자신의 네트워크를 찾기 위해 개발되었다 . 이 방법 역시 Timestamp 패킷과 마찬가지로 죽어있는 시스템이 Relpy 패킷을 보내오지는 않을 것이다 .

스캔

ICMP Address Mask Request 와 ICMP Address Mask Reply 를 이용한 방법

 ICMP Address Mask Request 와 Reply 패킷은 Information Request 패킷과 같이 터미널이 부팅될 때 자신이 속해 있는 네트워크의 서브넷 마스크를 알기 위해서 보내는 프로토콜이다 . 위의 두 가지 방법과 마찬가지로 Reply 패킷을 돌려보내오는지 확인함으로써 , 상대 시스템의 활성화 여부를 확인한다 .

스캔

TCP 와 UDP 를 이용한 스캔은 시스템 자체의 활성화 여부가 아닌 포트 스캔을 하는 것이다 .

TCP 프로토콜은 기본적으로 3Way-hand shaking 를 이용한 스캔을 한다 .

UDP 는 포트가 닫혀있는 경우 공격대상은 ICMP 패킷을 보내지만 열려있는 경우에는 ICMP 패킷을 보내지 않는다 .

TCP 와 UDP 를 이용한 스캔

스캔

포트가 열려있을 경우 , 세션이 성립되며 , 포트가 닫혀 있을 경우에는 RST+ACK 패킷을 받게 된다 .

TCP Open 스캔

TCP 와는 달리 UDP 는 3way_hand shaking 을 하지 않는다 .

포트가 닫혀 있을 경우에는 공격대상이 ICMP Unreachable 을 보내지만 , 열려있는 경우에는 보내지 않는다 .

그러나 응답이 없다고 해서 열려있는 포트라고 확신할 수는 없다 . UDP 는 라우터나 방화벽을 지나 손실되는 경우도 있기 때문이다 .

스캔

UDP 스캔

스캔

스텔스 스캔은 세션을 완전히 성립하지 않고 공격대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템에 로그 정보가 남지 않는다 .

따라서 공격대상의 시스템 관리자는 어떤 IP 를 가진 공격자가 자신의 시스템을 스캔 하였는지 확인할 수 없다 .

스텔스 (Stealth) 스캔

스캔

스텔스 스캔의 대표적인 형태로서 완전한 세션을 성립하지 않고 포트의 활성화 여부만을 확인하기 때문에 로그가 남지 않는다 .

먼저 SYN 패킷을 보내고 포트가 열려 있을 경우 서버는 SYN+ACK 패킷을 보내고 공격자는 즉시 연결을 끊는 RST(Reset) 패킷을 보낸다 .

TCP Half Open 스캔

스캔

FIN(Finish) 의 경우 패킷을 보내는 것으로 포트가 열린 경우 응답이 없고 , 포트가 닫힌 경우에만 RST 패킷이 되돌아온다 .

NULL 은 플래그값을 설정하지 않고 보낸 패킷이며 FIN 과 같은 결과가 나온다 .

XMAS 는 ACK, FIN, RST, SYN, URG 플래그들의 조합을 모두 설정하여 보낸 패킷으로 FIN 과 같은 결과이다 .

FIN, NULL, XMAS 스캔

스캔

결론

스캔은 서비스를 제공하는 서버의 존재 여부와 해당 서버가 제공하고 있는 서비스를 확인하는 정보수집에 있다 .예전에는 스캔 자체는 불법이 아니었다 . 하지만 현재는 스캔 역시 불법이다 . 따라서 임의 서버에 함부로 스캔 하면 안될 것이다 .