포트 스캐닝

포트 스캐닝이란 타겟 시스템(서버, PC)에 패킷을 보내 열려 있는 포트(Port)와 실행 중인 서비스를 파악하는 사전 정찰 기법이다. 해킹 전 운영체제, 서비스 버전, 취약점 등의 정보 수집이 목적이다.

주요 포트 스캔 기법에 대해 살펴보자.

 

① TCP Connect 스캔 (-sT)

• 방식: 3-Way Handshake(SYN ➔ SYN+ACK ➔ ACK)를 끝까지 맺어 연결을 완료함.
• 특징: 관리자 권한 없이 사용 가능.
• 단점: 타겟 서버에 접속 로그가 100% 남아 방화벽 등 보안 장비에 즉시 발각됨.

 

② TCP SYN 스캔 (Half Open / 스텔스 스캔) (-sS)

• 방식: 연결을 맺는 척(SYN ➔ SYN+ACK) 하다가 마지막에 RST를 보내 연결을 강제로 끊음.
• 특징: 세션이 성립되지 않아 애플리케이션 로그에 기록이 남지 않음(스텔스).

 

③ 플래그 조작 스텔스 스캔 (FIN, XMAS, NULL)

• 방식: TCP 규약의 허점을 찔러 비정상 패킷을 전송.
  • FIN 스캔 (-sF): FIN 플래그만 설정.
  • XMAS 스캔 (-sX): FIN, PSH, URG 플래그 모두 설정.
  • NULL 스캔 (-sN): 모든 플래그를 끄고(0) 전송.
• 반응 (리눅스 기준): 열린 포트는 엉뚱한 패킷을 무시(응답 없음), 닫힌 포트는 규약에 따라 RST 반환.
• 한계: 윈도우(Windows) 서버는 규약을 따르지 않아 포트 개방 여부와 무관하게 모두 RST를 반환하므로 스캔 불가.

 

④ UDP 스캔 (-sU)

• 방식: UDP 패킷을 전송하여 반응 확인.
• 반응: 닫힌 포트는 ICMP Port Unreachable 에러 반환. 열려있거나 필터링된 포트는 무응답.
• 특징: 신뢰성이 낮고 속도가 매우 느림.

 

⑤ TCP ACK 스캔 (-sA)

• 방식: 확인응답(ACK) 패킷만 전송.
• 목적: 포트의 열림/닫힘을 확인하는 것이 아니라, 중간에 방화벽이 패킷을 차단(Filtered)하고 있는지 룰셋을 파악할 때 사용. (방화벽이 없으면 RST 반환)

 

 

 

방어 및 대응 방안?

1. 불필요한 포트 차단: 사용하지 않는 서비스와 포트는 OS 단에서 비활성화.
2. 보안 장비(Firewall, IPS) 도입: 비정상 플래그(FIN, XMAS 등) 패킷 차단 및 동일 IP의 반복적인 포트 접근(임계치 초과) 차단 룰셋 적용.
3. 디폴트 포트 변경: SSH(22번), RDP(3389번) 등 널리 알려진 서비스의 포트 번호를 유추하기 힘든 다른 번호로 변경.