What is a Port Scan?

포트 스캐너는 어떻게 작동합니까?

nmap과 같은 포트 스캐너는 트래픽을 특정 포트로 전송하고 결과를 검사하는 방식으로 작동합니다. 포트가 열려 있거나, 닫혀 있거나, 네트워크 보안 해결 방법, 다음을 포함하여 포트 스캔에 다양한 방식으로 응답합니다.

• 열다: 애플리케이션이 트래픽을 수신 대기하는 열린 포트는 합법적인 요청에 응답해야 합니다. 예를 들어, TCP SYN 패킷을 수신하는 열린 포트는 SYN/ACK로 응답해야 합니다.
• 닫은: 포트가 닫혀 있으면 통신을 시도하는 것이 컴퓨터에서 오류로 간주됩니다. 닫힌 포트에 대한 TCP SYN 패킷은 RST(재설정) 패킷을 생성해야 합니다.
• 필터링: 일부 포트는 방화벽에 의해 필터링되거나 침입 방지 시스템(IPS) (IPS)입니다. 이러한 포트로 전송된 패킷은 응답을 받지 못할 수 있습니다.

컴퓨터마다 다른 방식으로 서로 다른 패킷에 응답합니다. 또한 일부 유형의 포트 스캔은 다른 유형보다 더 분명합니다. 이러한 이유로 포트 스캐너는 다양한 스캔 기술을 사용할 수 있습니다. 

보다 일반적인 유형의 포트 스캔은 다음과 같습니다.

• 핑 스캔: 가장 간단한 검사 유형인 ping 검사는 컴퓨터에 ping 요청을 보내고 ping 응답을 찾습니다. 이 검사를 통해 컴퓨터가 온라인 상태이고 연결할 수 있는지 확인할 수 있습니다.
• SYN 스캔: SYN 패킷은 TCP 핸드셰이크의 첫 번째 단계이며, 열린 포트는 SYN-ACK로 응답합니다. SYN 또는 TCP half-open 스캔에서 포트 스캐너는 최종 ACK로 핸드셰이크를 완료하지 않으므로 전체 TCP 연결이 열리지 않습니다.
• TCP 연결 스캔: TCP 연결 스캔은 전체 TCP 핸드셰이크를 완료합니다. 연결이 설정되면 스캐너가 정상적으로 분해합니다.
• UDP 스캔: UDP 스캔은 UDP 트래픽을 수신 대기하는 포트를 확인합니다. DNS 및 기타 UDP 기반 서비스를 식별할 수 있습니다.
• XMAS 및 FIN 스캔: XMAS 및 FIN 스캔은 잘못된 플래그 조합이 있는 패킷으로 TCP 표준을 위반합니다. 서로 다른 시스템은 서로 다른 방식으로 이러한 패킷에 반응하므로 이러한 스캔은 대상 시스템의 세부 정보와 방화벽으로 보호되는지 여부를 나타낼 수 있습니다.
• FTP 바운스 스캔: FTP 프로토콜은 서버가 클라이언트를 대신하여 다른 서버에 FTP 연결을 설정하는 프록시 FTP 연결을 허용합니다. FTP 바운스 스캔은 이 기능을 사용하여 포트 스캔을 간접적으로 수행합니다.

포트 스캔은 대상 시스템에 대한 풍부한 정보를 제공할 수 있습니다. 시스템이 온라인 상태인지, 어떤 포트가 열려 있는지 식별하는 것 외에도 포트 스캐너는 특정 포트와 호스트의 운영 체제를 수신하는 애플리케이션을 식별할 수도 있습니다. 이 추가 정보는 시스템이 특정 유형의 요청에 응답하는 방법의 차이에서 수집할 수 있습니다.

체크 포인트로 포트 스캔 공격 방지

포트 스캐너에서 사용하는 많은 기술은 네트워크 트래픽에서 탐지할 수 있습니다. 많은 포트에 대한 트래픽(그 중 일부는 닫혀 있음)은 비정상적이며 IPS와 같은 네트워크 보안 솔루션으로 탐지할 수 있습니다. 또한 방화벽은 사용되지 않는 포트를 필터링하거나 포트 스캐너에 제공되는 정보를 제한하는 액세스 제어 목록을 구현할 수 있습니다.

Check Point’s Quantum IPS 포트 검색 및 기타 사이버 위협에 대한 보호 기능을 제공합니다. 퀀텀 IPS가 관리할 수 있는 다른 위협에 대해 자세히 알아보려면 체크 포인트의 2021 사이버 보안 보고서. 당신도 환영합니다 무료 데모 신청하기 IPS의 기능을 직접 확인할 Quantum 있습니다.