[네트워크 보안] 포트

1. 포트 분류 방식

 가. 사용 목적

  1) 0~1023: well known port

  2) 1024~49151: 제조사가 IANA에 용도를 등록해서 사용

  3) 49152~65535: 일반 사용자 권한으로 사용 가능한 포트  

 나. 사용 권한

  1) 0~1023: 관리자 권한으로 사용 가능한 포트

  2) 1024~65535: 일반 사용자 권한으로 사용 가능한 포트

 다. 기타 특이 포트

  1) netbios: tcp/udp 135,139

  2) CIFS(SMB): tcp 445 

  3) SMTP: tcp 25

  4) HTTPS: tcp 443

  5) POP3: tcp 110

 라. 참고

  1) Socket = IP + Port

 

2. 포트 스캐닝

구분	내용
nmap	1. 개념 : 어떤 포트가 활성화되었는지 포트 스캐닝에 사용하는 도구 2. Scan Type  1) -sS: TCP SYN Scan  2) -sT: TCP Connect Scan   3) -sU: UDP Scan  4) -sF: TCP FIN Scan  5) -sX: TCP Xmas Scan (UAPRSF)  6) -sN: TCP Null Scan  7) -sA: TCP Ack Scan  8) -sP: Ping Scan  9) -D: Decoy Scan  10) -b: TCP FTP Bounce Scan  11) -sP: ping Scan 3. Port Option  1) ex. -p 22: 22번 포트 스캔  2) -p <service>: 해당 서비스 포트 스캔 4. Output Option  1) -v: 상세 내역 출력  2) -d: Debugging  3) -oN <file>: 결과를 일반 파일로 출력  4) -oX <file>: 결과를 XML 파일로 출력  5) -oG <file>: 결과를 Grepable 파일 형식으로 출력  6) -oA <Directory>: 상기 파일 형식으로 전부 출력 5. 기타  1) -O: 대상 호스트의 OS 출력  2) -F: 빠른 네트워크 스캐닝  3) T0~T5: 아주 느리게~아주 빠르게
TCP Connect Scan	1. 원리  1) 정상적인 TCP 연결 수행  2) 관리자 권한 필요 X  3) 시스템 로그에 스캔 흔적 남음 2. 결과  1) Open Port   - Server: SYN + ACK   - Attacker: ACK   - Attacker: RST + ACK  2) Closed Port   - Server: RST + ACK  3) filtered by F/W   - DROP: 응답 없음   - REJECT: ICMP Destination Unreachable Packet 수신
TCP SYN Scan	1. 원리  1) 관리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 S 설정)  2) TCP 연결 과정을 끝까지 수행하지 않음  3) 스텔스 스캔 방식 2. 결과  1) Open Port   - Server: SYN + ACK   - Attacker: RST  2) Closed Port   - Server: RST + ACK  3) filtered by F/W   - DROP: 응답 없음   - REJECT: ICMP Destination Unreachable Packet 수신
TCP FIN Scan	1. 원리  1) 관리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 F 설정)  2) 스텔스 스캔 방식 2. 결과  1) Open Port   - Server: 응답 없음  2) Closed Port   - Server: RST + ACK  3) filtered by F/W   - DROP: 응답 없음   - REJECT: ICMP Destination Unreachable Packet 수신
TCP XMAS Scan	1. 원리  1) 관리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 U,P,F 설정)  2) 스텔스 스캔 방식 2. 결과  1) Open Port   - Server: 응답 없음  2) Closed Port   - Server: RST + ACK  3) filtered by F/W   - DROP: 응답 없음   - REJECT: ICMP Destination Unreachable Packet 수신
TCP NULL Scan	1. 원리  1) 권리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 아무것도 설정하지 않음)  2) 스텔스 스캔 방식 2. 결과  1) Open Port   - Server: 응답 없음  2) Closed Port   - Server: RST + ACK  3) filtered by F/W   - DROP: 응답 없음   - REJECT: ICMP Destination Unreachable Packet 수신
UDP Scan	1. 원리  1) UDP 포트 오픈 여부 확인 2. 결과  1) Open Port   - Server: 응답 없음  2) Closed Port   - Server: ICMP Destination Unreachable Packet 송신   3) filtered by F/W   - DROP: 응답 없음   - REJECT: ICMP Destination Unreachable Packet 수신
TCP ACK Scan	1. 원리  1) 포트 오픈 여부 확인 X → 방화벽 정책 확인 용도  2) 제어 플래그 중, ACK 비트만 설정해서 전송 2. 결과  1) filtered by F/W   - 허용: RST 패킷 수신   - 차단: 응답 없음(DROP) or ICMP Destination Unreachable(REJECT)
Decoy Scan	1. 원리  1) 스캔 대상 호스트 PC가 실제 스캐너 주소를 식별하기 어렵도록 다양한 위조 주소를 사용하여 스캔