본문 바로가기

자격증/정보보안기사

[네트워크 보안] 포트

1. 포트 분류 방식

 가. 사용 목적

  1) 0~1023: well known port

  2) 1024~49151: 제조사가 IANA에 용도를 등록해서 사용

  3) 49152~65535: 일반 사용자 권한으로 사용 가능한 포트  

 나. 사용 권한

  1) 0~1023: 관리자 권한으로 사용 가능한 포트

  2) 1024~65535: 일반 사용자 권한으로 사용 가능한 포트

 다. 기타 특이 포트

  1) netbios: tcp/udp 135,139

  2) CIFS(SMB): tcp 445 

  3) SMTP: tcp 25

  4) HTTPS: tcp 443

  5) POP3: tcp 110

 라. 참고

  1) Socket = IP + Port

 

2. 포트 스캐닝

구분  내용
nmap 1. 개념 : 어떤 포트가 활성화되었는지 포트 스캐닝에 사용하는 도구
2. Scan Type
 1) -sS: TCP SYN Scan
 2) -sT: TCP Connect Scan 
 3) -sU: UDP Scan
 4) -sF: TCP FIN Scan
 5) -sX: TCP Xmas Scan (UAPRSF)
 6) -sN: TCP Null Scan
 7) -sA: TCP Ack Scan
 8) -sP: Ping Scan
 9) -D: Decoy Scan
 10) -b: TCP FTP Bounce Scan
 11) -sP: ping Scan
3. Port Option
 1) ex. -p 22: 22번 포트 스캔
 2) -p <service>: 해당 서비스 포트 스캔
4. Output Option
 1) -v: 상세 내역 출력
 2) -d: Debugging
 3) -oN <file>: 결과를 일반 파일로 출력
 4) -oX <file>: 결과를 XML 파일로 출력
 5) -oG <file>: 결과를 Grepable 파일 형식으로 출력
 6) -oA <Directory>: 상기 파일 형식으로 전부 출력
5. 기타
 1) -O: 대상 호스트의 OS 출력
 2) -F: 빠른 네트워크 스캐닝
 3) T0~T5: 아주 느리게~아주 빠르게
TCP Connect Scan 1. 원리
 1) 정상적인 TCP 연결 수행
 2) 관리자 권한 필요 X
 3) 시스템 로그에 스캔 흔적 남음
2. 결과
 1) Open Port
  - Server: SYN + ACK
  - Attacker: ACK
  - Attacker: RST + ACK
 2) Closed Port
  - Server: RST + ACK
 3) filtered by F/W
  - DROP: 응답 없음
  - REJECT: ICMP Destination Unreachable Packet 수신 
TCP SYN Scan 1. 원리
 1) 관리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 S 설정)
 2) TCP 연결 과정을 끝까지 수행하지 않음
 3) 스텔스 스캔 방식
2. 결과
 1) Open Port
  - Server: SYN + ACK
  - Attacker: RST
 2) Closed Port
  - Server: RST + ACK
 3) filtered by F/W
  - DROP: 응답 없음
  - REJECT: ICMP Destination Unreachable Packet 수신 
TCP FIN Scan 1. 원리
 1) 관리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 F 설정)
 2) 스텔스 스캔 방식
2. 결과
 1) Open Port
  - Server: 응답 없음
 2) Closed Port
  - Server: RST + ACK
 3) filtered by F/W
  - DROP: 응답 없음
  - REJECT: ICMP Destination Unreachable Packet 수신
TCP XMAS Scan 1. 원리
 1) 관리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 U,P,F 설정)
 2) 스텔스 스캔 방식
2. 결과
 1) Open Port
  - Server: 응답 없음
 2) Closed Port
  - Server: RST + ACK
 3) filtered by F/W
  - DROP: 응답 없음
  - REJECT: ICMP Destination Unreachable Packet 수신
TCP NULL Scan 1. 원리
 1) 권리자 권한으로 TCP Packet 직접 조작(제어 플래그 중 아무것도 설정하지 않음)
 2) 스텔스 스캔 방식
2. 결과
 1) Open Port
  - Server: 응답 없음
 2) Closed Port
  - Server: RST + ACK
 3) filtered by F/W
  - DROP: 응답 없음
  - REJECT: ICMP Destination Unreachable Packet 수신
UDP Scan 1. 원리
 1) UDP 포트 오픈 여부 확인
2. 결과
 1) Open Port
  - Server: 응답 없음
 2) Closed Port
  - Server: ICMP Destination Unreachable Packet 송신 
 3) filtered by F/W
  - DROP: 응답 없음
  - REJECT: ICMP Destination Unreachable Packet 수신
TCP ACK Scan 1. 원리
 1) 포트 오픈 여부 확인 X → 방화벽 정책 확인 용도
 2) 제어 플래그 중, ACK 비트만 설정해서 전송
2. 결과
 1) filtered by F/W
  - 허용: RST 패킷 수신
  - 차단: 응답 없음(DROP) or ICMP Destination Unreachable(REJECT) 
Decoy Scan 1. 원리
 1) 스캔 대상 호스트 PC가 실제 스캐너 주소를 식별하기 어렵도록 다양한 위조 주소를 사용하여 스캔