What is a Port Scan?

포트 스캔은 컴퓨터에서 열려 있는 포트를 식별하기 위해 고안된 네트워크 정찰 기술입니다. 이를 통해 스캐너는 특정 프로그램이 특정 포트에서 수신 대기하고 특정 방식으로 트래픽에 반응할 때 시스템에서 실행 중인 애플리케이션을 식별할 수 있습니다. 예를 들어 HTTP는 포트 80을 사용하고, DNS는 포트 53을 사용하며, SSH는 포트 22를 사용합니다.

데모 요청하기 Download Report

What is a Port Scan?

포트 스캔의 필요성

IP 주소는 네트워크를 통해 트래픽을 라우팅하는 데 매우 중요합니다. IP 주소는 패킷을 라우팅해야 하는 디바이스를 고유하게 식별합니다. 그러나 특정 컴퓨터가 패킷을 수신해야 한다는 것을 아는 것만으로는 목적지에 도달하기에 충분하지 않습니다. 컴퓨터는 동시에 여러 응용 프로그램을 실행할 수 있으며 여러 응용 프로그램이 네트워크를 통해 동시에 트래픽을 보내고 받을 수 있습니다.

TCP 및 UDP 프로토콜은 컴퓨터의 포트 개념을 정의합니다. 애플리케이션은 트래픽을 보내고 특정 포트에서 수신 대기할 수 있습니다. IP 주소와 포트의 조합은 라우팅 디바이스와 엔드포인트가 트래픽이 의도한 애플리케이션에 도달하도록 보장할 수 있도록 합니다.

포트 스캐너는 어떻게 작동합니까?

nmap과 같은 포트 스캐너는 트래픽을 특정 포트로 전송하고 결과를 검사하는 방식으로 작동합니다. 포트가 열려 있거나, 닫혀 있거나, network security 해결 방법, 다음을 포함하여 포트 스캔에 다양한 방식으로 응답합니다.

  • 열다: 애플리케이션이 트래픽을 수신 대기하는 열린 포트는 합법적인 요청에 응답해야 합니다. 예를 들어, TCP SYN 패킷을 수신하는 열린 포트는 SYN/ACK로 응답해야 합니다.
  • 닫은: 포트가 닫혀 있으면 통신을 시도하는 것이 컴퓨터에서 오류로 간주됩니다. 닫힌 포트에 대한 TCP SYN 패킷은 RST(재설정) 패킷을 생성해야 합니다.
  • 필터링: 일부 포트는 방화벽에 의해 필터링되거나 침입 방지 시스템(IPS) (IPS)입니다. 이러한 포트로 전송된 패킷은 응답을 받지 못할 수 있습니다.

컴퓨터마다 다른 방식으로 서로 다른 패킷에 응답합니다. 또한 일부 유형의 포트 스캔은 다른 유형보다 더 분명합니다. 이러한 이유로 포트 스캐너는 다양한 스캔 기술을 사용할 수 있습니다. 

보다 일반적인 유형의 포트 스캔은 다음과 같습니다.

  • 핑 스캔: 가장 간단한 검사 유형인 ping 검사는 컴퓨터에 ping 요청을 보내고 ping 응답을 찾습니다. 이 검사를 통해 컴퓨터가 온라인 상태이고 연결할 수 있는지 확인할 수 있습니다.
  • SYN 스캔: SYN 패킷은 TCP 핸드셰이크의 첫 번째 단계이며, 열린 포트는 SYN-ACK로 응답합니다. SYN 또는 TCP half-open 스캔에서 포트 스캐너는 최종 ACK로 핸드셰이크를 완료하지 않으므로 전체 TCP 연결이 열리지 않습니다.
  • TCP 연결 스캔: TCP 연결 스캔은 전체 TCP 핸드셰이크를 완료합니다. 연결이 설정되면 스캐너가 정상적으로 분해합니다.
  • UDP 스캔: UDP 스캔은 UDP 트래픽을 수신 대기하는 포트를 확인합니다. DNS 및 기타 UDP 기반 서비스를 식별할 수 있습니다.
  • XMAS 및 FIN 스캔: XMAS 및 FIN 스캔은 잘못된 플래그 조합이 있는 패킷으로 TCP 표준을 위반합니다. 서로 다른 시스템은 서로 다른 방식으로 이러한 패킷에 반응하므로 이러한 스캔은 대상 시스템의 세부 정보와 방화벽으로 보호되는지 여부를 나타낼 수 있습니다.
  • FTP 바운스 스캔: FTP 프로토콜은 서버가 클라이언트를 대신하여 다른 서버에 FTP 연결을 설정하는 프록시 FTP 연결을 허용합니다. FTP 바운스 스캔은 이 기능을 사용하여 포트 스캔을 간접적으로 수행합니다.

포트 스캔은 대상 시스템에 대한 풍부한 정보를 제공할 수 있습니다. 시스템이 온라인 상태인지, 어떤 포트가 열려 있는지 식별하는 것 외에도 포트 스캐너는 특정 포트와 호스트의 운영 체제를 수신하는 애플리케이션을 식별할 수도 있습니다. 이 추가 정보는 시스템이 특정 유형의 요청에 응답하는 방법의 차이에서 수집할 수 있습니다.

사이버 범죄자들은 포트 스캐닝을 공격 방법으로 어떻게 사용합니까?

포트 스캐닝은 정찰 단계에서 일반적인 단계입니다. cyberattack. 포트 검색은 온라인 상태인 컴퓨터, 해당 컴퓨터에서 실행 중인 애플리케이션, 해당 시스템 및 해당 시스템에 있을 수 있는 방어(방화벽 등)에 대한 세부 정보를 포함하여 대상 환경에 대한 중요한 정보를 제공합니다.

이 정보는 공격을 계획할 때 유용할 수 있습니다. 예를 들어 조직에서 특정 웹 또는 DNS 서버를 실행하고 있다는 것을 알면 공격자가 해당 소프트웨어에서 잠재적으로 악용될 수 있는 취약성을 식별할 수 있습니다.

체크 포인트로 포트 스캔 공격 방지

포트 스캐너에서 사용하는 많은 기술은 네트워크 트래픽에서 탐지할 수 있습니다. 많은 포트에 대한 트래픽(그 중 일부는 닫혀 있음)은 비정상적이며 IPS와 같은 네트워크 보안 솔루션으로 탐지할 수 있습니다. 또한 방화벽은 사용되지 않는 포트를 필터링하거나 포트 스캐너에 제공되는 정보를 제한하는 액세스 제어 목록을 구현할 수 있습니다.

Check Point’s Quantum IPS 포트 검색 및 기타 사이버 위협에 대한 보호 기능을 제공합니다. 퀀텀 IPS가 관리할 수 있는 다른 위협에 대해 자세히 알아보려면 체크 포인트의 2021 사이버 보안 보고서. 당신도 환영합니다 무료 데모 신청하기 IPS의 기능을 직접 확인할 Quantum 있습니다.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다.웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인