풋 프린팅과 스캔

풋 프린팅과 스캔 

                                    차    례

♣풋프린팅

1.풋프린팅의 정의와 이해

2.풋프린팅의 획득정보

3.풋프린팅의 예시

4.풋프린팅의 대응방법

♣포트

♣실습 (윈도우와 리눅스에서 텔넷 데몬을 시작시켜 텔넷 서비스 작동)

♣스캔

1.스캔의 정의및 이해

2.Ping 와 ICMP 스캔

3.TCP와 UDP를 이용한 스캔

4.TCP Open 스캔

5.TCP Half Open 스캔

6. 스텔스 스캔

7. 실습으로 스캔확인

♣ 운영체제의 탐지

 ◈ 이해 및 개요설명

 ◈  실습으로 탐지확인

♣ 방화벽과 침입탐지 시스템의 탐지

 ◈ 이해 및 개요설명

 ◈ 실습으로 탐지확인

풋 프린팅의 정의와 이해

사전적 의미 : 발자국( Foot print)

 

공격자들이 사용하는 기술과 관련된 모든정보를 체계적

이고 조직적으로 확실히 확보하기 위함 

본격적인 해킹 시작전 꼭 해야할 기초작업 

 사회공학에 의한 공격

풋프린팅의 획득정보

획득정보

확인가능한 정보들

위치 및 관련회사들과 부서들

인수 또는 합병 관련 뉴스들

전화 번호들

담당자 이름과 전자우편주소

프라이버시 정책과 보안정책들

목표와 관련이 있는 다른 웹 서버로의 링크

풋 프린터 예시

  1.세기의 해커 케빈미트닉의 

                 사회적공학만을 이용한공격

  2.냉전 시절에 미국의 FBI가 소련의 스파이를 잡기위해 dumpster driving  방법으로

    쓰레기  하나의 편지봉투나 정보얻을만한것을 뒤짐

대응방법

             공용 데이터베이스 보안

  http://www.ietf.org/rfc/rfc2196.txt

보안핸드북(RFC2196)

공격자들에게 도움이 될 만한 불필요한 정보

들은 웹페이지에서 제거 

포트

포트란? 하나의 포트에 하나의 서비스

            접근가능(ex 항구)

            

(부연설명)시스템에는 총 65535개의포트

            주요한포트 0-1023 1024개

            주요포트는 외워두는게 편함

포트

실습

윈도우와 리눅스에서 텔넷 데몬을 시작시켜 서비스를 

작동시킨다.

실습툴:윈도우 2000, 레드햇 리눅스 9.0

필요요소: 텔넷 서비스

실습 

윈도우 2000의 경우

 [내컴퓨터]오른쪽클릭-[관리]-[서비스및 응용프로그램]-[서비스]-[telnet]    경로로 들어간다.

실습

2.이화면에서 시작유형만 자동으로 변경한후 시작누르고 확인누른다

실습

3.시작-실행- cmd입력해 도스창 띄운후 -127.0.0.1 루프백주소 기입하

   여 텔넷서비스 동작확인

실습

리눅스의 경우

Vi /etc/xinetd.d/telnet 기입

아무것도 안나타날 경우  차근차근 들어감  ex>   cd /etc- cd xinetd.d

 

실습

실습

아웃되어서 나오면 “service xinetd restart”라고 자판에 친다

스캔(scan)

  스캔이란? 서비스를 제공하는 서버의 작동 여부와 그 서버가 제공하고 있는 서비스를 확인하기 위한 것이다.

   스캔의 종류

   -Ping과 ICMP 스캔

    -TCP와 UDP를 이용한 스캔

Ping과 ICMP스캔(1)

 Ping : 네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 간단한 유틸리티로 ICMP(Internet Control Messaging Protocol)를 사용하며, 기본적으로 TCP/IP네트워크에서 사용된다.

Ping과 ICMP스캔(3)

TCP와 UDP를 이용한 스캔

●TCP와 UDP를 이용한 스캔은 시스템 자체의 활성화 여부가 아닌 포트 스캔을 하는 것이다.

    -TCP프로토콜은 기본적으로 3-웨이 핸드셰이킹(3-wayhandshaking)을 이용한 스캔을 한다

그러나 UDP는 포트가 닫혀 있는 경우 공격대상은 

ICMP 패킷을 보내지만, 열려 있는 경우에는 ICMP

패킷을 보내지 않는다.

   

●  UDP를 이용한 포트스캔은 전달되는동안 라우터나 방화벽에 의해 손실 될 수 있어서 신뢰하기

   어렵다 

TCP Open 스캔

●작동하리라고 예상되는 포트에 세션을 생성하기 위한 SYN 패킷을 보낸다. 포트가 열려 있는 경우에는 서버에서 SYN+ACK패킷이 돌아오고 공격자는 다시 ACK패킷을 보낸다.

TCP Open 스캔

●Open 스캔은 3-웨이 핸드셰이킹 과정을 모드 거치기 때문에 상대방 시스템에 로그 기록이 남는다.

●포트가 닫혀 있는 경우에는 공격자가 SYN패킷을 보내면 RST+ACK패킷이 돌아오고 공격자는 아무런 패킷도 보내지 않는다.

Open스캔중 Reverse Ident

그림

Open스캔중 Reverse Ident

원격지 서버에서 데몬을 실행하고 있는 프로세서의 소유권자 확인

위와같이 113포트 열어서 사용자 인증을 위해 사용되는 포트 보통의 경우 중지 서비스

TCP Half Open 스캔

 완전한 세션을 성립하지 않고 포트의 활성화 여부를 확인하기 때문에 세션에 대한 로그가 남지 않는다는 장점을 가지고 있다.

 그림

 먼저 SYN 패킷을 보내고 포트가 열려 있을 경우 서버는 SYN+ACK패킷을 보내고 공격자는 즉시 연결을 끊는 RST(Reset)패킷을 보낸다.

스텔스 스캔

Half Open 스캔과 같은 스캔 방법을 스텔스 (stealth) 스캔이라고 한다 세션을 완전히 성립하지 않고, 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템이 로그 정보가 남지 않는다. 따라서 , 공격 대상의 시스템 관리자는 어떤 IP를 가진 공격자가 자신의 시스템을 스캔했는지 확인할 수 없다

스텔스 스캔

●FIN 패킷 보내면 열려있는 경우 응답없고 닫혀 있는 경우 RST패킷만 돌아온다.

●NULL 패킷은 플래그 값 설정하지않는 패킷이고 결과는 FIN 패킷과 같이 열려있는 경우 응답 없고 닫힌 경우 RST패킷 돌아옴

●XMAS패킷은 ACK,FIN,RST,SYN,URG플래그 모두 설정하여 보낸 패킷을 말함. 이 결과 도 위의 패킷과 동일함.

●ACK보내는 방법은 모든 포트에 ACK패킷을 보내고 돌아오는 RST패킷의 TTL값과 윈도우 크기분석

●TCP단편화 방법이 있는데 헤더 크기 20바이트를 나눠서 보내는데 첫번째는 출발지IP와 도착지IP 두번째패킷에 포트번호 넣어 보냄 첫번째에서 포트대한정보가 없기때문에 두번재는 방화벽을 넘을수 있으나 IDS로 인한 통과불가능.

●점점 IDS기술이 발전하여 탐지가 가능해져서 시간차 이용한 스캔을 사용한다.

스텔스 스캔

●시간차 스캔은 아주짧은 시간에 한계를 넘게 보내서 방화벽을 넘는방법이있고 긴 시간동안 패킷을 보내어 패턴에 대한정보를 얻기 힘들게 하는방법있다.

●Paranold : 5분이나 10분 간격으로 패킷을 하나씩 보낸다.

●Sneaky:WAN에서는 15초 단위로,LAN에서는 5초단위로 패킷을 보낸다.

●Polite:0.4초 단위로 패킷을 보낸다

●Normal:정상적인 경우다.

●Aggressive:호스트에 대한 최대 타임아웃은 5분이나,패킷당 1.25초까지                  응답을 기다린다.

●Insane:호스트에 대한 최대 타임아웃은 75초며, 패킷당 0.3초까지 응답을 기다린다. 방화벽과 IDS의 네트워크 카드가 100Mbps 이상이 아니면 탐지하지 못한다.

●FTP바운스스캔:취약점존재FTP 서버있을때 유용하지만 현재는 취약점이 거의없다.

실습

 시연환경  

    -공격자시스템 : 윈도우2000,레드햇 리눅스 9.0)

-공격 대상 시스템 : 레드햇리눅스,윈도우2000

 필수요소 

    -fping, sing, nmap

 실습내용

-fping과 sing,nmap을 이용하여 시스템의 활성화포 트에 대한 여러가지 스캔 실험

fping을 이용한 스캔

Sing을 이용한 스캔

nmap open 스캔

nmap 스탤스 스캔

nmap를 사용한 특정 포트 스캔

nmap 단편화 스캔

nmap 스캔 옵션

스캔 대응 방법

 공격 시스템으로부터의 접속을 막는 규칙 설정

      -리눅스의 경우 portsentry.conf파일의 내부에 특정 시스템이나

  네트워크로부터 포트 스캔의 패턴을 탐지할 수 있다

  이러한 portsentry 구성 파일 내부에 접속을 막는 규칙을 설정 

        할 수 있다.

 포트스캔 탐지기 사용

      -BlackICE, ZoneAlarm등을 통한 탐지기를 사용하는 방법

운영체제의 탐지

배너 그래빙(banner grabbing):텔넷과 같이 원격지의 시스템에 로그인하면 뜨는 안내문과 비슷하다.

      운영체제에만 배너그래빙이 있는것이 아니라 방화벽이나 IDS에도 배너가 있으며 21,25,110,143번포트에서 telnet [공격대상 IP][공격포트번호]와 같이 입력하여 배너 그래빙할수 있다.

FIN 스캔을 이용한다. FIN스캔은 모든 운영체제에 적용되는 것은 아니다. 적용되는 운영체제는 윈도우, BSD,Cisco.IRIS등

세션연결시 TCP패킷의 시퀀스 넘버 생성을 관찰한다.

윈도우:시간에 따른 시퀀스 넘버생성

리눅스 :완전한 랜덤

FreeBSD,Digital-Unix,IRIX,솔라리스

이런 공격방법은 다 알필요는 없다.

방화벽과 침입 탐지 시스템의탐지

방화벽은 방어선 역할을 함.

침입탐지 시스템(IDS,Intrusion Detection System):은 실패한 공격에 대한 탐지를 하여 관리자에게 알려주는 역할을 한다.

방화벽과 IDS유무와 취약점만 얻으면 효과적인 해킹이 가능해짐

방화벽설치 유무아는방법 :traceroute(리눅스경우)

ICMP UDP IP TTL값을 이용해서 Traceroute 로 동작유무안다.

 Traceuroute 프로그램은 TTL값 1로 설정 포트번호 33435번 하여 UDP패킷을 한번에 세개보냄

 첫번재 라우터는 1로 설정된 TTL값 0으로 줄이고 출발지 주소ICMP Time Exceed 메시지 보냄

 출발지 라우터는 첫번재 라우터까지 시간을 알아낼수있음

 다시 두번째 라우터까지 TTL값2로 설정하고 똑같은과정으로 보낸다.

 이러한 과정을 반복 목적지 까지 도달하면 ICMP Port Unreachable 패킷이 돌아오게 되고 모든과정끝난다.

방화벽과 침입 탐지 시스템의탐지

●VisualRoute라는 프로그램은 패킷의 전달 경로와 지도에서 서버위치 보여줌

   메일을 입력하며 그메일 쓰는 메일서버에 대한정보와 [tool]-[eMailTracker]를 선택하여 원하는 이메일 주소를 적어 넣으면 메일서버의 IP주소 버전을 알수 있다.

     일반적으로 툴은 Sam Spade가 있다. 이툴은 포트스캔을 제외한 여러가지 스캔을 효과적할수 있음.

일단 방화벽이 확인되면 어떤종류의 방화벽인지 확인 중요.

방화벽과 IDS각각의 작동상이유로 열려 있는 포트가 있다 . 고유한 포트를 잘알고 있으면 스캔을 통해 방화벽의 종류를 알아 낼 수 있음

IDS에서 열린포트