버인지유닉스서버인지를알아야버그나공격툴을찾아가기때문이다. 윈도우 ftp 서버에유닉스용서버인 wu-ftp에대한버그공격을하는짓과같기때문이다. 이런점을보안에서역이용해서윈도우서버이지만유닉스서버처럼보이게끔가장하기도한다. 수퍼스캐너로간단히 OS탐지를할수있다. 바로윈도우서버들은 13

과정 : 한남대정보산업대학원정보보호학과교과목 : 컴퓨터바이러스해킹론교수님 : 임채호박사님학번 : 20057011 성명 : 송대완 제목 : 포트스캔툴 (NMapWin) 의활용 1. 개요 NMAP 이란? Network Mapper의약자이다. 용도는바로스캐너이다. 주용도가스캐너이기때문이다. 하지만각종보안사이트와시스템관리자를설명하는문서나페이지에서는빠지지않는단골손님이기도하다. 스캔도구로는수퍼스캔이나오메가스캐너등여러프로그램이존재하지만스캐너의최강의자리를아직도굳히고있는것은바로 NMap 이다. NMap 은원래 UNIX/LINUX용으로먼저개발되어사용되다가현재는 Windows용으로개발되어많이활용되고있다. 이프로그램은단순히스캐너라기보다는 OS 탐지기로더욱악명을떨친다. 즉해킹을시도할때는무엇보다도정보수집이최우선이다. NMap 은바로해당시스템의 OS를거의정확하게탐지하게해주는것이다. 리눅스의경우는운영커널버전까지탐지할정도이다. 왜 OS탐지가그렇게중요한가? 해킹시에가장먼저윈도우서 컴퓨터바이러스해킹론 Report 17-1

버인지유닉스서버인지를알아야버그나공격툴을찾아가기때문이다. 윈도우 ftp 서버에유닉스용서버인 wu-ftp에대한버그공격을하는짓과같기때문이다. 이런점을보안에서역이용해서윈도우서버이지만유닉스서버처럼보이게끔가장하기도한다. 수퍼스캐너로간단히 OS탐지를할수있다. 바로윈도우서버들은 135/139라는포트를사용한다. NetBeui포트이다. 리눅스에삼바를깔면된다고??? 삼바는 CIFS기반인 445포트를사용한다. 윈도우또한 445포트를사용한다.. 또한수퍼스캔자체가 해당서버는윈도우입니다. 라고말해주지않는다. 하지만 NMap 은얘기해준다. 지금까지입에침이마르도록설명하는것은 GNU 소프트웨어이다. 일단복잡한것을제 거하면무료소프트웨어이다. 하지만기능은어떠한상용제품도추격을불허할정도이다. NMAP 은 Port Scanning 툴로서호스트나네트워크를스캐닝할때, 아주유용한시스템보안툴인동시에, 해커에게는강력한해킹툴로사용될수있습니다. 서버를운영하다보면관리자스스로도어떤포트가열려있고, 또어떤서비스가제공중인지잘모를때가있습니다. 기억력이나빠서나, 게을러서가아니라필요에의해자주변경되므로수시로파악해서기록해두지않으면잊어버리게됩니다. 또크래킹에의해생성된백도어는파악하기가어렵습니다. 수많은포트와서비스를효과적으로체크해서관리하기위해서 NMAP과같은포트스캔툴이필요합니다. NMAP 은기존의포트스캔툴에비해다양한옵션과방화벽안쪽의네트웍도스캔할수있는강력한기능이있습니다. 컴퓨터바이러스해킹론 Report 17-2

2. NMap 의설치 사전준비 다운로드홈페이지 : http://www.insecure.org/nmap 다운받은파일을실행하면압축해제됩니다. 압축해제된두개의실행파일중, Winpcap.exe 를먼저실행한후, nmapwin_1.3.1.exe 를실행해야정상적으로동작합니다. 그림 1 설치초기화면 그림 2 설치중간화면 컴퓨터바이러스해킹론 Report 17-3

중간과정생략... 그림 3 설치완료화면 컴퓨터바이러스해킹론 Report 17-4

3. NMap 의실행 설치완료후시작 -> 프로그램 ->NMapWin 메뉴에서 NMapWin 을누르면실행된다. 그림 5 시작메뉴 그림 6 초기실행화면 컴퓨터바이러스해킹론 Report 17-5

Nmap의초기실행화면이다. 간단한사용법은쉬운편이다. 모두기본값을사용하면된다. 기본값이마음이안들어서바꾸는것이바로옵션이다. 기본값은디폴트라부르고그이름을부르는이유가있는것이다. 해당프로그램의용도에가장적합하다는것을기본값으로실행하게한것이기때문이다. 단지 Host부분에 IP주소나도메인명 ( 호스트명 ) 을기록한연후에 Scan" 버튼만눌러주면 하단의 Output 창에결과물이나오는것이다. 그림 8 디폴트실행결과화면 컴퓨터바이러스해킹론 Report 17-6

4. NMap 의활용법 가. Scan Mode 및 Scan Options 그림 9 Scan Mode 및 Options 선택화면 - 주로사용하는 Mode로는아래와같은것이있다 Connect : 일반적인 TCP 포트스캐닝 SYN Stealth : 이른바 'half-open' 스캔으로추적이어렵다 Ping Sweep : ping 을이용한일반적인스캔. UDP Scan : UDP 포트스캐닝 - 이중에서도 SYN Stealth 가가장많이사용되므로이를알아보자 SYN 이란것은 TCP 에서 3 단계접속을한다. 맨처음나랑놀자라는접속시도가바로 SYS 이라는플래그를세팅한패킷을날 컴퓨터바이러스해킹론 Report 17-7

리는것이다. 대충설명하면패킷에는소스주소 / 대상주소 / 플래그 / 옵션 / 데이터이 런식의구조이다. 대상주소로라우터를거쳐서찾아가는 ( 라우팅 ) 것과찾아가서 무엇을할지 ( 플래그 ) 와되돌려보낼자료 ( 소스주소 ) 로구성되는것이다. 플래그에서는 SYN / ACK /NAK /RST / FIN 등이있다. SYN은동기화시도 / ACK는통지신호 / NAK는통지를못받았다 / RST 못받았으니다시보내라 / FIN 끝났다등인것이다. 이외에도순차번호라는것을기준으로한다. 이순차번호가바로해커들이노리는것이다. 그중에서도캐빈미트닉이사용해서유명한것이다. 순차번호는난수기반으로알수없다. 하지만예측해서소스 / 데스티네이션 / 플래그 / 데이터 + 정상적인순차번호만세팅해서패킷을자기한테로오게만드는것이다. 이게바로세션하이재킹이다. SYN->ACK->SEQ+ACK라는 3단계접속을하게된다. 스텔스스캔이라고생각하면된다. - 우측의 Scan Options에대한설명 Port Range : 대상호스트의특정포트를스캔하거나, 스캔할포트의범위를지정한다.. ex) 1-1024 포트번호는 16bit를할당한다. 즉, 1-165535번포트까지있는것이다. NMap 의기본값은모조리접속해보는것이다...( 너무시간이많이걸린다.) 1024 포트이하는루트포트혹은알려진포트이므로주로검색대상은 1024 보다아래일것이다. 보통 1-200정도로줘도 ftp / telnet / ssh / smtp / pop3 / imap / http 등의서비스를알수있다. Use Decoy : Decoy 기능으로대상호스트에게스캔을실행한호스트의주소를 속인다. Source Address : 원본주소를수정한다 ( 추적방지 ) NMap 이워낙유명해서유닉스계열에서는 PortSentery 라는프로그램이있다. 컴퓨터바이러스해킹론 Report 17-8

별게아니다. 스캐닝이감지되면스캐닝의패킷을분석해서소스주소를 /etc/hosts.deny 라는파일에기록해서접근자체를막는것이다. 그럼원본주소를고치면? 그래서 Source Address라는게존재하고 WinCap 이라는패킷드라이버를설치한것이다. 이와같이해킹도구이지관리도구인지를결정하는것은본인자신이다. 나. Discover 그림 10 Discover 선택화면 컴퓨터바이러스해킹론 Report 17-9

구분설명 Don't Ping TCP Ping ICMP Ping TCP+ICMP 대상호스트에대한 ping 응답을요청하지않음 log 기록과 filtering 을피할수있다일반적이 ICMP ping이아닌 ACK 패킷으로 ping 을보내고 RST 패킷으로응답을받는다. 일반적인 ICMP ping 으로방화벽이나필터링에의해걸러진다 ping 을할때 ICMP ping 과 TCP ping을동시에이용한다 다. Options 그림 11 Options 선택화면 컴퓨터바이러스해킹론 Report 17-10

구분설명 Get Identd Info TCP 프로세서의 identd 정보를가져온다. Resolve all IP 와이름의매칭을뜻한다. 또한포트번호와서비스또한 리졸빙을한다. 뭔가매칭을시켜주는것을리졸버라고 부른다. 인터넷은도메인 =IP 이므로 DNS 라고부른것이다. OS Detection Data 디렉토리의 os-fingerprints 파일을사용하지않는다. 그러므로 OS 는통밥으로해야한다. 하지만 NMap 의 주장점이 OS 탐지이므로기본값에체크인되어있다. Fast Scan 1-65535 무식하게스캐닝하는것이아니고 service 에근거한포트만을검색하는옵션이다. 무슨말인가하면, 만약에서버에 21번포트에서 FTP접속을기다리다가클라이언트가접속하게되면서버측에서 21번포트로는통신하지않는다. 그렇게되면다른사용자가오지못하게되지않겠는가... 그래서로컬포트를열어서그포트와클라이언트포트를짝지워주게되며, 21번포트는다시대기하는것이다. 그래서 Nmap의무식한모조리옵션으로스캔하게된다면로컬생성포트도검색하게해서혼란스러울것이다. 그래서 FastSCan이라는옵션은 Data 디렉토리의 Service파일에근거해서유명한포트를검색하는것이다. 컴퓨터바이러스해킹론 Report 17-11

5. NMap 의원리 Nmap의강력함은어디에서나오는것일까? 바로데이터파일이뒷받침해주기때문이다. 기본적으로설치한상태라면 c:\program files\nmapwin이라는곳에설치가되었을것이다. 해당폴더에는 bin / data / log / help 라는폴더가존재한다. 그림 12 NMapWin 의폴더구성 bin은 binary라는뜻으로실행파일이들어있다. 단지 3개가들어있을것이다. nmap 프로그램과서비스로등록시켜주는서비스관리프로그램이그것일것이다. 해당원리는이렇다. nmap For Win이라는 FrontEnd 프로그램에서데이터를입력받아서커맨드툴인 nmap.exe에게넘겨준후 Data 디렉토리의각종데이터파일에근거하여탐지 (Detection) 를실행하는것이다. Nmap은유닉스나윈도우에서동일하게해당시스템의포트별로 7단계의접속을통해서해당시스템및서비스를탐지하는것이다. 즉, 데이터디렉토리의파일을유심히살펴보면네트워크에대한지식이늘어날것이다. 특히 service파일은윈도우의 service파일보다더자세하게나온다. 해당포트에대한설명이다. 컴퓨터바이러스해킹론 Report 17-12

다음은 nmap-services 파일의내용중 1-50 포트까지의내용을기술하였다. 컴퓨터바이러스해킹론 Report 17-13

# This list of services is from the # Nmap security scanner ( http://www.insecure.org/nmap/ ) # # For a HUGE list of services (including these and others), # see http://www.graffiti.com/services tcpmux 1/tcp # TCP Port Service Multiplexer [rfc-1078] tcpmux 1/udp # TCP Port Service Multiplexer compressnet 2/tcp # Management Utility compressnet 2/udp # Management Utility compressnet 3/tcp # Compression Process compressnet 3/udp # Compression Process rje 5/tcp # Remote Job Entry rje 5/udp # Remote Job Entry echo 7/tcp # echo 7/udp # discard 9/tcp # sink null discard 9/udp # sink null systat 11/tcp # Active Users systat 11/udp # Active Users daytime 13/tcp # daytime 13/udp # netstat 15/tcp # qotd 17/tcp # Quote of the Day qotd 17/udp # Quote of the Day msp 18/tcp # Message Send Protocol msp 18/udp # Message Send Protocol chargen 19/tcp # ttytst source Character Generator chargen 19/udp # ttytst source Character Generator 컴퓨터바이러스해킹론 Report 17-14

Data 디렉토리에서 NMap-OS-FingerPrints 파일중에서 Windows XP Home Edition 은아래와같이작성되어있다. # TEST DESCRIPTION: # Tseq is the TCP sequenceability test # T1 is a SYN packet with a bunch of TCP options to open port # T2 is a NULL packet w/options to open port # T3 is a SYN FIN URG PSH packet w/options to open port # T4 is an ACK to open port w/options # T5 is a SYN to closed port w/options # T6 is an ACK to closed port w/options # T7 is a FIN PSH URG to a closed port w/options # PU is a UDP packet to a closed port Fingerprint Windows XP Home Edition TSeq(Class=RI%gcd=<6%SI=<23C4E&>330%IPID=I%TS=U) T1(DF=Y%W=F424%ACK=S++%Flags=AS%Ops=MNW) T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=Y%W=F424%ACK=S++%Flags=AS%Ops=MNW) T4(DF=N%W=0%ACK=O%Flags=AR%Ops=) T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(DF=N%W=0%ACK=O%Flags=AR%Ops=) T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E %ULEN=134%DAT=E) < NMap-OS-FingerPrints 파일 > OS-FingerPrints 파일은 OS 지문정도로해석되지만보안에서는 OS 탐지와같은 조사하는것을핑거프린팅한다고말한다. 컴퓨터바이러스해킹론 Report 17-15

핑거프린팅이외에도포트를막거나시스템을막는것을필터링한다고하며, 다른말 로는스크리닝이라고한다. 즉, 모두리스트파일 ( 규칙 ) 을근거로통과시킬지말 지를결정하는것이보안의관건이다. 프로토콜과서비스파일 NMap은 21번포트를스캐닝할때는 TCP/IP 3단계접속방식에근거해서 7단계접속을시도하고, 프로토콜파일에서 TCP임을알아내고, 서비스파일에서 FTP임을알아내는식이다. # This list of protocols is distributed with the # Nmap Security Scanner ( http://www.insecure.org/nmap/ ) # # This was created by Gerhard Rieger - privat <rieger@iue.tuwien.ac.at> # based on IANA docs per 2000/05/28. Gerhard was the initial author of # the Nmap IP protocol scanning code. hopopt 0 HOPOPT # IPv6 Hop-by-Hop Option icmp 1 ICMP # Internet Control Message igmp 2 IGMP # Internet Group Management ggp 3 GGP # Gateway-to-Gateway ip 4 IP # IP in IP (encapsulation) st 5 ST # Stream tcp 6 TCP # Transmission Control cbt 7 CBT # CBT egp 8 EGP # Exterior Gateway Protocol igp 9 IGP # any private interior gateway bbn-rcc-mon 10 BBN-RCC-MON # BBN RCC Monitoring < NMap-protocols 파일 > 컴퓨터바이러스해킹론 Report 17-16

6. 맺음말 이상으로 NMap 에대한것을몇가지예를통해사용법을알아보았습니다. 가장자세한설명은제작사의홈페이지의 Document 부분을참고바랍니다. NMap 툴을사용함에있어주의할사항은자신이직접관리하지않는, 호스트나네트웍에서테스트를하는것은아주무례한행동이며, 관리가엄격한사이트의경우접속제한은당하는경우도있으므로바람직하지않은방법으로사용하는일이없길바랍니다. 컴퓨터바이러스해킹론 Report 17-17