버인지유닉스서버인지를알아야버그나공격툴을찾아가기때문이다. 윈도우 ftp 서버에유닉스용서버인 wu-ftp에대한버그공격을하는짓과같기때문이다. 이런점을보안에서역이용해서윈도우서버이지만유닉스서버처럼보이게끔가장하기도한다. 수퍼스캐너로간단히 OS탐지를할수있다. 바로윈도우서버들은 13

Similar documents
Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

TCP.IP.ppt

Microsoft PowerPoint - 4. 스캐닝-2(11.21) [호환 모드]

Network seminar.key

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

슬라이드 1

bn2019_2

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft Word doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

정보보안 개론과 실습:네트워크

UDP Flooding Attack 공격과 방어

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

*****

Subnet Address Internet Network G Network Network class B networ

PowerPoint 프레젠테이션

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

자바-11장N'1-502

ㅇ악성코드 분석

SMB_ICMP_UDP(huichang).PDF

*

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Microsoft Word - access-list.doc

Chapter 1

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

Sena Device Server Serial/IP TM Version

6강.hwp

Microsoft Word - src.doc

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

운영체제실습_명령어

Windows 8에서 BioStar 1 설치하기

OSI 참조 모델과 TCP/IP

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

The Pocket Guide to TCP/IP Sockets: C Version

7. TCP

hd1300_k_v1r2_Final_.PDF

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Microsoft Word - Armjtag_문서1.doc

제20회_해킹방지워크샵_(이재석)

Assign an IP Address and Access the Video Stream - Installation Guide

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

컴퓨터관리2번째시간

Linux Server - IPtables Good Internet 소 속 IDC실 이 름 정명구매니저

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

2009년 상반기 사업계획

Keil Flexlm 라이선스 설명서

슬라이드 제목 없음

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Windows Server 2012

2-11Àå

Install stm32cubemx and st-link utility

JDK이클립스

목 차 1. 포트스캐닝 (Port Scanning) 이란? 2. 포트 (Port) 란? 3. 스캔 (Scan) 의종류 4. 포트스캐너 (Port Scanner) 구현 5. 포트스캔 (Port Scan) 구현 6. 참조

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

Microsoft PowerPoint - Supplement-02-Socket Overview.ppt [호환 모드]

MF Driver Installation Guide

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

1217 WebTrafMon II

Microsoft PowerPoint - thesis_rone.ppt

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

ISP and CodeVisionAVR C Compiler.hwp

SBR-100S User Manual

Microsoft Word - NAT_1_.doc

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

Microsoft Word - release note-VRRP_Korean.doc

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

untitled

Microsoft PowerPoint 통신 및 압축 명령어.ppt

Microsoft PowerPoint - 04-UDP Programming.ppt

APOGEE Insight_KR_Base_3P11

PowerPoint 프레젠테이션

NTD36HD Manual

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

MF5900 Series MF Driver Installation Guide

PowerPoint 프레젠테이션

전송계층프로토콜 TCP(Transmission Control Protocol) 전송계층에서동작하는연결지향형 (connectionoriented) 프로토콜 데이터의흐름을관리하고, 데이터가정확한지검증하며통신 쓰리웨이핸드셰이킹 (three-way handshaking) 을통

주제별로명령들이따로있는것을보면주제끼리의순서는상관없어도명령들의위치를지 켜야할지도모른다. 하지만실험은해보지않았으니심심하면체크해봐도된다. [CRAB] CRAB 을하기위한가장기본적인세팅이다. jobtype = cmssw scheduler = glite 등이있다. 보통 CRAB

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

PowerPoint 프레젠테이션

슬라이드 1

Microsoft PowerPoint - ch13.ppt

10X56_NWG_KOR.indd

OnTuneV3_Manager_Install

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

ESET Endpoint Security

Studuino소프트웨어 설치

IP Cam DDNS 설정설명서(MJPEG) hwp

SBR-100S User Manual


SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

°í¼®ÁÖ Ãâ·Â

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Discrete Mathematics

01장

ìœ€íŁ´IP( _0219).xlsx

chapter4

Transcription:

과정 : 한남대정보산업대학원정보보호학과교과목 : 컴퓨터바이러스해킹론교수님 : 임채호박사님학번 : 20057011 성명 : 송대완 제목 : 포트스캔툴 (NMapWin) 의활용 1. 개요 NMAP 이란? Network Mapper의약자이다. 용도는바로스캐너이다. 주용도가스캐너이기때문이다. 하지만각종보안사이트와시스템관리자를설명하는문서나페이지에서는빠지지않는단골손님이기도하다. 스캔도구로는수퍼스캔이나오메가스캐너등여러프로그램이존재하지만스캐너의최강의자리를아직도굳히고있는것은바로 NMap 이다. NMap 은원래 UNIX/LINUX용으로먼저개발되어사용되다가현재는 Windows용으로개발되어많이활용되고있다. 이프로그램은단순히스캐너라기보다는 OS 탐지기로더욱악명을떨친다. 즉해킹을시도할때는무엇보다도정보수집이최우선이다. NMap 은바로해당시스템의 OS를거의정확하게탐지하게해주는것이다. 리눅스의경우는운영커널버전까지탐지할정도이다. 왜 OS탐지가그렇게중요한가? 해킹시에가장먼저윈도우서 컴퓨터바이러스해킹론 Report 17-1

버인지유닉스서버인지를알아야버그나공격툴을찾아가기때문이다. 윈도우 ftp 서버에유닉스용서버인 wu-ftp에대한버그공격을하는짓과같기때문이다. 이런점을보안에서역이용해서윈도우서버이지만유닉스서버처럼보이게끔가장하기도한다. 수퍼스캐너로간단히 OS탐지를할수있다. 바로윈도우서버들은 135/139라는포트를사용한다. NetBeui포트이다. 리눅스에삼바를깔면된다고??? 삼바는 CIFS기반인 445포트를사용한다. 윈도우또한 445포트를사용한다.. 또한수퍼스캔자체가 해당서버는윈도우입니다. 라고말해주지않는다. 하지만 NMap 은얘기해준다. 지금까지입에침이마르도록설명하는것은 GNU 소프트웨어이다. 일단복잡한것을제 거하면무료소프트웨어이다. 하지만기능은어떠한상용제품도추격을불허할정도이다. NMAP 은 Port Scanning 툴로서호스트나네트워크를스캐닝할때, 아주유용한시스템보안툴인동시에, 해커에게는강력한해킹툴로사용될수있습니다. 서버를운영하다보면관리자스스로도어떤포트가열려있고, 또어떤서비스가제공중인지잘모를때가있습니다. 기억력이나빠서나, 게을러서가아니라필요에의해자주변경되므로수시로파악해서기록해두지않으면잊어버리게됩니다. 또크래킹에의해생성된백도어는파악하기가어렵습니다. 수많은포트와서비스를효과적으로체크해서관리하기위해서 NMAP과같은포트스캔툴이필요합니다. NMAP 은기존의포트스캔툴에비해다양한옵션과방화벽안쪽의네트웍도스캔할수있는강력한기능이있습니다. 컴퓨터바이러스해킹론 Report 17-2

2. NMap 의설치 사전준비 다운로드홈페이지 : http://www.insecure.org/nmap 다운받은파일을실행하면압축해제됩니다. 압축해제된두개의실행파일중, Winpcap.exe 를먼저실행한후, nmapwin_1.3.1.exe 를실행해야정상적으로동작합니다. 그림 1 설치초기화면 그림 2 설치중간화면 컴퓨터바이러스해킹론 Report 17-3

중간과정생략... 그림 3 설치완료화면 컴퓨터바이러스해킹론 Report 17-4

3. NMap 의실행 설치완료후시작 -> 프로그램 ->NMapWin 메뉴에서 NMapWin 을누르면실행된다. 그림 5 시작메뉴 그림 6 초기실행화면 컴퓨터바이러스해킹론 Report 17-5

Nmap의초기실행화면이다. 간단한사용법은쉬운편이다. 모두기본값을사용하면된다. 기본값이마음이안들어서바꾸는것이바로옵션이다. 기본값은디폴트라부르고그이름을부르는이유가있는것이다. 해당프로그램의용도에가장적합하다는것을기본값으로실행하게한것이기때문이다. 단지 Host부분에 IP주소나도메인명 ( 호스트명 ) 을기록한연후에 Scan" 버튼만눌러주면 하단의 Output 창에결과물이나오는것이다. 그림 8 디폴트실행결과화면 컴퓨터바이러스해킹론 Report 17-6

4. NMap 의활용법 가. Scan Mode 및 Scan Options 그림 9 Scan Mode 및 Options 선택화면 - 주로사용하는 Mode로는아래와같은것이있다 Connect : 일반적인 TCP 포트스캐닝 SYN Stealth : 이른바 'half-open' 스캔으로추적이어렵다 Ping Sweep : ping 을이용한일반적인스캔. UDP Scan : UDP 포트스캐닝 - 이중에서도 SYN Stealth 가가장많이사용되므로이를알아보자 SYN 이란것은 TCP 에서 3 단계접속을한다. 맨처음나랑놀자라는접속시도가바로 SYS 이라는플래그를세팅한패킷을날 컴퓨터바이러스해킹론 Report 17-7

리는것이다. 대충설명하면패킷에는소스주소 / 대상주소 / 플래그 / 옵션 / 데이터이 런식의구조이다. 대상주소로라우터를거쳐서찾아가는 ( 라우팅 ) 것과찾아가서 무엇을할지 ( 플래그 ) 와되돌려보낼자료 ( 소스주소 ) 로구성되는것이다. 플래그에서는 SYN / ACK /NAK /RST / FIN 등이있다. SYN은동기화시도 / ACK는통지신호 / NAK는통지를못받았다 / RST 못받았으니다시보내라 / FIN 끝났다등인것이다. 이외에도순차번호라는것을기준으로한다. 이순차번호가바로해커들이노리는것이다. 그중에서도캐빈미트닉이사용해서유명한것이다. 순차번호는난수기반으로알수없다. 하지만예측해서소스 / 데스티네이션 / 플래그 / 데이터 + 정상적인순차번호만세팅해서패킷을자기한테로오게만드는것이다. 이게바로세션하이재킹이다. SYN->ACK->SEQ+ACK라는 3단계접속을하게된다. 스텔스스캔이라고생각하면된다. - 우측의 Scan Options에대한설명 Port Range : 대상호스트의특정포트를스캔하거나, 스캔할포트의범위를지정한다.. ex) 1-1024 포트번호는 16bit를할당한다. 즉, 1-165535번포트까지있는것이다. NMap 의기본값은모조리접속해보는것이다...( 너무시간이많이걸린다.) 1024 포트이하는루트포트혹은알려진포트이므로주로검색대상은 1024 보다아래일것이다. 보통 1-200정도로줘도 ftp / telnet / ssh / smtp / pop3 / imap / http 등의서비스를알수있다. Use Decoy : Decoy 기능으로대상호스트에게스캔을실행한호스트의주소를 속인다. Source Address : 원본주소를수정한다 ( 추적방지 ) NMap 이워낙유명해서유닉스계열에서는 PortSentery 라는프로그램이있다. 컴퓨터바이러스해킹론 Report 17-8

별게아니다. 스캐닝이감지되면스캐닝의패킷을분석해서소스주소를 /etc/hosts.deny 라는파일에기록해서접근자체를막는것이다. 그럼원본주소를고치면? 그래서 Source Address라는게존재하고 WinCap 이라는패킷드라이버를설치한것이다. 이와같이해킹도구이지관리도구인지를결정하는것은본인자신이다. 나. Discover 그림 10 Discover 선택화면 컴퓨터바이러스해킹론 Report 17-9

구분설명 Don't Ping TCP Ping ICMP Ping TCP+ICMP 대상호스트에대한 ping 응답을요청하지않음 log 기록과 filtering 을피할수있다일반적이 ICMP ping이아닌 ACK 패킷으로 ping 을보내고 RST 패킷으로응답을받는다. 일반적인 ICMP ping 으로방화벽이나필터링에의해걸러진다 ping 을할때 ICMP ping 과 TCP ping을동시에이용한다 다. Options 그림 11 Options 선택화면 컴퓨터바이러스해킹론 Report 17-10

구분설명 Get Identd Info TCP 프로세서의 identd 정보를가져온다. Resolve all IP 와이름의매칭을뜻한다. 또한포트번호와서비스또한 리졸빙을한다. 뭔가매칭을시켜주는것을리졸버라고 부른다. 인터넷은도메인 =IP 이므로 DNS 라고부른것이다. OS Detection Data 디렉토리의 os-fingerprints 파일을사용하지않는다. 그러므로 OS 는통밥으로해야한다. 하지만 NMap 의 주장점이 OS 탐지이므로기본값에체크인되어있다. Fast Scan 1-65535 무식하게스캐닝하는것이아니고 service 에근거한포트만을검색하는옵션이다. 무슨말인가하면, 만약에서버에 21번포트에서 FTP접속을기다리다가클라이언트가접속하게되면서버측에서 21번포트로는통신하지않는다. 그렇게되면다른사용자가오지못하게되지않겠는가... 그래서로컬포트를열어서그포트와클라이언트포트를짝지워주게되며, 21번포트는다시대기하는것이다. 그래서 Nmap의무식한모조리옵션으로스캔하게된다면로컬생성포트도검색하게해서혼란스러울것이다. 그래서 FastSCan이라는옵션은 Data 디렉토리의 Service파일에근거해서유명한포트를검색하는것이다. 컴퓨터바이러스해킹론 Report 17-11

5. NMap 의원리 Nmap의강력함은어디에서나오는것일까? 바로데이터파일이뒷받침해주기때문이다. 기본적으로설치한상태라면 c:\program files\nmapwin이라는곳에설치가되었을것이다. 해당폴더에는 bin / data / log / help 라는폴더가존재한다. 그림 12 NMapWin 의폴더구성 bin은 binary라는뜻으로실행파일이들어있다. 단지 3개가들어있을것이다. nmap 프로그램과서비스로등록시켜주는서비스관리프로그램이그것일것이다. 해당원리는이렇다. nmap For Win이라는 FrontEnd 프로그램에서데이터를입력받아서커맨드툴인 nmap.exe에게넘겨준후 Data 디렉토리의각종데이터파일에근거하여탐지 (Detection) 를실행하는것이다. Nmap은유닉스나윈도우에서동일하게해당시스템의포트별로 7단계의접속을통해서해당시스템및서비스를탐지하는것이다. 즉, 데이터디렉토리의파일을유심히살펴보면네트워크에대한지식이늘어날것이다. 특히 service파일은윈도우의 service파일보다더자세하게나온다. 해당포트에대한설명이다. 컴퓨터바이러스해킹론 Report 17-12

다음은 nmap-services 파일의내용중 1-50 포트까지의내용을기술하였다. 컴퓨터바이러스해킹론 Report 17-13

# This list of services is from the # Nmap security scanner ( http://www.insecure.org/nmap/ ) # # For a HUGE list of services (including these and others), # see http://www.graffiti.com/services tcpmux 1/tcp # TCP Port Service Multiplexer [rfc-1078] tcpmux 1/udp # TCP Port Service Multiplexer compressnet 2/tcp # Management Utility compressnet 2/udp # Management Utility compressnet 3/tcp # Compression Process compressnet 3/udp # Compression Process rje 5/tcp # Remote Job Entry rje 5/udp # Remote Job Entry echo 7/tcp # echo 7/udp # discard 9/tcp # sink null discard 9/udp # sink null systat 11/tcp # Active Users systat 11/udp # Active Users daytime 13/tcp # daytime 13/udp # netstat 15/tcp # qotd 17/tcp # Quote of the Day qotd 17/udp # Quote of the Day msp 18/tcp # Message Send Protocol msp 18/udp # Message Send Protocol chargen 19/tcp # ttytst source Character Generator chargen 19/udp # ttytst source Character Generator 컴퓨터바이러스해킹론 Report 17-14

Data 디렉토리에서 NMap-OS-FingerPrints 파일중에서 Windows XP Home Edition 은아래와같이작성되어있다. # TEST DESCRIPTION: # Tseq is the TCP sequenceability test # T1 is a SYN packet with a bunch of TCP options to open port # T2 is a NULL packet w/options to open port # T3 is a SYN FIN URG PSH packet w/options to open port # T4 is an ACK to open port w/options # T5 is a SYN to closed port w/options # T6 is an ACK to closed port w/options # T7 is a FIN PSH URG to a closed port w/options # PU is a UDP packet to a closed port Fingerprint Windows XP Home Edition TSeq(Class=RI%gcd=<6%SI=<23C4E&>330%IPID=I%TS=U) T1(DF=Y%W=F424%ACK=S++%Flags=AS%Ops=MNW) T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=Y%W=F424%ACK=S++%Flags=AS%Ops=MNW) T4(DF=N%W=0%ACK=O%Flags=AR%Ops=) T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(DF=N%W=0%ACK=O%Flags=AR%Ops=) T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E %ULEN=134%DAT=E) < NMap-OS-FingerPrints 파일 > OS-FingerPrints 파일은 OS 지문정도로해석되지만보안에서는 OS 탐지와같은 조사하는것을핑거프린팅한다고말한다. 컴퓨터바이러스해킹론 Report 17-15

핑거프린팅이외에도포트를막거나시스템을막는것을필터링한다고하며, 다른말 로는스크리닝이라고한다. 즉, 모두리스트파일 ( 규칙 ) 을근거로통과시킬지말 지를결정하는것이보안의관건이다. 프로토콜과서비스파일 NMap은 21번포트를스캐닝할때는 TCP/IP 3단계접속방식에근거해서 7단계접속을시도하고, 프로토콜파일에서 TCP임을알아내고, 서비스파일에서 FTP임을알아내는식이다. # This list of protocols is distributed with the # Nmap Security Scanner ( http://www.insecure.org/nmap/ ) # # This was created by Gerhard Rieger - privat <rieger@iue.tuwien.ac.at> # based on IANA docs per 2000/05/28. Gerhard was the initial author of # the Nmap IP protocol scanning code. hopopt 0 HOPOPT # IPv6 Hop-by-Hop Option icmp 1 ICMP # Internet Control Message igmp 2 IGMP # Internet Group Management ggp 3 GGP # Gateway-to-Gateway ip 4 IP # IP in IP (encapsulation) st 5 ST # Stream tcp 6 TCP # Transmission Control cbt 7 CBT # CBT egp 8 EGP # Exterior Gateway Protocol igp 9 IGP # any private interior gateway bbn-rcc-mon 10 BBN-RCC-MON # BBN RCC Monitoring < NMap-protocols 파일 > 컴퓨터바이러스해킹론 Report 17-16

6. 맺음말 이상으로 NMap 에대한것을몇가지예를통해사용법을알아보았습니다. 가장자세한설명은제작사의홈페이지의 Document 부분을참고바랍니다. NMap 툴을사용함에있어주의할사항은자신이직접관리하지않는, 호스트나네트웍에서테스트를하는것은아주무례한행동이며, 관리가엄격한사이트의경우접속제한은당하는경우도있으므로바람직하지않은방법으로사용하는일이없길바랍니다. 컴퓨터바이러스해킹론 Report 17-17