NmapÀ» ÀÌ¿ëÇÑ ³×Æ®¿öÅ© ½ºÄ³´×°ú ¹æ¾îÇϱâ
(Scanning and Defending Networks with Nmap)

¹ø¿ª : À̱¹Çö / errai@hitel.net
¿ø¹® http://www.linuxsecurity.com/feature_stories/feature_story-4.html

 

     

    ÃÖ±Ù µé¾î ÀÎÅÍ³Ý Ä§ÀÔ»ç°í¿¡ °üÇÑ À̾߱âµéÀÌ ¾ð·Ð¿¡ ¸¹ÀÌ ¼Ò°³µÇ°í ÀÖ´Ù. ÇÏÁö¸¸ ±â»ç¸¦ º¸¸é °£´ÜÇÑ ÄÄÇ»ÅÍ Á¶ÀÛ¸¸À¸·Î ½Å±âÇÏ°Ô ½Ã½ºÅÛ Á¢±Ù±ÇÇÑÀ» ¾ò¾î³»´Â, ¿µ¸®ÇÑ µµµÏÀÇ À̾߱â Á¤µµ·Î °úÀåÇÏ°í ÀÖ´Ù. ±×·¯³ª ½ÇÁ¦·Î °£´ÜÇÑ ¹æ¹ýÀº °ÅÀÇ ¾ø´Ù. ÇÑ ÄÄÇ»ÅÍ ½Ã½ºÅÛÀ» Å©·¡Å·Çϱâ À§Çؼ­´Â ¿ì¼± °èȹÀÌ ÇÊ¿äÇÏ´Ù. Å©·¡Ä¿´Â ¸ñÇ¥·Î ÇÏ´Â ¼­¹ö¸¦ ã¾Æ¾ß ÇÏ°í, ±× ´ÙÀ½¿¡ ¸Ó½Å¿¡ ¾î¶² port°¡ ¿­·ÁÀÖ´ÂÁö, ½Ã½ºÅÛÀÌ ¹®Á¦¸¦ ÇØ°áÇϱâ Àü¿¡ ã¾Æ¾ß ÇÑ´Ù.

    ÀÌ°ÍÀº ÀϹÝÀûÀ¸·Î ½ºÄ³´×À̶ó°í ÇÏ´Â °ÍÀ¸·Î, ½ºÄ³´×À» ÅëÇÏ¿© ³×Æ®¿öÅ©»ó¿¡ ÀÖ´Â ¸Ó½ÅÀ» ã°í, ¹«½¼ port°¡ ¿­·ÁÀִ°¡¸¦ º¸±â À§ÇØ ±× ¸Ó½ÅµéÀ» Å×½ºÆ®ÇÏ´Â ÀÛ¾÷(art)À» ÇÏ°Ô µÈ´Ù. Å©·¡Ä¿°¡ °ø°ÝÀ» ½ÃÀÛÇϱâ Àü ù¹ø° Àü·«Àº ¹Ù·Î ³×Æ®¿öÅ©¿Í È£½ºÆ®µéÀ» ½ºÄ³´×ÇÏ´Â °ÍÀÌ´Ù. Nmap°ú °°Àº ÅøÀ» ÀÌ¿ëÇÑ ½ºÄ³³Êµé Áï, ¡°³ª»Û ³ðµé(bad guys)¡±Àº ³×Æ®¿öÅ©¸¦ µÑ·¯º¸°í Ãë¾àÇÑ ¸ñÇ¥¸¦ ã´Â´Ù. Çѹø ÀÌ·± ¸ñÇ¥µéÀÌ È®ÀεǸé, ħÀÔÀÚ´Â ¿­¸° port¸¦ ½ºÄµ ÇÒ ¼ö ÀÖ´Ù. NmapÀº ¶ÇÇÑ TCP stack fingerprintingÀ» ÀÌ¿ëÇÏ¿© Á¤È®ÇÏ°Ô ½ºÄµ´çÇÑ ¸Ó½ÅÀÇ Å¸ÀÔÀ» °áÁ¤ÇÒ ¼ö ÀÖ´Ù.

    ÀÌ ¹®¼­´Â °¢°¢ÀÇ ³×Æ®¿öÅ©¿¡ ´ëÇÑ Å©·¡Ä¿ÀÇ ½Ã¾ß¸¦ ÆľÇÇÏ°í, º¸¾È °ü¸®ÀÚ°¡ ÀÚ½ÅÀÇ ½ÎÀÌÆ®¸¦ Á¶»çÇÒ ¼ö ÀÖµµ·Ï , NmapÀÇ »ç¿ë¹ý¿¡ ´ëÇØ ´Ù·ç°í ÀÖ´Ù. ħÀÔÀÚ ¶ÇÇÑ °°Àº ÅøÀ» ÀÌ¿ëÇÏ°í ÀÖÀ¸¹Ç·Î, °ü¸®ÀÚ´Â ±×µéó·³ ÀÚ½ÅÀÇ ½ÎÀÌÆ®°¡ ¾î¶»°Ô º¸ÀÌ´ÂÁö ¾Ë ¼ö ÀÖÀ» °ÍÀÌ´Ù. ÇϳªÇϳª ¼³¸íÇØ ³ª°¡¸é¼­ ¿©·¯ºÐÀÇ ½Ã½ºÅÛº¸¾È¿¡ ÀÌ ¹®¼­°¡ µµ¿òÀÌ µÉ ¼ö ÀÖ±æ ¹Ù¶õ´Ù.

    NmapÀº GNU General Public License(GPL) ¿¡ ¼ÓÇϸç, http://www.insecure.org/nmap ¿¡¼­ ¹«·á·Î ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù. tar·Î ¹­ÀÎ ¼Ò½ºÈ­ÀÏ, ȤÀº rpmÀ¸·Î µÈ °Íµµ ÀÖ´Ù. ÇÊÀÚ°¡ ÀÌ ¹®¼­¸¦ ¾²´Â ½ÃÁ¡¿¡¼­ ¾ÈÁ¤¹öÁ¯Àº 2.12 ÀÌ´Ù. ¾à°£ÀÇ ±×·¡ÇÈÀÌ Ã·°¡µÈ ÇÁ·Î±×·¥µµ ÀÖÁö¸¸, ÀÌ ¹®¼­¿¡¼­´Â command-line¿¡¼­ÀÇ Nmap »ç¿ë¹ý¿¡ ´ëÇؼ­¸¸ ÁßÁ¡À» µÎ°Ú´Ù.

    NmapÀÇ »ç¿ë¹ýÀº ²Ï ´Ü¼øÇÏ´Ù. command-line¿¡¼­ÀÇ NmapÀÇ ¿É¼Ç(flag)Àº -s ¸¦ ºÙÀ̴µ¥ ½ºÄµÀÇ Å¸ÀÔ¿¡ µû¶ó ´Ù¸£´Ù. ¿¹¸¦ µé¾î ping scan¿¡¼­´Â ¡°-sP¡± ÀÌ´Ù. ¿É¼Ç ´ÙÀ½¿¡´Â ¸ñÇ¥ È£½ºÆ® ¶Ç´Â ³×Æ®¿öÅ©¸¦ ¸í½ÃÇØ ÁØ´Ù. NmapÀÇ ¼º´ÉÀº ·çÆ®·Î ½ÇÇàÇßÀ» ¶§ °¡Àå ÃÖ°í°¡ µÈ´Ù. ¿Ö³ÄÇϸé ÀϹÝÀ¯Àú´Â NmapÀÌ È°¿ëÇÏ´Â custom packetÀ» ¸¸µé ¼ö ÀÖ´Â ´É·ÂÀÌ ¾ø±â ¶§¹®ÀÌ´Ù.

    NmapÀº Ÿ°ÙÀ» ¼³Á¤ÇÔ¿¡ ÀÖ¾î ¸Å¿ì À¯¿¬ÇÑ µ¿ÀÛÀ» º¸ÀδÙ. ³×Æ®¿öÅ© ÁÖ¼Ò °ªÀ» ÁöÁ¤ÇÒ ¶§ /mask¸¦ µ¡ºÙ¿©¼­ ½áÁÖ¸é °£´ÜÇÏ°Ô´Â ÇϳªÀÇ È£½ºÆ®, ȤÀº Àüü ³×Æ®¿öÅ©¸¦ ½ºÄµ ÇÒ ¼ö ÀÖ´Ù. ¸¸¾à ¡°victim/24¡± ¶ó°í ¸ñÇ¥¸¦ ÁöÁ¤ÇÑ´Ù¸é ³×Æ®¿öÅ© C class¸¦ °Ë»öÇÏ°í, ¶ÇÇÑ ¡°victim/16¡±À̶ó°í ÇÑ´Ù¸é B class¸¦ °Ë»öÇÏ°Ô µÈ´Ù.

    µ¡ºÙ¿©¼­ NmapÀº wild cards(*)¸¦ ÀÌ¿ëÇÏ¿© ³×Æ®¿öÅ© °Ë»öÀÌ °¡´ÉÇÏ´Ù. ¿¹¸¦ µé¾î 192.168.7.* ´Â 192.168.7.0/24 À̶ó°í ÇßÀ» ¶§¿Í °°Àº °á°ú °ªÀ» ¾òÀ» ¼ö ÀÖ°Ô µÈ´Ù. ȤÀº 192.168.7.1,4,8-12 ¿Í °°ÀÌ subnet¿¡ Àִ ȣ½ºÆ®¸¦ ¼±ÅÃÀûÀ¸·Î ½ºÄµÇÏ´Â °Íµµ °¡´ÉÇÏ´Ù.

 

** Ping Sweeping **

    ħÀÔÀÚµéÀº NmapÀ» °¡Áö°í Àüü³×Æ®¿öÅ©ÀÇ Å¸°Ù µéÀ» ÈȾ ¼ö °¡ ÀÖ´Ù. ÀÌ´Â º¸Åë ¡°-sP¡± ¶ó°í ½áÁÜÀ¸·Î½á ping scanÀ» ÇÏ´Â °ÍÀÌ´Ù. ÀϹÝÀûÀ¸·Î NmapÀº ICMP echo¿Í TCP ACK¸¦ °¢ È£½ºÆ®¿¡ º¸³»¾î °Ë»öÀ» ÇÑ´Ù. ±×·¯¸é NmapÀÌ º¸³½ ÆÐŶ¿¡ ¹ÝÀÀÀ» ÇÑ È£½ºÆ®µéÀÌ ³ªÅ¸³ª°Ô µÈ´Ù.
     

    # nmap -sP 192.168.7.0/24
    Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
    Host  (192.168.7.11) appears to be up.
    Host  (192.168.7.12) appears to be up.
    Host  (192.168.7.76) appears to be up.
    Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second

 

    ¾Æ¸¶µµ ¶§¶§·Î ¿©·¯ºÐÀº ´ÜÁö ICMP echo request¸¦ º¸³¾ ÇÊ¿ä¾øÀÌ ½Ã½ºÅÛÀÌ µ¿ÀÛÇÏ´ÂÁö ¸¸À» ÆľÇÇÏ±æ ¿øÇÒ °ÍÀÌ´Ù. ÀÌ·± °æ¿ì ¸ñÇ¥ ³×Æ®¿öÅ©¸¦ ½ºÄµÇϱâ À§Çؼ­ TCP ¡°ping¡± À» »ç¿ëÇÑ´Ù.

    TCP ¡°ping¡±Àº ¸ñÇ¥ ³×Æ®¿öÅ©ÀÇ °¢°¢ÀÇ ¸Ó½Å¿¡°Ô ACK ¸¦ º¸³½´Ù. °¢ ¸Ó½ÅµéÀº TCP RST¸¦ ÀÌ¿ëÇÏ¿© ÀÀ´äÇÏ°Ô µÈ´Ù. TCP ¡°ping¡±À» ÀÌ¿ëÇÑ ½ºÄµÀ» À§Çؼ­´Â ¡°-PT¡±¶ó´Â ¿É¼ÇÀ» ÷°¡ÇØÁÖ¸é µÈ´Ù. À̹øÀÇ ¿¹Á¦¿¡¼­´Â 80¹ø tcp port(http)¸¦ target port ·Î ÀÌ¿ëÇØ º¸µµ·Ï ÇÏ°Ú´Ù. ÀÌ°ÍÀº ¸ñÇ¥ÀÇ ¶ó¿ìÅÍµé ½ÉÁö¾î firewall Á¶Â÷µµ ¾Æ¸¶ Åë°úÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ÁÖÀÇÇÒ °ÍÀº ¸Ó½ÅÀÌ »ì¾ÆÀÖ´ÂÁö Á×¾îÀÖ´ÂÁö¸¦ °áÁ¤Çϴµ¥ È£½ºÆ®ÀÇ target port°¡ ¿­·ÁÀÖÀ» ÇÊ¿ä°¡ ¾ø´Ù´Â °ÍÀÌ´Ù. ´ÙÀ½¿¡ º¸ÀÌ´Â °ÍÀÌ ½ÇÇàÀÇ ¿¹ÀÌ´Ù.
     

    # nmap -sP -PT80 192.168.7.0/24
    TCP probe port is 80
    Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
    Host  (192.168.7.11) appears to be up.
    Host  (192.168.7.12) appears to be up.
    Host  (192.168.7.76) appears to be up.
    Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second

 

    ħÀÔÀÚµéÀº ¸ñÇ¥ ³×Æ®¿öÅ©ÀÇ ¸Ó½ÅÀÌ »ì¾ÆÀÖ´ÂÁö ¾Ë ¶§, À¸·¹ ´ÙÀ½ ´Ü°è·Î port scanningÀ» ÇÑ´Ù.

    port scanningÀÇ ¿©·¯°¡Áö ŸÀÔµéÀÌ NmapÀ» ÅëÇØ Á¦°øµÈ´Ù.( Tcp connect, Tcp SYN, Stealth FIN, Xmas Tree, Null, UDP scanµî )

 

** Port Scanning **

    NmapÀº connect() system callÀ» ÀÌ¿ëÇØ ¸ñÇ¥ È£½ºÆ®ÀÇ ÁöÁ¤ÇÑ port¿¡ Á¢¼ÓÀ» ÇÏ°í, TCP ÀÇ 3-way handshake¸¦ ¿Ï°á Áþ±â ¶§¹®¿¡ TCP Á¢¼ÓÀ» ÀÌ¿ëÇÑ Ä§ÀÔÀÚ´Â ½±°Ô ŽÁöµÈ´Ù. È£½ºÆ® ¸Ó½ÅÀÇ Log±â·Ïµé¿¡ ħÀÔÀÚ¿¡ ÀÇÇØ ¿­·ÁÁø portµéÀÌ ³ªÅ¸³¯ °ÍÀÌ´Ù. TCP connect scanÀº ¡°-sT¡± flag¸¦ ÀÌ¿ëÇÏ¿© »ç¿ëÇÑ´Ù.
     

    # nmap -sT 192.168.7.12
    Starting nmap V. 2.12 by Fyodor
    (fyodor@dhp.com, www.insecure.org/nmap/)
    Interesting ports on (192.168.7.12):
    Port    State       Protocol    Service
    7        open        tcp        echo
    9        open        tcp        discard
    13      open        tcp        daytime
    19      open        tcp        chargen
    21      open        tcp        ftp
    ...
    Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds

 

** Stealth Scanning **

    ¸¸¾à °ø°ÝÀÚ°¡ ¸ñÇ¥ ¸Ó½ÅÀÇ ½Ã½ºÅÛ ·Î±× ±â·Ï¿¡ ±×°¡ ¿äûÇÑ °ÍµéÀ» ³²±âÁö ¾Ê°í ½ºÄµÇÏ±æ ¿øÇÑ´Ù¸é ¹«¾ùÀ» ÇØ¾ß ÇÒ±î? TCP SYN scans´Â ¸ñÇ¥ ¸Ó½Å¿¡ log±â·ÏÀ» °ÅÀÇ ³²±âÁö ¾Ê´Â´Ù. SYN scanÀº TCP ¿¬°á°æ·ÎÀÇ Ã¹¹ø° ÆÐŶÀ¸·Î SYN packet À» º¸³¿À¸·Î½á ½ÃÀÛÇÑ´Ù. ¿­¸° portµéÀº SYN|ACK ·Î ÀÀ´äÀ» ÇÒ °ÍÀÌ´Ù. ±×·¯³ª À̶§ °ø°ÝÀÚ°¡ ACK´ë½Å RST¸¦ Àü¼ÛÇÏ¸é ¿¬°áÀº Á¾·áµÇ°Ô µÈ´Ù. ÀåÁ¡Àº 3-way handshake°¡ Àý´ë ¿Ï¼ºµÇÁö ¾Ê´Â´Ù´Â °Í°ú ÀÌ·± ŸÀÔÀÇ ·Î±× ±â·ÏÀ» ³²±â´Â ½ÎÀÌÆ®´Â °ÅÀÇ ¾ø´Ù´Â °ÍÀÌ´Ù. ÇÑÆí ´ÝÇôÀÖ´Â portµéÀº RST¿Í ÇÔ²² óÀ½ÀÇ SYN¿¡ ÀÀ´äÇÒ °ÍÀÌ°í NmapÀº ±× È£½ºÆ®ÀÇ port°¡ ´ÝÇô ÀÖ´Ù´Â °ÍÀ» °áÁ¤ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. SYN scanÀº ¡°-sS¡± flag¸¦ ÀÌ¿ëÇÏ¿© ½ÇÇàÇÑ´Ù.
     

    # nmap -sS 192.168.7.7
    Starting nmap V. 2.12 by Fyodor
    (fyodor@dhp.com, www.insecure.org/nmap/)
    Interesting ports on saturnlink.nac.net
    (192.168.7.7):
    Port    State       Protocol  Service
    21      open        tcp        ftp
    25      open        tcp        smtp
    53      open        tcp        domain
    80      open        tcp        http
    ...
    Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

 

    ºñ·Ï SYN scanÀÌ ´õ ¾Ë¾Æç ¼ö ¾øÀ»Áö¶óµµ, ¸î °¡Áö ħÀÓ Å½Áö ´ëÃ¥µéÀ» ÀÌ¿ëÇÏ¿© ŽÁöÇØ ³¾ ¼ö ÀÖ´Ù. Stealth FIN, Xmas Tree, ±×¸®°í Null scanµéÀº packet filter³ª firewallµéÀ» ÇÇÇϴµ¥ »ç¿ëµÇ¾îÁø´Ù. ÀÌ·± 3°¡Áö ½ºÄµµéÀº ´ÝÈù portµéÀ» À§ÇØ RST¸¦ ¸®ÅÏÇÏ°í, ¿­¸° Æ÷Æ®µéÀº packet¸¦ ¹ö¸°´Ù. FIN ¡°-sF¡± ½ºÄµÀº FIN packetÀ» °¢°¢ÀÇ port·Î º¸³¾ °ÍÀÌ°í, ÇÑÆí Xmas Tree scan ¡°-sX¡±´Â FIN, URG, PUSH flag¸¦ ¸ðµÎ ÄÒ´Ù. ±×¸®°í Null scan ¡°-sN¡±Àº ¸ðµç flag¸¦ ²ö´Ù.
    TCP Ç¥Áص鿡 Miscrosoft´Â ¼øÁ¾ÇÏ°í ÀÖÁö ¾Ê±â ¶§¹®¿¡ FIN, Xmas Tree, ±×¸®°í Null scanÀº ¿ÀÁ÷ Miscrosoft ¿î¿µÃ¼Á¦°¡ ¾Æ´Ñ °æ¿ì¿¡¼­¸¸ ¿µÇâÀ» ¹ßÈÖÇÑ´Ù.

 

** UDP Scanning **

    ¸¸¾à ħÀÔÀÚ°¡ exploit(¿ªÀÚ ÁÖ: Å©·¡Ä¿µéÀÌ ½Ã½ºÅÛÀ» ħÀÔÇϱâ À§ÇØ »ç¿ëÇϴ ƯÁ¤ÇÑ ÇÁ·Î±×·¥µéÀ» ÁöĪÇÔ )¸¦ À§ÇØ Æ¯Á¤ rpcbind holeÀ̳ª cDc Back Orifice °°Àº UDP holeÀ» ã´Â´Ù¸é, ±×/±×³à´Â ¾î¶² UDP port°¡ ¿­·ÁÀÖ´ÂÁö ¾Ë±â¸¦ ¿øÇÒ °ÍÀÌ´Ù.
    ħÀÔÀÚ´Â UDP scan ¡°-sU¡± ¸¦ »ç¿ëÇÏ¿© È£½ºÆ®¿¡ ¾î¶² UDP port°¡ ¿­·ÁÀÖ´ÂÁö ¾Ë ¼ö ÀÖ´Ù. ¸¸¾à È£½ºÆ®¿¡¼­ ¡°port unreachable¡± ¸Þ¼¼Áö¸¦ ¸®ÅÏÇÏ¸é ±× Æ÷Æ®´Â ´ÝÇôÀÖ´Â °ÍÀ¸·Î °£ÁֵȴÙ. ´ëºÎºÐÀÇ UNIX È£½ºÆ®µéÀº ICMP ¿¡·¯ÀÇ ºñÀ²À» Á¦ÇÑÇÏ°í Àֱ⠶§¹®¿¡ ÀÌ·± ¹æ¹ýÀº ½Ã°£À» ¸¹ÀÌ ¼ÒºñÇÏ°Ô µÈ´Ù. ´ÙÇàÈ÷µµ  NmapÀº ÀÌ·± ºñÀ²À» ŽÁöÇÏ°í ±× ÀÚ½ÅÀÇ ¼Óµµ¸¦ ³·Ãß¾î °ÅºÎÇßÀ» ¶§ÀÇ ¸Þ½ÃÁö·Î ÀÎÇØ ¸ñÇ¥°¡ ¿À¹öÇÃ·Î¾î µÇÁö ¾Êµµ·Ï ÇÑ´Ù. ´ÙÀ½Àº UDP scanÀÇ ½ÇÇà°á°úÀÌ´Ù.
     

    # nmap -sU 192.168.7.7
    WARNING:  -sU is now UDP scan -- for TCP FIN scan use -sF
    Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
    Interesting ports on saturnlink.nac.net (192.168.7.7):
    Port    State       Protocol     Service
    53       open        udp         domain
    111     open        udp          sunrpc
    123     open        udp          ntp
    137     open        udp          netbios-ns
    138     open        udp          netbios-dgm
    177     open        udp          xdmcp
    1024   open        udp          unknown
    Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

 

** OS Fingerprinting

    Á¾Á¾ ħÀÔÀڴ ƯÁ¤ÇÑ Ç÷§Æû¿¡¼­¸¸ ½ÇÇàµÇ´Â exploit¸¦ ½ÇÇàÇϱâ À§ÇØ ±×¿Í À¯»çÇÑ ¿î¿µÃ¼Á¦¸¦ ãÀ» °ÍÀÌ´Ù. ÀϹÝÀûÀ¸·Î TCP/IP fingerprintingÀº ¡°-O¡± ¿É¼ÇÀ» Æ÷ÇÔÇÏ¿© ¿ø°ÝÀ¸·Î ¿î¿µÃ¼Á¦¸¦ ŽÁöÇس½´Ù. ÀÌ°ÍÀº ping scanÀ» Á¦¿ÜÇÑ port scan°ú °áÇÕÇÏ¿© »ç¿ëÇؾ߸¸ ÇÑ´Ù. NmapÀº È£½ºÆ®¿¡ ´Ù¸¥ ŸÀÔÀÇ Á¶»ç¸¦ ÇàÇÏ¿© OS¸¦ ã¾Æ³½´Ù. ¿ø°ÝÀ¸·Î OS¸¦ ŽÁöÇس»±â À§ÇÑ ´Ù¸¥ ¹æ¹ý°ú ¸¶Âù°¡Áö·Î ICP initial Sequence Number(ISN)ÀÇ ÆÐÅÏÀ» ã±â À§ÇØ SYN packet°ú ÇÔ²² ¼±¾ðÇÏÁö ¾ÊÀº flag¸¦ ¸®¸ðÆ® È£½ºÆ®·Î º¸³»°í, BOGUS flag´Â ¿ø°Ý È£½ºÆ®ÀÇ ±× ¹ÝÀÀÀÌ ¾î¶² Á¾·ùÀΰ¡¸¦ ÀÔÁõÇϱâ À§ÇØ FIN Á¶»ç°°Àº ±â´ÉÀ» »ç¿ëÇÑ´Ù. ±×°ÍÀº TCP stack¿¡¼­ Æ÷ÇÔÇÏ°í ÀÖ°í À̸¦ Fingerprinting ÇÏ°Ô µÈ´Ù. º» ¹®¼­¿¡¼­ stack fingerprinting ±îÁö ³íÀÇÇÏ´Â °ÍÀº ÇÑ°è°¡ ÀÖÀ¸¹Ç·Î °ü½ÉÀÌ ÀÖ´Â »ç¶÷Àº NmapÀÇ ÀúÀÚÀÎ Fyodor¿¡ ÀÇÇØ ¾²¿©Áø ¹®¼­¸¦ ã¾Æº¸±â ¹Ù¶õ´Ù. (http://www.insecure.org/nmap/nmap-fingerprinting-article.html )

    NmapÀÇ OS ŽÁö±â´ÉÀÇ Æ¯Â¡Àº ¸Å¿ì Á¤È®Çϸç, SYN scanÀ» Æ÷ÇÔÇÏ¿© ¼Ö¶ó¸®½º 2.7 ¸Ó½ÅÀÇ stackÀ» fingerprin-ting Çؼ­ Áõ¸íÇÏ´Â °Í°ú °°Àº ÀÏ¿¡ È¿°úÀûÀÎ µµ±¸ÀÌ´Ù.
     

    # nmap -sS -O 192.168.7.12
    Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
    Interesting ports on comet (192.168.7.12):
    Port    State       Protocol  Service
    7        open        tcp         echo
    9        open        tcp         discard
    13      open        tcp         daytime
    19      open        tcp         chargen
    21      open        tcp         ftp
    ...
    TCP Sequence Prediction: Class=random positive increments
                             Difficulty=17818 (Worthy challenge)
    Remote operating system guess: Solaris 2.6 - 2.7
    Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

 

    TCP Sequence Prediction ºÎºÐÀ» ÁÖÀÇÇؼ­ º¸±â ¹Ù¶õ´Ù. -O ¿É¼ÇÀ» ÁÖ¾î NmapÀ» ½ÇÇà½ÃÅ°°Ô µÇ¸é TCP Sequence PredictionÀÌ ¾ó¸¶³ª ¾î·Á¿îÁöµµ ¾Ë·ÁÁØ´Ù. ÀÌ°ÍÀº ħÀÔÀÚ°¡ È£½ºÆ®ÀÇ °ø°ÝÇÒ ¼ö ÀÖ´Â À§Ç輺¿¡ ´ëÇÑ Á¤µµ·Î½á ¾ó¸¶³ª ħÀÔÇÒ °¡Ä¡°¡ Àִ°¡¸¦ Æ÷ÇÔÇÏ°í Àֱ⵵ ÇÏ´Ù.

 

** Ident Scanning **

    ħÀÔÀÚ´Â Á¾Á¾ root·Î µ¹¾Æ°¡´Â web server¿Í °°Àº ÇÁ·Î¼¼½º¸¦ °ø°Ý ´ë»óÀ¸·Î »ïÀ» ¶§°¡ ÀÖ´Ù. ¸¸¾à ŸÄÏÀÌ identd¸¦ µ¹¸®°í ÀÖ´Ù¸é ħÀÔÀÚ´Â NmapÀ» »ç¿ëÇÏ¿© httpd µ¥¸óÀÌ ¾î¶² ¼ÒÀ¯ÀÚ·Î ½ÇÇàµÇ°í ÀÖ´ÂÁö ã¾Æ³¾ ¼ö ÀÖ´Ù. ÀÌ´Â TCP connect scan¿¡ ¡°-I¡± ¿É¼ÇÀ» Æ÷ÇÔÇÏ¿© ½ÇÇàÇÑ´Ù. ¾Æ·¡¿¡ ÇÑ ¸®´ª½º À¥¼­¹ö¸¦ ½ºÄµ ÇÑ ¿¹°¡ ÀÖ´Ù.
     

    # nmap -sT -p 80 -I -O www.yourserver.com
    Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
    Interesting ports on www.yourserver.com (xxx.xxx.xxx.xxx):
    Port    State       Protocol  Service         Owner
    80      open        tcp        http            root
    TCP Sequence Prediction: Class=random positive increments
                              Difficulty=1140492 (Good luck!)
    Remote operating system guess: Linux 2.1.122 - 2.1.132; 2.2.0-pre1 - 2.2.2
    Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

 

    ¸¸¾à ´ç½ÅÀÇ À¥¼­¹ö°¡ ½Ç¼ö·Î root·Î ½ÇÇàµÇµµ·Ï ¼³Á¤µÇ¾ú´Ù¸é, ´ç½Å¿¡°Ô ȸ»ç¿¡¼­ ¹ã»ø ÀÏÀÌ »ý±æÁöµµ ¸ð¸¥´Ù.

    ·çÆ®·Î ¾ÆÆÄÄ¡¸¦ ½ÇÇà½ÃÅ°´Â °ÍÀº ³ª»Û º¸¾È ½À°üÀÌ´Ù. /etc/inetd.conf ¿¡¼­ auth ºÎºÐÀ» ÁÖ¼® ó¸®Çؼ­ ident ¿äûÀ» ¸·¾ÆµÎ¾î¾ß ÇÑ´Ù. ±×¸®°í inetd¸¦ Àç ½ÇÇà ½ÃŲ´Ù. ident ¿äûÀ» ¸·´Â ´Ù¸¥ ¹æ¹ýÀº ipchains³ª ´Ù¸¥ firewallÀ» ÀÌ¿ëÇÏ¿© ´ç½ÅÀÇ ³×Æ®¿öÅ©¿¡ À庮À» ¼³Ä¡ÇÏ´Â °ÍÀÌ´Ù. ÀÌ°ÍÀº ¾î¶² µ¥¸óÀÌ ´©±¸ÀÇ ¼ÒÀ¯·Î µ¿ÀÛÇÏ´ÂÁö ´ç½ÅÀÇ ½ÎÀÌÆ®¸¦ Á¶»çÇغ¸·Á´Â È£±â½É ¸¹Àº ¹«·ÚÇѵéÀ» ¸·À» ¼ö ÀÖÀ» °ÍÀÌ´Ù.

 

** Options **

    ÀÌ·± scanµé¿¡ µ¡ºÙ¿©¼­ NmapÀÌ Á¦°øÇÏ´Â ¹«¼öÇÑ ¿É¼ÇµéÀ» ¼Ò°³ÇÏ°Ú´Ù. ±× Áß Çϳª°¡ ¡°-PT¡± ÀÌ´Ù. ¿ì¸®´Â ÀÌ¹Ì À§¿¡¼­ ´Ù·ç¾ú´Ù. ÀÌ ¿É¼ÇÀº Ÿ°Ù ¸Ó½ÅÀ̳ª ³×Æ®¿öÅ©ÀÇ ÀϹÝÀûÀ¸·Î filterµÇÁö¾ÊÀº portµéÀ» TCP pingÀ¸·Î Á÷Á¢ ping scanÇÒ ¶§ »ç¿ëµÈ´Ù. À¯¿ëÇÑ ¿É¼ÇÀ¸·Î ¡°-P0¡±°¡ ÀÖ´Ù. NmapÀº port scanÀ» ÇϱâÀü¿¡ TCP ¡°ping¡±°ú 5 ICMP echo ¸ðµÎ¸¦ ÀÌ¿ëÇÏ¿© Ÿ°ÙÀ» ping ÇÒ°ÍÀÌ´Ù. ¸¸¾à ½ÎÀÌÆ®¿¡¼­ ICMP¿Í TCP °Ë»öÀ» ¸·¾Æ ³õ¾ÒÀ» °æ¿ì º¸Åë ½ºÄµµÇÁö ¾ÊÀ» °ÍÀÌ´Ù. ±×·¡¼­ ¡°-P0¡± ¿É¼ÇÀ» ÀÌ¿ëÇϸé óÀ½¿¡ pingÀ» ÇÏÁö ¾Ê°í È£½ºÆ®¸¦ ½ºÄµ Çϵµ·Ï Nmap¿¡¼­ Áö¿øÇÏ°í ÀÖ´Ù.

    ÇÑ°¡Áö, µ¶ÀÚ°¡ Çѹø »ç¿ëÇÏ¸é ½À°üó·³ »ç¿ëÇÏ°Ô µÉ ¿É¼ÇÀÌ ÀÖ´Ù. ¹Ù·Î ¡°-v¡± ÀÚ¼¼ÇÑ ¿É¼ÇÀÌ´Ù. ÀÌ ¿É¼ÇÀº ¸ðµç ½ºÄµÅ¸ÀÔµé°ú ÇÔ²² »ç¿ëÇÒ ¼ö ÀÖ´Ù. ÀÌ ¿É¼ÇÀ» Çѹø ȤÀº µÎ ¹ø »ç¿ëÇؼ­ ŸÄÏ ¸Ó½Å¿¡ °üÇÑ º¸´Ù ´õ ÀÚ¼¼ÇÑ Á¤º¸¸¦ ¾òÀ» ¼ö ÀÖ´Ù.

    ƯÁ¤ÇÑ port¸¦ Ÿ°ÙÀ¸·Î »ï´Â ±â´ÉÀº ¡°-p¡± ¿É¼ÇÀ» ÀÌ¿ëÇÏ¿© ½ÇÇàµÈ´Ù. ¿¹¸¦ µé¾î ħÀÔÀÚ°¡ ´ç½ÅÀÇ À¥¼­¹ö¸¦ ftp(port 21), telnet(port 23), name service(port 53),±×¸®°í http(port 80) ¿¡ °üÇØ Á¶»çÇÏ°í, ¾î¶² OS¸¦ ¾²´ÂÁö ±îÁö ¾Ë±æ ¿øÇÑ´Ù¸é ´ÙÀ½°ú °°Àº SYN scanÀ» ÀÌ¿ëÇÒ °ÍÀÌ´Ù.
     

    # nmap -sS -p 21,23,53,80 -O -v www.yourserver.com

 

    ÀαâÀÖ´Â exploitµéÀÌ ¸ð¾ÆÁ® ÀÖ´Â µ¥ÀÌŸº£À̽ºµé¿¡ ÀÇÇØ, Dz³»±â Å©·¡Ä¿ÀÏÁö¶óµµ ´ç½ÅÀÇ ¸Ó½Å¿¡¼­ ·çÆ®±ÇÇÑÀ» ¾òÀ» ¼ö ÀÖ´Â ¹æ¹ýÀ» °ð Àß Ã£¾Æ³¾ ¼ö ÀÖÀ» °ÍÀÌ´Ù.

 

** °á·Ð **

    ħÀÔÀÚ°¡ NmapÀ» »ç¿ëÇÏ¿© ¾î¶² ÃøÁ¤À» Ç߰ڴ°¡? Scanlogd, Courtney, ±×¸®°í Shadow¿Í °°Àº ¼ö¸¹Àº Åø µéÀÌ Á¸ÀçÇÑ´Ù. ±×·¯³ª ÀÌ·± ÅøÀ» »ç¿ëÇÏ´Â °ÍÀÌ ½Ç¹«¿¡¼­ ÀÏÇÏ´Â °ü¸®ÀÚµéÀÇ Áö½ÄÀ» ´ë½ÅÇÒ ¼ø ¾ø´Ù. ½ºÄµÀº Á¾Á¾ ħÀÔÀÇ ÀüÁ¶·Î ³ªÅ¸³ª±â ¶§¹®¿¡ ½ÎÀÌÆ®µéÀº ±×µéÀÇ ¸Ó½Å¿¡ ´ëÇØ °¨½Ã¿Í Á¦¾î¸¦ ¿ì¼±½ÃÇØ¾ß ÇÑ´Ù.

    NmapÀ» ÀÌ¿ëÇØ °¢ÀÚÀÇ ½ÎÀÌÆ®¸¦ °¨½ÃÇÔÀ¸·Î½á, ½Ã½ºÅÛ°ú ³×Æ®¿öÅ© °ü¸®ÀÚµéÀº ÀáÀçÀûÀΠħÀÔÀÚµéÀÌ ´ç½ÅÀÇ ½ÎÀÌÆ®¸¦ Á¶»çÇÏ´Â °ÍµéÀ» ¹ß°ßÇÒ ¼ö ÀÖ´Ù. ÀÚ..ÀÌÁ¦ ´ç½ÅÀÇ ¶ó¿ìÅÍµé ±¸¼®¿¡ Nmap°ú ÇÔ²² ¸®´ª½º¹Ú½º¸¦ ¼³Ä¡ÇÏ°í, Æë±Ï ±º´ÜÀÇ Çϳª·Î½á ½ºÄ³´×À» ½ÃÀÛÇÏÀÚ!

    À̱¹Çö´ÔÀº ¼þ½Ç´ë ÄÄÇ»ÅÍÇкο¡ ÀçÇÐ ÁßÀÌ¸ç ¼þ½Ç´ë ÆÄ¿ö¸®´ª½º À¯Àú¸ðÀÓ (SPLUG) ¿¡¼­ È°µ¿ÇÏ°í ÀÖ½À´Ï´Ù .




¡ã top

homeÀ¸·Î...