풋프린팅과 스캐닝

풋프린팅(Footprinting)이란, 사회공학을 통해 공격 대상의 정보를 모은 방법이다. 여기서 사회 공학이란, 전화를 통해 시스템 관리자 또는 사내 관리직임을 빙자하여 패스워드를 얻어내는 등 비기술적인 방법으로 정보를 얻어내는 것이다. 

효과적인 풋프린팅을 위한 기술

스캔(scan)은 서비스를 제공하는 서버의 작동 여부와 서버가 제공하는 서비스를 확인하기 위한 것이다. 스캔(Scan)은 방화벽과 IDS(침입 탐지 시스템)를 우회하기 위해 발전했으며, 종류가 다양하다. 

1. ICMP를 이용한 시스템 스캔

ping은 네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 간단한 유틸리티인데, ICMP를 사용하며 TCP/IP 네트워크에서 사용된다. 

ICMP를 이용해 공격 대상 시스템의 활성화 여부를 알아보는 방법

1. Echo Request, Echo Reply를 이용한 방법

2. Timestamp Request, Timestamp Reply를 이용한 방법

3. Information Request, Information Reply를 이용한 방법

4. ICMP Address Mask Request와 ICMP Address Mask Reply를 이용한 방법 

2. TCP 스캔

1. TCP Open Scan : 열린 포트에 대해 완전한 세션을 성립시킴으로써 포트의 활성화 상태를 파악

2. TCP Half Open Scan : 열린 포트에 대해 세션을 성립시키지 않고 SYN 패킷만 보내 포트의 활성화 상태를 파악

3. TCP fragmentation Scan : TCP 헤더를 두 패킷으로 나누어 보내, 방화벽을 통과시키는 방법

3. 시간차 스캔

- Paranoid : 5분~10분 간격으로 패킷을 하나씩 보냄

- Sneaky : WAN에서는 15초 단위로, LAN에서는 5초 단위로 패킷을 보냄

- Polite : 0.4초 단위로 패킷을 보냄

- Normal : 정상

- Aggressive : 호스트에 대한 최대 타임아웃은 5분, 패킷 당 1.25초 까지 응답 기다림

운영체제 탐지

운영체제별로 ping, TCP ,UDP에 대해 각각 조금씩 다른 프로토콜 특성을 보인다. 

배너 그래빙 (Banner Grabbing ; Telnet 처럼 원격지 시스템에 로그인하면 뜨는 안내문을 배너라고 하는데, 배너 그래빙은 배너를 확인하는 기술)도 운영체제를 탐지하는 한 가지 방법이 될 수 있다.

방화벽 탐지

방화벽은 traceroute를 통해서 그 위치를 파악할 수 있다. 또한 방화벽과 IDS는 종류에 따라 특정 포트가 관리하기 위해 열린 경우가 많아, 해당 종류를 파악할 수 있다.

firewalk는 방화벽으로 예측되는 시스템보다 1이 큰 TTL 값으로 여러 포트에 패킷을 보내 돌아오는 패킷의 여부를 확인함으로써 패킷 필터링 규칙을 추측한다.