네트워크를 스캔하기 위해서 사용하는 많은 툴이 있다(hping계열이나 이 동네 탑인 nmap같이) 이 툴들의 목적은 호스트의 정보수집(reconnaissance)인데, 사용하는 방법은 정말 여러가지가 있다. 대표적인 스캐닝 방법으로는 TCP-SCAN이나 NULL SCAN 등이 있겠다. 이번 포스팅에서는 조금 독특한 스캐닝 방법을 소개하고자 한다.
IDLE SCAN이란
IDLE SCAN은 포트스캐닝의 방법 중 하나로, IP다이어그램에서 순차적으로 증가하는 수인 IPID와 zombie 호스트를 이용해서 대상 단말기의 포트 오픈 여부를 검사하는 스캐닝 방법이다.
IDLE SCAN의 동작과정
아래는 이를 설명한 플로우 차트이다.
* nmap에서는 -sl 옵션으로 idle scanning을 시행할 수 있다.
CEH를 공부하다 발견한 신기한 스캐닝 방법인 거 같다. 참고로 최신으로 OS를 보안패치를 업데이트하면 패킷의 IPID는 난수로 생성되기 때문에 이 IDLE스캔은 동작하지 않는다고 한다. 그러나 아직 업데이트가 적용되지 않는 많은 서버에 이 idle scanning이 유효하다고 한다. 이 방법은 나중에 vm으로 실습 파일에 올려보도록 하겠다.
'정보보안-이론 > XX에 대하여' 카테고리의 다른 글
SLOW HTTP공격에 대하여 (0) | 2021.05.16 |
---|---|
Nmap Option에 대하여 (0) | 2021.05.15 |
N-tier Architecture에 대하여 (0) | 2021.05.15 |
PCI-DSS에 대하여 (0) | 2021.05.14 |
CAM Table에 대하여 (0) | 2021.05.14 |