정보보안기사 _ 네트워크 기본학습 4

@ DHCP (dynamin host configuration protocol)

 - 동적으로 클라이언트의 네트워크 주소를 설정하기 위한 프로토콜
 - 67/udp(server), 68/udp(client) 포트 사용

 1)  명령어
 - ipconfig/release : 할당 받은 IP 주소를 해제한다.
 - ipconfig/renew : 새로운 ip주소를 dhcp 서버로 부터 받는다.

 2) IP 할당 절차
 1. dhcp discover 메시지
 - DHCP서버를 찾기 위한 메시지로 자신의 mac 정보를 담아서 브로드캐스트 한다.
 2. dhcp offer 메시지
 - dhcp 서버가 클라이너트에게 IP정보를 제공해주는 메시지
 3. dhcp request 메시지
 - 해당 IP를 사용하겠다고 서버에게 요청하는 메시지, 서버가 offer메시지를 통해서 주소를 제공하면 바로 설정

하는 것이 아닌 사용하겠다는 메시지를 다시 보낸다.
 4. dhcp ack 메시지
 - 서버는 해당 mac과 IP 정보를 테이블에저장하고 다시 한번 할당된 주소정보를 클라이언트에게 전송해준다. 클

라이언트는 이 메시지를 받고 IP정보를 설정한다.

@ 포트 스캐닝 (port scanning)

 - 어떤 포트가 열려 있는지 확인하는 것으로 취약점을 분석하기 위한 사전 작업중 하나이다.
 - 일반적으로 포트를 스캔할 수 있는 nmap을 사용한다.

1) nmap 사용법
 1. scan type
 - -sS : TCP SYN(half-open) scan
 - -sT : TCP Connect(open) scan
 - -sU : UDP Scan
 - -SF : TCP FIN scan
 - -sX : TCP Xmas scan
 - -sN : TCP Null scan
 - -sA : TCP ACK scan
 - -b : TCP FTP Bounce Scan
 2. Output option
 - -v : 출력 형식을 자세하게
 - -d : Debugging
 3. 기타 Option
 - -O : 대상호스트의 운영체제 정보를 출력
 - -F : 빠른 네트워크 스캐닝
 - T0~T5 : 아주느리게~아주 빠르게

2) TCP Connect (open) 스캔
 - Connect() 함수를 사용해서 각 포트별로 접속을 해서 스캔하는 방식이다.
 - 포트가 열린 상태이면 연결설정이 완료되며 연결 완료 후 RST+ACK를 전송하여 연결을 강제 종료한다.
 - 포트가 닫힌 상태이면 상대방으로 부터 RST+ACK가 전송된다.
 - nmap -T4 -sT -p 1-1023 192.168.8.10(타겟 IP)

 -> 동작 방식
 - 해당 포트가 방화벽에 의해 필터링이 되고 있따면 상대방으로부터 아무런 응답 메시지를 받지 못하거나 ICMP메

시지를 받을 수 있다.
 - 결과는 가장 정확하지만 연결설정을 직접 수행하므로 시스템 로그가 남게 된다.

3) TCP SYN(half-open) 스캔

 - 기본적으로 관리자 권한을 가지고 있어야 SYN 스캔을 할 수 있다. raw 소캣에 접근해서 TCP 프로토콜 헤더의 제어비트

를 설정해야 하기 때문이다.
 - 완전한 연결설정과정을 수행하지 않기 때문에 시스템 로그가 남지 않아 그 흔적을 알수없다는 의미로 Stealth Scan 이

라한다.

 -> 동작방식
 1.open 상태
  - SYN+ACK 응답이 온다. (정상적 연결설정 과정)
  - ack 가 아닌 rst를 보내 강제 종료
  - nmap -T4 -sS -p 23 192.168.159.131
 
 2. Close/Filtered 상태
  - 해당 port가 열려있지 않으면 RST+ACK  응답이온다. : Close 상태
  - 타겟으로 부터 ICMP메시지(필터링에의한)가 오거나 응답이없다 : Filtered 상태
  - nmap -T4 -sS -p 80 192.168.159.131

4) TCP FIN/NULL/Xmas 스캔

1. TCP FIN 스캔

 - 스켈스 스캔으로 TCP Header의 제어비트를 비정상적으로 설정해서 스캔하는 방식이다.
 - TCP 표준의 미묘한 허점을 이용한다. RFC 793에서는 "포트 상태가 Closed라면 요청 세그먼트에 대한 응답으로 RST를

보내게 한다" 라고 명시되어 있다.

 -> 동작방식
 - 연결되어 있지 않는 포스에 FIN 제어비트를 설정한 탐지 패킷을 전송한다.
 - 열려진 포트 : 응답이없음
 - 닫힌 포트 : RST+ACK 응답이 온다.
 - nmap -T4 -sF -p 23,80 192.168.159.131

2. TCP NULL 스캔
 - 연결되어 있지 않은 포트에 제어비트를 아무것도 설정하지 않은 탐지패킷을 전송한다.
 - 열려진 포트 :  응답없음
 - 닫힌 포트 : RST+ACK가 온다.
 - nmap -T4 -sN -p 23,80 192.168.159.131

3. TCP Xmas 스캔
 - 연결되어 있지 않은 포트에 모든 제어비트를 설정한 탐지패킷을 전송한다.
 - 열려진 포트 :  응답없음
 - 닫힌 포트 : RST+ACK가 온다.
 - nmap -T4 -sX -p 23,80 192.168.159.131

5) TCP ACK 스캔
 - 방화벽의 룰셋(필터링 정책)을 테스트하기 위한 스캔
 - ACK flag만 설정해서 보낸다. 방화벽에서 필터링이 된다면 응답이 없거나 ICMP 메시지를 받고 필터링 되지 않으면

RST+ACK를 받는다.
 - 방화벽이 stateful한 필터인지 아니면 단순히 들어오는 syn패킷을 차단하는 필터인지를 점검하는 목적으로 사용된다.

6) UDP 스캔
 - ICMP 메시지를 통해서 UDP 포트의 open 여부를 확인하기 위한 스캐닝 방식이다.
 -> 동작방식
 - 열려진 포트 : 응답없음
 - 닫힌 포트 : ICMP 응답이옴 (type3:destination unreachable, code3:port unreachable) 응답이온다.
 - nmap -T4 -sU -p 53,54 192.168.159.131