포트 스캔(port scan)이란 ?

포트 스캔(port scan)은 운영 중인 서버에서 열려 있는 TCP/UDP 포트를 검색하는 것을 의미하며, 다른 말로는 해당 네트워크를 돌면서 살아있는 호스트,포트를 찾는 것을 의미하는 Sweep로 불리기도 합니다. 포트스캐닝은 자신의 서버 취약점을 진단하기 위해서도 사용할 수 있지만 불법적인 스캔을 통한 해킹의 수단이 되기도 합니다.

▶스캔 방법에는 수많은 방법이 있으며 그 중 대표적인 방식은 TCP 스캔, UDP 스캔, SYN 스캔 등이 있습니다.
TCP 스캔 : TCP 스캔은 TCP 처음 연결 시 일어나는 3-웨이 핸드 쉐이킹을 탐지하는 기법으로 만약 핸드 쉐이킹이 정상적으로 완료되었다면, 해당 TCP 포트는 정상적으로 열려 있는 것으로 판단할 수 있습니다. 이 방식은 일반적인 소켓 connect()를 이용하기 때문에, Nmap 등의 프로그램에서는 이 방식을 연결 스캔(connect scan)으로 부릅니다.

SYN 스캔 : SYN 스캔은 TCP 핸드쉐이킹을 완전히 수행하지 않고, 처음 SYN 패킷만을 받은 후 검사를 완료하는 방식으로 이 방식은 실제 TCP 연결이 일어나지 않기 때문에 'half-open 스캔"으로 부르기도 합니다. 이 방식을 사용하기 위해서는 TCP 스캔과 같이 connect() 함수를 이용할 수 없고, 포트 스캐너는 이 스캔 작업을 위해 TCP 패킷을 직접 생성합니다.

UDP 스캔 : UDP 프로토콜은 TCP와 다르게 핸드 쉐이킹 과정이 존재하지 않고, 따라서 일반적으로는 포트가 열려 있다고 하더라도 서버에서 아무런 응답을 하지 않을 수도 있습니다. 하지만, 많은 시스템에서는 보낸 패킷에 대한 응답이 없을 때 ICMP unreachable 메시지를 보냅니다. 많은 UDP 스캐너는 이 메시지를 탐지하는 방향으로 동작합니다. 이 방식은 서버에서 ICMP 메시지를 보내지 않는 경우 닫혀 있는 포트를 열려 있다고 판단하는 경우가 존재합니다.

다른 방식으로는 각 포트에 따라서 그에 대응하는 프로토콜 패킷을 전송하는 방식입니다. 예를 들어, DNS 서버는 53번 포트에서 동작하며, UDP 스캐너는 해당 포트에 DNS 정보 요청 패킷을 보낸 후 응답을 받는 방식입니다. 이러한 방식은 잘 알려진 포트와 대응 프로토콜에 대해서만 사용할 수 있다는 한계가 있지만, ICMP 메시지가 없는 경우 활용할 수 있습니다.

또한 대상호스트에 로그기록이 남지 않는 Stelth 스캔도 있습니다. 어느 포트가 열려있는지에 대한 정보는 곧 어느 서비스가 활성화 되어 있는지, 어느 포트로 침입해야 하는지에 대한 기초 정보를 제공하기 때문에 이러한 포트스캔은 불법이며, 함부로 스캐닝을 해서는 안됩니다.

▶ 코디엔에스의 서비스 포트스캔을 이용하시면 별도의 프로그램 설치 없이 회선 상에 서버가 동작 중인지 , 동작 중이지 않은지 혹은 특정 포트가 공유기,라우터(회사 또는 통신회사)나 방화벽에 의해 막혀 있는지를 확인하실 수 있습니다. 특히 서버구축 후 외부에서 고객님이 구축한 서버 프로그램으로 접근이 가능한지와 공유기,라우터나 방화벽 사용 시 그 설정의 올바름 여부를 확인할 수 있습니다. ▶ 웹 베이스 포트스캔

주의 - 자기 자신의 코디엔에스 주소 외의 주소에 대해 포트스캔을 할 경우, 일부 외부 기관 및 단체에서는 불법적인 해킹 시도로 오인할 수 있으니 주의하여 사용하셔야 합니다. 더욱 상세한 포트스캔도구가 필요하시다면 위의 첨부파일을 내려 받아 설치하십시오.

코디엔에스 기술팀 - 2017-11-21일 등록