일반적인 정보보안컨설팅에서 취약점 분석을 위해 Nessus(무료공개) 또는 CyberCop(상업용)등의 분석도구를 사용하고 있다. 이 도구들의 특징은 포트스캔(Port Scan)을 한 후 현재까지 알려진 포트번호(외부에서 자유롭게 정보가 드나들 수 있도록 허용해주는 번호화 된 통로)와 사용중인 서버(Server) 지원 프로그램간의 취약점을 지적해주는 역할을 한다.
하지만, 개인용 컴퓨터 사용자들에게는 Linux나 Windows NT/ 2000 시스템을 설치하고 위의 프로그램을 사용한다는 것은 그리 쉬운 일이 아니다. 주요 공격대상이 되어오던 Microsoft사의 IIS(Internet Information Service) 4.x/5.x에 많이 취해오는 공격들도 먼저 포트스캔에서 취약점이 발견된 경우이다. 물론 Linux(공개 OS)에 의한 Bug(프로그램내에 존재하는 약점)도 수없이 발견되고 지적되어 왔지만 상업용이 아니기 때문에 피해의 규모가 상대적으로 적다고 할 수 있다.
해킹용 포트스캐너의 특징은 상대방의 웹서버나 컴퓨터에서 열려있는 포트를 검색한 후 공격하는 기능을 악용할 우려가 있어 바이러스 검색도구에서는 바이러스로 단정짓는 경우도 있다. 그렇지만 자신의 컴퓨터나 상대방서버의 취약점을 미리 발견하여 사전에 방지한다는 계획 하에 해킹용 포트스캐너를 사용하는 것은 권장할 만하다.
트로이목마 프로그램끼리만 검색하는 포트스캔과는 달리 지정된 IP의 컴퓨터 내에 포트가 열려져 아무나 손쉽게 다닐 수 있는 포트가 존재한다면 바로 그 포트를 검색해 내는 전문 포트스캔 프로그램의 기능을 이용하면 취약점 분석이 가능하다.
철수는 자신의 PC에 열려있을 수 있는 포트에 대한 검색과 친구 광석이가 이번에 설치한 Windows advancd server 2000의 취약점을 G-Lock AATools를 이용해 찾고자 한다. Advanced Administrative Tools란 이름으로 메뉴에서 실행되는데 포트스캐너, 프락시분석기(서버와 클라이언트 사이에서 속도증진을 위한 중재작업을 해주는 역할), CGI분석기, 전자메일 검증기, 상대방 추적, 네트워크 상태, 링크 분석시, 시스템 정보, 진행정보 등의 기능을 제공한다. 30일 제한된 버전을 무료로 사용할 수 있으며 초기화면은 다음과 같다.
초기실행화면에서 포트스캐너(Port Scanner) 메뉴를 클릭한 후 화면 오른쪽 하단부분에 있는 Go! 버튼을 누르면 포트스캐너 전용화면이 나온다.
Host Name에는 포트스캔할 주소(도메인 네임)를 입력하고 주소가 정확히 입력되었는가 확인하기 위해 Look up 버튼을 누르면 Start/Stop 항목에 입력한 주소의 형태를 “DNS” 형태(IP 주소)로 나타내준다. 왼쪽 중간에 Port Set에서는 None/NSF/HSF/Proxy Ports/Trojan 포트 등 다양한 종류의 포트스캔을 선택할 수 있다. 전자메일 및 Ftp를 스캔하기 위해서는 (NSF), 프락시포트를 스캔해 주는 Proxy Ports, 트로이프로그램과 연결된 포트를 스캔해 주는 Trojan 등이 있다. 스캔할 주소를 왼쪽하단에 Add버튼을 눌러 입력하면 동시에 여러 개의 주소를 리스트화해서 스캔할 수 있다.
만일, 포트스캔 도중 작업을 중지하고 싶을 때에는 Stop버튼을 눌러주면 되며, 상단의 중간 에 Port Setup 버튼을 클릭하면 포트별로 새로 지정하여 추가하거나 지정된 포트를 변경또는 삭제할 수 있다.
위의 화면은 프락시서버에 대한 포트검색을 한 후 열려있는 포트결과를 보여주고 있다.
포트스캔 후에 예측될 수 있는 누크(Nuke), 키로그(Keylog), 웹크랙킹(Web cracking), 메일폭탄(Mail bomb)등에 공격 당하지 않도록 지원되는 프로그램회사의 패치(Patch: 프로그램상의 일부 문제점을 해결하여 수정된 일부 파일로 교체함) 작업이나 버전업(Version Up: 전체적인 프로그램 문제점들을 보완하여 새로운 버전으로 바꿈)을 통하여 미연에 방지한다면 해킹용 포트스캐너를 취약점 검색용 포트스캐너라고 불러도 무방하지않을까 싶다.
하지만, 개인용 컴퓨터 사용자들에게는 Linux나 Windows NT/ 2000 시스템을 설치하고 위의 프로그램을 사용한다는 것은 그리 쉬운 일이 아니다. 주요 공격대상이 되어오던 Microsoft사의 IIS(Internet Information Service) 4.x/5.x에 많이 취해오는 공격들도 먼저 포트스캔에서 취약점이 발견된 경우이다. 물론 Linux(공개 OS)에 의한 Bug(프로그램내에 존재하는 약점)도 수없이 발견되고 지적되어 왔지만 상업용이 아니기 때문에 피해의 규모가 상대적으로 적다고 할 수 있다.
해킹용 포트스캐너의 특징은 상대방의 웹서버나 컴퓨터에서 열려있는 포트를 검색한 후 공격하는 기능을 악용할 우려가 있어 바이러스 검색도구에서는 바이러스로 단정짓는 경우도 있다. 그렇지만 자신의 컴퓨터나 상대방서버의 취약점을 미리 발견하여 사전에 방지한다는 계획 하에 해킹용 포트스캐너를 사용하는 것은 권장할 만하다.
트로이목마 프로그램끼리만 검색하는 포트스캔과는 달리 지정된 IP의 컴퓨터 내에 포트가 열려져 아무나 손쉽게 다닐 수 있는 포트가 존재한다면 바로 그 포트를 검색해 내는 전문 포트스캔 프로그램의 기능을 이용하면 취약점 분석이 가능하다.
철수는 자신의 PC에 열려있을 수 있는 포트에 대한 검색과 친구 광석이가 이번에 설치한 Windows advancd server 2000의 취약점을 G-Lock AATools를 이용해 찾고자 한다. Advanced Administrative Tools란 이름으로 메뉴에서 실행되는데 포트스캐너, 프락시분석기(서버와 클라이언트 사이에서 속도증진을 위한 중재작업을 해주는 역할), CGI분석기, 전자메일 검증기, 상대방 추적, 네트워크 상태, 링크 분석시, 시스템 정보, 진행정보 등의 기능을 제공한다. 30일 제한된 버전을 무료로 사용할 수 있으며 초기화면은 다음과 같다.
초기실행화면에서 포트스캐너(Port Scanner) 메뉴를 클릭한 후 화면 오른쪽 하단부분에 있는 Go! 버튼을 누르면 포트스캐너 전용화면이 나온다.
Host Name에는 포트스캔할 주소(도메인 네임)를 입력하고 주소가 정확히 입력되었는가 확인하기 위해 Look up 버튼을 누르면 Start/Stop 항목에 입력한 주소의 형태를 “DNS” 형태(IP 주소)로 나타내준다. 왼쪽 중간에 Port Set에서는 None/NSF/HSF/Proxy Ports/Trojan 포트 등 다양한 종류의 포트스캔을 선택할 수 있다. 전자메일 및 Ftp를 스캔하기 위해서는 (NSF), 프락시포트를 스캔해 주는 Proxy Ports, 트로이프로그램과 연결된 포트를 스캔해 주는 Trojan 등이 있다. 스캔할 주소를 왼쪽하단에 Add버튼을 눌러 입력하면 동시에 여러 개의 주소를 리스트화해서 스캔할 수 있다.
만일, 포트스캔 도중 작업을 중지하고 싶을 때에는 Stop버튼을 눌러주면 되며, 상단의 중간 에 Port Setup 버튼을 클릭하면 포트별로 새로 지정하여 추가하거나 지정된 포트를 변경또는 삭제할 수 있다.
위의 화면은 프락시서버에 대한 포트검색을 한 후 열려있는 포트결과를 보여주고 있다.
포트스캔 후에 예측될 수 있는 누크(Nuke), 키로그(Keylog), 웹크랙킹(Web cracking), 메일폭탄(Mail bomb)등에 공격 당하지 않도록 지원되는 프로그램회사의 패치(Patch: 프로그램상의 일부 문제점을 해결하여 수정된 일부 파일로 교체함) 작업이나 버전업(Version Up: 전체적인 프로그램 문제점들을 보완하여 새로운 버전으로 바꿈)을 통하여 미연에 방지한다면 해킹용 포트스캐너를 취약점 검색용 포트스캐너라고 불러도 무방하지않을까 싶다.
| 포트스캔의 유래 |
| Port(항구)+ Scan(자세히 조사하다)을 합성하여 인터넷상에서 접촉하려는 항구를 자세히 조사하기 위해서 포트스캔(Port Scan)이란 합성어가 만들어 졌으며 해커들의 뒷문(Backdoor)으로 사용되기도 하여 해커들의 필수도구로 애용되어 왔지만 일반인들에게는 취약성 있는 포트 검색에도 많은 도움을 줄 수 있다. 트로이목마 프로그램의 기본 포트번호에는 31337: BackOrifice, 1243: SubSeven, 5400: BladeRunner, 54321: Schoolbus 등이 있으며 21: FTP, 23: Telnet, 25: mail, 80: Internet등은 기본적인 포트 번호들도 알고 있으면 유용하다. |
다음검색