사이버 보안 평가에서 탐지 회피를 위한 은밀한 Nmap 스캔 방법

소개

사이버 보안 분야에서 효과적인 네트워크 정찰은 조직의 보안 상태를 이해하는 데 필수적입니다. 강력한 오픈소스 네트워크 스캐닝 도구인 Nmap 은 이 과정에서 귀중한 자산이 될 수 있습니다. 그러나 탐지 방지 및 예측 불가능성을 유지하기 위해 은밀한 스캐닝 기법을 사용하는 것이 중요합니다. 이 튜토리얼에서는 은밀한 Nmap 스캔을 수행하고 경보를 발생시키지 않고 사이버 보안 평가를 효과적으로 수행하는 단계를 안내합니다.

Nmap 및 네트워크 스캐닝 소개

Nmap 이란 무엇인가?

Nmap(Network Mapper) 은 네트워크 탐색 및 보안 감사를 위한 강력하고 다용도의 오픈소스 도구입니다. 네트워크 관리자, 보안 전문가, 윤리적인 해커들이 네트워크 호스트, 서비스 및 취약점에 대한 정보를 수집하는 데 널리 사용됩니다.

네트워크 스캐닝 기본 사항

네트워크 스캐닝은 네트워크에서 활성 장치, 열린 포트 및 실행 중인 서비스를 식별하는 프로세스입니다. Nmap 은 다음과 같은 다양한 스캐닝 기법을 제공합니다.

1. TCP 연결 스캔: 포트가 열려 있는지 확인하기 위해 완전한 TCP 3-way 핸드셰이크를 수행합니다.
2. SYN 스캔: SYN 패킷을 보내고 SYN-ACK 응답을 기다려 포트가 열려 있는지 확인합니다.
3. UDP 스캔: UDP 패킷을 보내 포트가 열려 있고 UDP 트래픽을 수신하는지 확인합니다.
4. Idle/Zombie 스캔: 유휴 또는 "좀비" 호스트를 사용하여 스캔을 수행하여 더 은밀하게 만듭니다.

Nmap 스캐닝 모드

Nmap 은 다양한 사용 사례에 맞는 여러 스캐닝 모드를 제공합니다.

1. 기본 스캔: 가장 일반적인 1000 개 포트에 대한 TCP 연결 스캔을 수행합니다.
2. 집중 스캔: 모든 65,535 개 TCP 포트를 스캔하고 버전 감지를 수행합니다.
3. 은밀 스캔: SYN 스캔과 같은 기법을 사용하여 방화벽 및 IDS/IPS의 탐지를 피합니다.
4. 포괄적 스캔: 가능한 많은 정보를 수집하기 위해 다양한 스캐닝 기법을 결합합니다.

## 예시: 기본 Nmap 스캔
nmap -sC -sV -oA basic_scan 192.168.1.1/24

위의 명령은 192.168.1.0/24 네트워크에 대한 기본 TCP 연결 스캔을 수행하며, 버전 감지 (-sV) 와 기본 Nmap 스크립트 (-sC) 를 포함하고 출력을 "basic_scan" 파일로 저장합니다.

은밀한 Nmap 스캐닝 기법

느린 스캔

Nmap 은 스캐닝 속도를 늦추고 보안 시스템의 탐지를 피하기 위한 다양한 옵션을 제공합니다.

1. 시간 제어 옵션: -T<0-5> 옵션을 사용하여 시간 제어 템플릿을 설정합니다. 0 이 가장 느리고 5 가 가장 빠릅니다.
2. 지연 옵션: -sS --max-rate <초당 패킷 수> 또는 -sS --max-parallelism <스레드 수> 옵션을 사용하여 스캔 속도를 제어합니다.

## 예시: 느린 TCP SYN 스캔
nmap -sS -T2 --max-rate 10 -p- 192.168.1.1

분할 패킷

Nmap 은 패킷을 더 작은 조각으로 분할하여 대형 패킷을 감지하도록 설정된 방화벽 및 IDS/IPS를 우회할 수 있습니다.

1. IP 분할: -f 또는 --fragment 옵션을 사용하여 패킷을 더 작은 조각으로 분할합니다.
2. MTU 감소: --mtu <크기> 옵션을 사용하여 패킷 분할을 위한 사용자 지정 최대 전송 단위 (MTU) 크기를 설정합니다.

## 예시: 분할 TCP SYN 스캔
nmap -sS -f -p- 192.168.1.1

유휴/좀비 스캔

Nmap 의 유휴/좀비 스캔 기법은 "유휴" 또는 "좀비" 호스트를 사용하여 스캔을 수행합니다. 이렇게 하면 스캔이 유휴 호스트에서 발생한 것처럼 보입니다.

1. 적절한 좀비 식별: 오래되거나 사용하지 않는 시스템과 같이 모니터링될 가능성이 적은 호스트를 찾습니다.
2. 좀비를 통한 스캐닝: -sI <좀비 호스트:소스 포트> 옵션을 사용하여 좀비 호스트를 통해 스캔을 수행합니다.

## 예시: 유휴/좀비 스캔
nmap -sI zombie_host:1234 192.168.1.1

미끼 스캔

Nmap 은 여러 소스 IP 주소에서 스캔을 시작하여 스캔이 다른 호스트에서 발생한 것처럼 보이도록 할 수 있습니다.

1. 미끼 호스트 사용: -D RND:10 옵션을 사용하여 스캔에 10 개의 임의 미끼 호스트를 포함합니다.
2. 소스 IP 위장: -S <소스 IP> 옵션을 사용하여 소스 IP 주소를 위장합니다.

## 예시: 미끼 스캔
nmap -D RND:10 -S 192.168.1.100 192.168.1.1

사이버 보안 평가에서 탐지 회피

위협 환경 이해

사이버 보안 평가에서는 공격자가 탐지를 우회하기 위해 사용하는 위협 환경과 기법을 이해하는 것이 중요합니다. 이는 다음을 포함합니다.

1. 모니터링 및 로깅: 방화벽, IDS/IPS 및 SIEM 과 같은 대상 조직의 보안 시스템이 네트워크 활동을 모니터링하고 로깅하는 방식을 이해합니다.
2. 위협 인텔리전스: 최신 공격 트렌드, 기법 및 위협 주체가 사용하는 위협 지표 (IoC) 에 대해 알고 있어야 합니다.

은밀한 기법 구현

앞서 논의된 Nmap 스캐닝 기법을 활용하여 사이버 보안 평가 중 탐지를 피하기 위한 다양한 전략을 구현할 수 있습니다.

1. 느리고 은밀한 스캔: 시간 제어 및 지연 옵션을 사용하여 스캔 속도를 늦추고 보안 경고 발생 위험을 줄입니다.
2. 분할 패킷: 대형 패킷을 감지하도록 설정된 보안 시스템을 우회하기 위해 패킷을 더 작은 조각으로 분할합니다.
3. 유휴/좀비 스캔: "유휴" 또는 "좀비" 호스트를 사용하여 스캔을 수행하여 스캔이 덜 의심스러운 소스에서 발생한 것처럼 보이도록 합니다.
4. 미끼 스캔: 여러 소스 IP 주소에서 스캔을 시작하여 스캔이 다른 호스트에서 발생한 것처럼 보이도록 합니다.

## 예시: 포괄적인 은밀한 스캔
nmap -sS -T2 --max-rate 10 -f -D RND:10 -S 192.168.1.100 192.168.1.1

위의 명령은 느린 TCP SYN 스캔, 패킷 분할 및 미끼 스캔을 포함한 여러 은밀한 기법을 결합하여 사이버 보안 평가 중 탐지 가능성을 최소화합니다.

윤리적 고려 사항

은밀한 Nmap 스캔을 수행할 때는 윤리적 및 법적 함의를 고려하는 것이 중요합니다. 네트워크 스캐닝 활동을 수행하기 전에 항상 필요한 권한 및 승인을 얻고, 귀하의 행동이 평가 범위 내에 있으며 조직의 정책 및 관련 법률을 준수하는지 확인하십시오.

요약

이 사이버 보안 튜토리얼에서는 은밀한 Nmap 스캔을 수행하고 사이버 보안 평가 중 탐지를 피하는 지식과 기술을 제공했습니다. 고급 스캐닝 방법을 활용하고 은밀성의 중요성을 이해함으로써, 낮은 프로파일을 유지하면서 귀중한 네트워크 정보를 수집할 수 있습니다. 사이버 보안 분야에서 탐지되지 않는 정찰 능력은 조직의 보안 및 회복력을 보장하는 강력한 자산임을 기억하십시오.