Nmap 네트워크 포트 스캐닝 배우기

소개

이 랩에서는 사이버 보안 전문가들이 선호하는 강력한 오픈 소스 네트워크 스캐닝 도구인 Nmap 을 사용하여 네트워크 포트 스캐닝의 기본 사항을 배우게 됩니다. 포트 스캐닝은 네트워크 관리자와 보안 분석가가 대상 시스템에서 열린 포트와 서비스를 발견하는 데 필수적인 기술입니다.

일반적이고 신뢰할 수 있는 스캐닝 방법인 기본 TCP Connect 스캔을 수행하는 방법을 배우게 됩니다. 이 접근 방식은 상태를 확인하기 위해 대상 포트와 완전한 TCP 연결을 설정합니다. 이 랩이 끝나면 네트워크에서 열린 서비스를 식별할 수 있게 되며, 이는 네트워크 보안 평가 및 시스템 강화의 핵심 첫 단계입니다.

네트워크 포트 및 서비스 이해

스캐닝에 대해 배우기 전에 네트워크 포트가 무엇이며 사이버 보안 분야에서 왜 중요한지 이해하는 것이 중요합니다. 네트워크 포트는 서로 다른 서비스가 네트워크를 통해 통신할 수 있도록 하는 데 중요한 역할을 합니다. 이는 데이터가 컴퓨터에 들어오고 나갈 수 있는 문과 같습니다.

네트워크 포트란 무엇인가요?

네트워크 포트는 컴퓨터 네트워크에서 통신을 위한 가상 엔드포인트입니다. 서로 다른 서비스가 데이터를 수신하고 보낼 수 있는 컴퓨터 내의 특정 주소라고 생각하면 됩니다. 각 포트는 0 에서 65535 까지의 숫자로 식별됩니다. 서로 다른 서비스는 일반적으로 특정 포트를 사용합니다. 예를 들어, 웹 서버는 HTTP (Hypertext Transfer Protocol) 에 포트 80 을, HTTP 의 보다 안전한 버전인 HTTPS (HTTP Secure) 에 포트 443 을 자주 사용합니다. 컴퓨터에 안전하게 원격으로 액세스하는 데 사용되는 SSH (Secure Shell) 서비스는 포트 22 를 사용합니다.

서비스가 컴퓨터에서 실행되면 하나 이상의 포트에서 들어오는 연결을 "수신"합니다. 즉, 데이터를 처리할 수 있도록 특정 포트에 데이터가 도착할 때까지 기다립니다. 포트 스캐닝은 컴퓨터의 어떤 포트가 "열려" 있는지 (서비스가 수신 중인지) 또는 "닫혀" 있는지 (연결을 허용하지 않는지) 확인하는 프로세스입니다. 포트를 스캔하여 컴퓨터에서 어떤 서비스가 실행 중인지 식별하고 잠재적인 보안 취약점을 찾을 수 있습니다.

스캔할 서비스 설정

이제 스캔할 수 있는 간단한 서비스를 로컬 머신에 설정해 보겠습니다. 기본 웹 서버를 만드는 편리한 방법인 Python 의 내장 HTTP 서버를 사용합니다. 이 서버는 포트 8080 에서 수신 대기합니다.

먼저 프로젝트 디렉토리에 있는지 확인하십시오. 프로젝트 디렉토리는 이 실험과 관련된 모든 파일이 저장될 위치입니다. 다음 명령을 사용하여 이동할 수 있습니다.

cd /home/labex/project

이제 서버가 호스팅할 간단한 HTML 파일을 만들어 보겠습니다. HTML (Hypertext Markup Language) 은 웹 페이지를 만드는 표준 언어입니다. 다음 명령은 간단한 환영 메시지가 있는 index.html 파일을 만듭니다.

echo "<html><body><h1>Welcome to Port Scanning Lab</h1></body></html>" > index.html

다음으로, 포트 8080 에서 Python HTTP 서버를 시작합니다. 서버가 실행되는 동안 랩을 계속 진행할 수 있도록 백그라운드에서 실행합니다. 명령 끝에 있는 & 기호는 시스템에 명령을 백그라운드에서 실행하도록 지시합니다.

python3 -m http.server 8080 &

다음과 유사한 출력이 표시됩니다.

Serving HTTP on 0.0.0.0 port 8080 (http://0.0.0.0:8080/) ...

이는 웹 서버가 이제 머신에서 실행 중이며 포트 8080 에서 수신 대기 중임을 의미합니다. 서버가 올바르게 작동하는지 확인하려면 새 터미널을 열고 curl 명령을 사용하십시오. curl은 서버에서 또는 서버로 데이터를 전송하는 데 사용되는 도구입니다. 다음 명령은 로컬 머신에서 포트 8080 에서 실행 중인 서버로 요청을 보냅니다.

curl http://localhost:8080

앞서 만든 HTML 콘텐츠가 표시되어야 합니다. 이는 서비스가 실행 중이며 스캔할 준비가 되었음을 확인합니다.

Nmap 소개 및 TCP Connect 스캐닝

이제 서비스가 실행 중이므로 Nmap 을 살펴보고 포트 스캐닝에 어떻게 사용하는지 이해할 차례입니다. 포트 스캐닝은 대상 시스템에서 열린 포트를 식별하는 데 도움이 되므로 네트워크 보안에서 중요한 기술입니다. 열린 포트는 공격자에게 잠재적인 진입점이 될 수 있으므로 어떤 포트가 열려 있고 어떤 서비스가 실행 중인지 아는 것은 네트워크를 안전하게 유지하는 데 필수적입니다.

Nmap 이란 무엇인가요?

Nmap 은 Network Mapper 의 약자로, 네트워크 검색 및 보안 감사 분야에서 가장 잘 알려지고 강력한 도구 중 하나입니다. 네트워크 관리자와 보안 전문가에게 매우 유용한 광범위한 기능을 제공합니다.

• 네트워크에서 호스트 및 서비스 검색: Nmap 은 네트워크에 연결된 장치와 제공하는 서비스를 찾는 데 도움이 될 수 있습니다. 예를 들어, 로컬 네트워크에 웹 서버, 파일 서버 또는 이메일 서버가 있는지 감지할 수 있습니다.
• 대상 시스템에서 열린 포트 식별: Nmap 은 대상 시스템의 서로 다른 포트로 패킷을 전송하여 어떤 포트가 열려 있고 연결을 수락할 준비가 되었는지 확인할 수 있습니다.
• 해당 포트에서 실행 중인 서비스 확인: 열린 포트가 식별되면 Nmap 은 해당 포트에서 어떤 서비스가 실행 중인지 파악하려고 시도할 수 있습니다. 예를 들어, 포트 80 이 열려 있으면 웹 서버가 실행 중일 가능성이 높습니다.
• 운영 체제 및 서비스 버전 감지: Nmap 은 대상 시스템의 응답을 분석하여 실행 중인 운영 체제와 서비스 버전을 추측할 수 있습니다. 이 정보는 잠재적인 취약점을 식별하는 데 사용될 수 있습니다.
• 다양한 시나리오에 대한 다양한 유형의 스캔 수행: 필요에 따라 Nmap 은 TCP Connect 스캔, SYN 스캔, UDP 스캔 등과 같은 다양한 유형의 스캔을 수행할 수 있습니다.

TCP Connect 스캔 이해

TCP Connect 스캔은 TCP 스캐닝의 가장 기본적인 형태입니다. 작동 방식을 이해하려면 먼저 TCP 3 방향 핸드셰이크에 대해 알아야 합니다. TCP 3 방향 핸드셰이크는 두 장치가 안정적인 연결을 설정하는 데 사용하는 프로세스입니다. 클라이언트가 SYN (synchronize) 패킷을 서버로 보내고, 서버가 SYN-ACK (synchronize-acknowledgment) 패킷으로 응답한 다음, 클라이언트가 ACK (acknowledgment) 패킷을 보내 연결을 완료하는 세 단계로 구성됩니다.

TCP Connect 스캔은 다음과 같이 작동합니다.

1. Nmap 은 대상 포트와 완전한 3 방향 TCP 핸드셰이크를 설정하려고 시도합니다. 대상 시스템의 서비스에 연결하려는 일반 클라이언트처럼 작동합니다.
2. 연결이 성공하면, 즉 핸드셰이크의 세 단계가 모두 완료되면 포트가 "open"으로 표시됩니다. 이는 해당 포트에서 서비스를 수신하고 연결을 수락할 준비가 되었음을 나타냅니다.
3. 연결이 거부되면, 예를 들어 대상 시스템이 RST (reset) 패킷을 보내면 포트가 "closed"로 표시됩니다. 이는 해당 포트에서 서비스를 수신하지 않음을 의미합니다.
4. 대상 시스템에서 응답이 없으면 포트가 "filtered"로 표시됩니다. 이는 일반적으로 포트가 방화벽 또는 다른 보안 메커니즘에 의해 차단되었음을 의미합니다.

TCP Connect 스캔은 완전한 연결을 설정하기 때문에 신뢰할 수 있다는 점에 유의해야 합니다. 그러나 그다지 은밀하지 않습니다. 실제 연결을 생성하므로 대상 시스템에 연결 로그를 남기며, 이는 시스템 관리자에게 경고할 수 있습니다.

첫 번째 Nmap TCP Connect 스캔 수행

이전 단계에서 설정한 서비스를 스캔해 보겠습니다. 이렇게 하려면 새 터미널을 엽니다. 터미널은 운영 체제와 상호 작용하기 위해 명령을 입력할 수 있는 명령줄 인터페이스입니다.

터미널이 열리면 다음 명령을 실행합니다.

nmap -sT localhost -p 8080

각 부분이 무엇을 하는지 이해하기 위해 이 명령을 분석해 보겠습니다.

• nmap: 이것은 우리가 사용하고 있는 도구의 이름입니다. Nmap 프로그램을 실행하려는 것을 시스템에 알립니다.
• -sT: 이것은 TCP Connect 스캔을 지정하는 플래그입니다. Nmap 이 이 플래그를 감지하면 대상에 대해 TCP Connect 스캔을 수행합니다.
• localhost: 이것은 우리가 스캔하는 대상입니다. 이 경우 localhost는 우리 자신의 머신을 나타냅니다. 로컬 시스템에서 스캐닝 프로세스를 테스트하는 방법입니다.
• -p 8080: 이 옵션은 스캔하려는 포트를 지정합니다. 여기서는 포트 8080 을 스캔하고 있습니다.

명령을 실행하면 다음과 유사한 출력이 표시됩니다.

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-20 12:34 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000097s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds

출력은 스캔의 세부 정보를 보여줍니다. Nmap 이 시작되었고, 스캔한 대상, 호스트가 작동하는지 여부, 스캔한 포트의 상태를 알려줍니다. 이 경우 포트 8080 은 "open"으로 표시되고 해당 포트에서 실행 중인 서비스는 "http-proxy"로 식별됩니다.

이제 이 출력을 나중에 참조할 수 있도록 파일에 저장해 보겠습니다. 출력을 저장하는 것은 나중에 검토하거나 다른 사람과 공유할 수 있으므로 유용합니다. 이렇게 하려면 다음 명령을 실행합니다.

nmap -sT localhost -p 8080 > /home/labex/project/nmap_scan_output.txt

이 명령은 이전과 동일한 TCP Connect 스캔을 수행합니다. > 기호는 명령의 출력을 리디렉션하는 데 사용됩니다. 터미널 화면에 출력을 표시하는 대신 /home/labex/project 디렉토리에 있는 nmap_scan_output.txt라는 파일에 기록됩니다.

파일의 내용을 확인하여 출력이 올바르게 저장되었는지 확인해 보겠습니다. 다음 명령을 실행합니다.

cat /home/labex/project/nmap_scan_output.txt

cat 명령은 파일의 내용을 표시하는 데 사용됩니다. 이 명령을 실행하면 이전에 Nmap 출력이 파일에 저장된 것과 동일하게 표시됩니다.

스캔 결과 분석 및 포트 상태 이해

이제 첫 번째 스캔을 성공적으로 수행했으므로 결과에 대해 자세히 알아보고 각 정보의 의미를 이해할 차례입니다. 이 단계는 수집한 데이터를 이해하고 대상 시스템에 대한 의미 있는 결론을 도출하는 데 도움이 되므로 매우 중요합니다.

Nmap 에서 포트 상태 이해

강력한 네트워크 스캐닝 도구인 Nmap 은 포트를 6 가지 다른 상태로 분류합니다. 각 상태는 대상 시스템의 포트 상태에 대한 귀중한 정보를 제공합니다.

1. open - 포트가 "open"으로 보고되면 해당 포트에서 애플리케이션이 들어오는 연결을 적극적으로 수신하고 있음을 의미합니다. 이는 서비스가 실행 중이며 요청을 수락할 준비가 되었음을 나타냅니다.
2. closed - "closed" 포트는 현재 애플리케이션이 해당 포트에서 수신 대기하지 않음을 의미합니다. 그러나 포트는 여전히 액세스할 수 있으므로 향후 서비스에서 사용할 수 있습니다.
3. filtered - Nmap 이 포트를 "filtered"로 보고하면 포트가 열려 있는지 여부를 확인할 수 없음을 의미합니다. 이는 일반적으로 방화벽 또는 다른 보안 조치가 포트에 대한 액세스를 차단하기 때문입니다.
4. unfiltered - "unfiltered" 포트는 Nmap 이 포트에 액세스할 수 있지만 열려 있는지 닫혀 있는지 확인할 수 없음을 의미합니다. 이는 대상 시스템의 구성 또는 네트워크 조건과 같은 다양한 요인으로 인해 발생할 수 있습니다.
5. open|filtered - Nmap 이 포트를 "open|filtered"로 보고하면 포트가 열려 있는지 필터링되었는지 확인할 수 없음을 의미합니다. 이는 방화벽 또는 기타 보안 장치를 통해 스캔할 때 흔히 발생하는 결과입니다.
6. closed|filtered - "closed|filtered" 포트는 Nmap 이 포트가 닫혔는지 필터링되었는지 확인할 수 없음을 의미합니다. "open|filtered" 상태와 유사하게 이는 종종 포트에 대한 액세스를 차단하는 보안 조치로 인해 발생합니다.

스캔 결과에서 포트 8080 은 "open"으로 보고되었습니다. 이는 Python HTTP 서버가 해당 포트에서 성공적으로 수신 대기하고 들어오는 연결을 수락할 준비가 되었음을 알려줍니다.

서비스 감지 이해

Nmap 이 포트 8080 의 서비스를 "http-proxy"로 식별했음을 알 수 있습니다. Nmap 은 일반적인 포트 할당 데이터베이스를 사용하여 포트에서 어떤 서비스가 실행 중일 수 있는지 추측합니다. 포트 8080 은 일반적으로 HTTP 프록시 서비스에 사용되므로 Nmap 은 데이터베이스를 기반으로 해당 가정을 했습니다.

그러나 이 추측이 항상 정확하지는 않을 수 있습니다. 포트에서 실행 중인 서비스에 대한 보다 정확한 정보를 얻으려면 서비스 감지 플래그 (-sV) 를 사용할 수 있습니다. 이 플래그는 Nmap 에 정확한 서비스와 해당 버전을 확인하기 위해 추가 검사를 수행하도록 지시합니다.

서비스 감지 플래그를 사용해 보겠습니다.

nmap -sT -sV localhost -p 8080 > /home/labex/project/nmap_service_output.txt

이 명령에서 -sT는 TCP connect 스캔을 지정하고, -sV는 서비스 감지를 활성화하고, localhost는 스캔할 대상이고, -p 8080은 포트 8080 만 스캔하도록 지정하고, > /home/labex/project/nmap_service_output.txt는 출력을 파일로 리디렉션합니다.

이제 출력을 확인해 보겠습니다.

cat /home/labex/project/nmap_service_output.txt

이 명령을 실행하면 포트 8080 에서 실행 중인 서비스에 대한 추가 정보가 표시됩니다. 서비스가 "Python http.server" 또는 이와 유사한 것으로 식별될 수 있으며, 해당 포트에서 실행 중인 내용에 대한 보다 정확한 이해를 제공합니다.

Verbose 모드를 사용하여 더 많은 정보 탐색

스캔 중에 Nmap 이 수행하는 작업에 대한 자세한 이해를 원하면 -v 플래그를 사용하여 verbose 모드를 사용할 수 있습니다. Verbose 모드는 전송 및 수신된 패킷에 대한 세부 정보, 타이밍 정보, Nmap 이 포트 상태를 확인하기 위해 수행한 정확한 단계 등 스캐닝 프로세스에 대한 추가 정보를 제공합니다.

verbose 모드를 사용해 보겠습니다.

nmap -sT -v localhost -p 8080 > /home/labex/project/nmap_verbose_output.txt

이 명령에서 -sT는 TCP connect 스캔용이고, -v는 verbose 모드를 활성화하고, localhost는 대상이고, -p 8080은 스캔할 포트를 지정하고, > /home/labex/project/nmap_verbose_output.txt는 출력을 파일로 리디렉션합니다.

출력을 확인해 보겠습니다.

cat /home/labex/project/nmap_verbose_output.txt

verbose 출력은 스캐닝 프로세스에 대한 보다 심층적인 정보를 제공하여 Nmap 이 포트 상태 및 대상 시스템에서 실행 중인 서비스에 대한 결론에 도달하는 방식을 이해하는 데 도움이 됩니다.

스캔 지식 확장

이제 TCP Connect 스캐닝의 기본 사항을 파악했으므로 지식을 다음 단계로 끌어올릴 차례입니다. 이 섹션에서는 여러 포트를 스캔하는 방법과 결과를 해석하는 방법을 배우게 됩니다. 이를 통해 대상 시스템에서 실행 중인 네트워크 서비스에 대한 보다 포괄적인 보기를 얻을 수 있습니다.

일반 포트 스캔

localhost 라고도 하는 로컬 머신에서 가장 일반적인 포트를 스캔하는 것으로 시작해 보겠습니다. 이러한 일반 포트는 잘 알려진 네트워크 서비스에서 자주 사용됩니다.

nmap -sT localhost --top-ports 10 > /home/labex/project/common_ports_scan.txt

이 명령에서 -sT 옵션은 Nmap 에 TCP Connect 스캔을 수행하도록 지시합니다. localhost는 대상을 지정하며, 이는 자신의 머신입니다. --top-ports 10 옵션은 Nmap 에 가장 많이 사용되는 10 개의 포트를 스캔하도록 지시합니다. > 기호는 스캔의 출력을 /home/labex/project 디렉토리에 있는 common_ports_scan.txt라는 파일로 리디렉션합니다.

이제 이 스캔의 결과를 살펴보겠습니다.

cat /home/labex/project/common_ports_scan.txt

cat 명령은 파일의 내용을 표시하는 데 사용됩니다. 이 명령을 실행하면 포트 목록이 표시됩니다. 예를 들어, 포트 21 은 FTP (File Transfer Protocol) 에 사용되고, 포트 22 는 SSH (Secure Shell) 에 사용되고, 포트 23 은 Telnet 에 사용되고, 포트 25 는 SMTP (Simple Mail Transfer Protocol) 에 사용되고, 포트 80 은 HTTP (Hypertext Transfer Protocol) 에 사용됩니다. 시스템에서 이러한 포트의 대부분은 특정 서비스가 실행 중이지 않는 한 닫혀 있을 것입니다. 예를 들어, 포트 8080 의 HTTP 서버가 상위 10 개 포트 중 하나인 경우 열린 것으로 표시됩니다.

포트 범위 스캔

일반 포트를 스캔하는 것 외에도 특정 포트 범위를 스캔할 수도 있습니다. localhost 에서 8000 에서 8100 까지의 포트를 스캔해 보겠습니다.

nmap -sT localhost -p 8000-8100 > /home/labex/project/port_range_scan.txt

여기서 -p 8000 - 8100 옵션은 Nmap 에 8000 에서 8100 까지의 범위에 있는 포트를 스캔하도록 지시합니다. 이 스캔의 출력은 /home/labex/project 디렉토리에 있는 port_range_scan.txt라는 파일로 리디렉션됩니다.

이 스캔의 결과를 보려면 다음을 수행합니다.

cat /home/labex/project/port_range_scan.txt

출력에서 (스캔된 범위 내에 있는 경우) 포트 8080 이 열려 있고 범위 내의 다른 포트는 닫혀 있을 것입니다.

기술 결합

지금까지 배운 기술을 결합해 보겠습니다. TCP Connect 스캔을 수행하고 8000 에서 8100 까지의 범위에 있는 포트에서 실행 중인 서비스를 감지하려고 시도합니다.

nmap -sT -sV localhost -p 8000-8100 > /home/labex/project/combined_scan.txt

-sV 옵션은 서비스 감지를 활성화하는 데 사용됩니다. 즉, Nmap 은 포트가 열려 있는지 닫혀 있는지 알려줄 뿐만 아니라 열린 포트에서 실행 중인 서비스를 식별하려고 시도합니다. 이 결합된 스캔의 출력은 /home/labex/project 디렉토리에 있는 combined_scan.txt 파일에 저장됩니다.

결과를 확인하려면 다음을 수행합니다.

cat /home/labex/project/combined_scan.txt

이 스캔은 지금까지 가장 자세한 정보를 제공합니다. 지정된 범위의 각 포트 상태를 표시하고 열린 포트에서 실행 중인 서비스를 식별하려고 시도합니다.

정리

이 랩을 마치기 전에 사용 중인 Python HTTP 서버를 중지하여 정리해야 합니다. 먼저 서버의 프로세스 ID (PID) 를 찾아야 합니다.

ps aux | grep "python3 -m http.server 8080"

ps aux 명령은 시스템에서 실행 중인 모든 프로세스를 나열합니다. | 기호는 ps aux 명령의 출력을 가져와 grep 명령으로 전달하는 파이프입니다. 그런 다음 grep 명령은 "python3 -m http.server 8080" 텍스트가 포함된 줄을 검색합니다. 이는 Python HTTP 서버를 시작하는 데 사용되는 명령입니다.

Python HTTP 서버 프로세스를 표시하는 줄을 찾습니다. 이 줄의 두 번째 열에는 프로세스 ID (PID) 가 포함되어 있습니다. PID 를 기록했으면 kill 명령을 사용하여 프로세스를 중지할 수 있습니다.

kill <PID>

<PID>를 찾은 실제 프로세스 ID 로 바꿉니다. 예를 들어 PID 가 1234 인 경우 다음을 실행합니다.

kill 1234

요약

이 랩에서는 Nmap 을 사용하여 네트워크 포트 스캐닝의 기본 사항을 배웠습니다. 스캔을 위한 서비스 설정, 기본적인 TCP Connect 스캔 수행, 스캔 결과 분석을 연습했습니다.

획득한 주요 기술에는 네트워크 포트 이해 및 스캔의 중요성, 간단한 HTTP 서버 설정, TCP Connect 스캔을 위한 Nmap 사용, 포트 상태 해석, 자세한 정보를 위한 Nmap 옵션 사용, 여러 포트 및 범위 스캔, 열린 포트에서 서비스 식별 등이 있습니다. 이러한 기술은 네트워크 정찰의 기초이며, 네트워크 관리 및 보안 평가에 필수적입니다. 사이버 보안에서 발전함에 따라 이러한 기본 사항을 기반으로 고급 기술과 보안 관행을 탐색할 수 있습니다.