Nmap 을 활용한 은밀 네트워크 스캔 실습

소개

이 실습에서는 네트워크 탐지 및 보안 감사를 위한 강력한 오픈 소스 도구인 Nmap 을 사용하여 은밀한 네트워크 스캐닝을 수행하는 방법을 배우게 됩니다. 은밀한 스캐닝은 사이버 보안에서 매우 중요하며, 보안 전문가가 네트워크 취약점을 식별하면서 동시에 탐지 위험을 줄이는 데 도움이 됩니다.

기본적인 은밀한 스캔부터 더욱 고급스러운 은밀한 방법까지 다양한 Nmap 스캐닝 기법을 탐색할 것입니다. 이러한 기술은 네트워크 감사를 수행하는 보안 전문가에게 기존 보안 시스템을 트리거하거나 네트워크상의 잠재적 위협을 경고하지 않고 작업하는 데 필수적입니다. 이 실습을 마치면 Nmap 의 은밀한 스캐닝에 대한 실질적인 경험을 얻고 실제 보안 평가에 이러한 기술을 적용하는 방법을 알게 될 것입니다.

테스트 환경 설정

이 단계에서는 은밀한 네트워크 감사를 위한 환경을 준비합니다. 스캐닝 대상으로 작동할 간단한 웹 서버를 설정할 것입니다. 이러한 제어된 대상은 실제 시스템에 영향을 주지 않고 은밀한 스캐닝 기술을 연습할 수 있도록 하는 데 필수적입니다.

먼저 터미널을 열어야 합니다. 터미널은 컴퓨터와 상호 작용하기 위해 명령어를 입력할 수 있는 명령줄 인터페이스와 같습니다. 터미널을 연 후 작업 공간으로 이동합니다. 작업 공간은 모든 프로젝트 관련 파일을 보관하는 특정 디렉토리입니다. 다음 명령어를 사용하여 작업 공간으로 이동합니다.

cd /home/labex/project

cd 명령어는 "디렉토리 변경"을 의미합니다. 시스템에 현재 위치에서 지정된 디렉토리 (/home/labex/project) 로 이동하도록 지시합니다.

이제 작업 공간에 있다면 stealth라는 새 디렉토리를 만듭니다. 디렉토리는 컴퓨터의 폴더와 같으며, 전용 디렉토리를 만드는 것은 작업을 정리하는 데 도움이 됩니다. 다음 명령어를 사용하여 디렉토리를 만듭니다.

mkdir -p /home/labex/project/stealth

mkdir 명령어는 새 디렉토리를 만드는 데 사용됩니다. -p 옵션은 경로에 중간 디렉토리가 존재하지 않으면 해당 디렉토리도 함께 생성하도록 합니다.

디렉토리를 만든 후에는 해당 디렉토리로 이동해야 합니다. 이렇게 하면 만드는 모든 파일이 stealth 디렉토리 내에 저장됩니다. cd 명령어를 다시 사용합니다.

cd /home/labex/project/stealth

다음으로 간단한 HTML 파일을 만듭니다. HTML(Hypertext Markup Language) 은 웹 페이지를 만드는 표준 언어입니다. 이 파일은 실제 웹 서비스를 시뮬레이션하는 웹 서버에서 제공될 것입니다. 다음 명령어를 사용하여 파일을 만듭니다.

echo "Robotics server running..." > index.html

echo 명령어는 "Robotics server running..."이라는 텍스트를 터미널에 출력합니다. > 기호는 출력을 리디렉션하여 index.html이라는 새 파일로 작성합니다.

이제 DNS 리졸버를 설정해야 합니다. DNS(Domain Name System) 는 인터넷의 전화번호부와 같습니다. 도메인 이름 (예: google.com) 을 IP 주소로 변환합니다. DNS 리졸버를 설정하면 시스템이 다른 네트워크에 제대로 연결될 수 있도록 합니다. 다음 명령어를 사용합니다.

sudo sh -c 'echo "nameserver 8.8.8.8" > /etc/resolv.conf'

sudo 명령어는 특별한 권한이 필요한 작업을 수행하기 위한 관리자 권한을 부여합니다. sh -c는 쉘 명령어를 실행하는 데 사용됩니다. "nameserver 8.8.8.8"이라는 줄을 /etc/resolv.conf 파일에 작성합니다. 이 파일은 시스템이 DNS 구성을 저장하는 위치입니다.

마지막으로 nc(netcat) 명령어를 사용하여 간단한 웹 서버를 시작합니다. Netcat 은 다양한 작업에 사용될 수 있는 유연한 네트워킹 유틸리티로, 간단한 서버를 설정하는 데 사용할 수 있습니다. 이 서버는 포트 8080 에서 수신 대기하고 앞서 만든 HTML 파일을 제공합니다. 다음 명령어를 사용합니다.

nc -lvp 8080 < index.html &

이 명령어를 자세히 살펴보겠습니다.

• nc는 네트워크 연결을 위한 netcat 유틸리티입니다. 서로 다른 네트워크 엔드포인트 간의 연결을 생성할 수 있습니다.
• -l은 netcat 이 들어오는 연결을 수신 대기하도록 지시합니다. 다른 서버에 연결하려고 하기보다는 다른 시스템이 연결될 때까지 기다립니다.
• -v는 자세한 출력을 활성화합니다. 즉, netcat 은 수행 중인 작업에 대한 자세한 정보를 제공합니다.
• -p 8080은 수신 대기할 포트를 지정합니다. 포트는 컴퓨터의 문과 같으며, 이 경우 들어오는 연결을 위해 포트 8080 을 엽니다.
• < index.html은 index.html의 내용을 모든 연결에 제공합니다. 클라이언트가 서버에 연결하면 index.html 파일의 내용을 수신합니다.
• &는 프로세스를 백그라운드에서 실행합니다. 이렇게 하면 서버가 실행되는 동안 다른 명령어를 실행하기 위해 터미널을 계속 사용할 수 있습니다.

명령어를 실행한 후 서버가 포트 8080 에서 수신 대기 중임을 나타내는 출력이 표시되어야 합니다.

Listening on 0.0.0.0 8080

이제 포트 8080 에서 실행 중인 웹 서버가 은밀한 스캐닝 연습의 대상으로 작동합니다.

Nmap 을 이용한 기본 은밀 스캔 수행

이 단계에서는 Nmap 을 사용하여 기본 은밀 스캔을 수행하는 방법을 배울 것입니다. 하지만 먼저 은밀 스캔이 무엇인지 이해해 보겠습니다. 은밀 스캔 (SYN 스캔이라고도 함) 은 네트워크 보안 분야에서 매우 유용한 기술입니다. 대상 시스템의 열린 포트를 파악하려고 할 때, 은밀 스캔은 대상 시스템의 탐지를 줄이면서 이를 수행하는 데 도움이 될 수 있습니다. 이는 대상 시스템이 스캔을 감지하면 방어 조치를 취하거나 활동을 기록할 수 있기 때문입니다.

이제 스캔을 시작하기 전에 올바른 위치에 있는지 확인해야 합니다. 주 작업 공간으로 돌아갑니다. 이는 모든 프로젝트 관련 파일이 저장된 홈베이스로 돌아가는 것과 같습니다. 다음 명령어를 사용합니다.

cd /home/labex/project

은밀 스캔 이해

은밀 스캔이 어떻게 작동하는지 완전히 이해하려면 먼저 전통적인 TCP 연결에 대해 알아야 합니다. 전통적인 TCP 연결은 클라이언트와 서버가 연결을 설정하기 위해 거치는 3 단계 핸드셰이크 과정을 따릅니다.

1. 클라이언트는 서버에 SYN(동기화) 패킷을 보냅니다. 이는 클라이언트가 "대화를 시작하고 싶습니다"라고 말하는 것과 같습니다.
2. 서버가 대화할 준비가 되어 있으면 SYN-ACK(동기화 - 확인) 패킷으로 응답합니다. 서버가 "네, 대화할 준비가 됐습니다"라고 말하는 것과 같습니다.
3. 마지막으로 클라이언트는 ACK(확인) 패킷을 보내 연결을 완료합니다. 이는 클라이언트가 "좋습니다, 대화를 시작합시다"라고 말하는 것과 같습니다.

그러나 은밀 스캔은 이 전체 과정을 따르지 않습니다. 대신:

1. 클라이언트는 일반 연결과 마찬가지로 서버에 SYN 패킷을 보냅니다.
2. 서버의 포트가 열려 있으면 서버는 SYN-ACK 패킷으로 응답합니다.
3. 하지만 여기서 차이점이 있습니다. 클라이언트는 연결을 완료하기 위해 ACK 패킷을 보내는 대신 RST(초기화) 패킷을 보냅니다. 이는 연결이 완전히 설정되지 않도록 합니다.

이러한 방식이 유용한 이유는 대상 시스템이 연결이 완전히 설정되지 않았기 때문에 이러한 상호 작용을 기록할 가능성이 적기 때문입니다. 따라서 큰 흔적을 남기지 않고 열린 포트를 찾는 은밀한 방법입니다.

은밀 스캔 실행

이제 은밀 스캔이 어떻게 작동하는지 이해했으므로 로컬 웹 서버에 대해 은밀 스캔을 실행해 보겠습니다. 다음 Nmap 명령어를 사용합니다.

sudo nmap -sS -p 8080 localhost > /home/labex/project/stealth_scan.txt

각 부분이 정확히 무엇을 하는지 알 수 있도록 이 명령어를 자세히 살펴보겠습니다.

• sudo는 은밀 스캔에 원시 소켓 액세스가 필요하기 때문에 사용됩니다. 원시 소켓 액세스는 네트워크와 상호 작용하는 저수준 방법이며 특별한 권한이 필요합니다. 따라서 sudo를 사용하여 관리자 권한으로 명령어를 실행합니다.
• nmap은 사용하는 스캐닝 도구입니다. 네트워크 탐색 및 보안 감사에 매우 인기 있고 강력한 도구입니다.
• -sS는 SYN 은밀 스캔을 수행하도록 지정합니다. 이는 Nmap 에 방금 배운 은밀 스캔 기술을 사용하도록 지시합니다.
• -p 8080은 Nmap 에 포트 8080 만 스캔하도록 지시합니다. 때로는 여러 포트를 스캔하고 싶을 수 있지만, 이 경우 포트 8080 만 관심이 있습니다.
• localhost는 스캔의 대상입니다. 로컬 머신에서 이 작업을 수행하고 있으므로 localhost는 자체 컴퓨터를 의미합니다.
• > /home/labex/project/stealth_scan.txt는 스캔 결과를 텍스트 파일에 리디렉션합니다. 이렇게 하면 결과를 저장하고 나중에 확인할 수 있습니다.

스캔을 실행한 후 결과를 확인하고 싶습니다. 다음 명령어를 사용합니다.

cat /home/labex/project/stealth_scan.txt

이 명령어를 실행하면 다음과 유사한 출력이 표시됩니다.

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-25 12:00 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000097s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds

Nmap 이 포트 8080 이 열려 있음을 정확하게 식별했음을 알 수 있습니다. 이는 은밀 스캔이 단계 1 에서 설정한 웹 서버를 감지하는 데 성공했음을 의미합니다.

포트 상태 이해

스캔 결과를 분석할 때 Nmap 이 다양한 상태의 포트를 보고하는 것을 알 수 있습니다.

1. open - 서비스가 이 포트에서 연결을 적극적으로 수락합니다.
2. closed - 포트에 액세스할 수 있지만 서비스가 수신 대기하지 않습니다.
3. filtered - 방화벽이나 네트워크 장애물이 포트를 차단합니다.
4. unfiltered - 포트에 액세스할 수 있지만 Nmap 이 열려 있는지 닫혀 있는지 확인할 수 없습니다.
5. open|filtered - Nmap 이 포트가 열려 있는지 필터링되어 있는지 확인할 수 없습니다.

스캔에서 포트 8080 은 open으로 보고되어 웹 서버가 연결을 적극적으로 수락하고 있음을 나타냅니다.

은밀 스캔을 사용하는 장점은 전체 TCP 연결 스캔보다 침입성이 적으면서 정확한 결과를 얻을 수 있다는 것입니다. 전체 TCP 연결 스캔은 전체 3 단계 핸드셰이크를 거치므로 대상 시스템에서 더 많이 인식되고 모니터링되는 시스템에서 경고를 트리거할 가능성이 높습니다.

고급 은밀 스캔 기법

이 단계에서는 더욱 높은 수준의 은밀성을 제공하는 고급 스캔 기법을 탐색합니다. 이러한 기법은 대상 네트워크에 대한 정보를 쉽게 감지되지 않고 수집할 수 있기 때문에 사이버 보안에서 매우 중요합니다. 그러한 강력한 기법 중 하나는 유휴 스캔 (좀비 스캔이라고도 함) 입니다. 이 방법은 다른 호스트 뒤에 자신의 신원을 감추면서 대상을 스캔할 수 있도록 합니다.

시작하기 전에 작업 공간에 있는지 확인하는 것이 중요합니다. 여기에는 모든 프로젝트 관련 파일과 명령어가 실행됩니다. 작업 공간으로 이동하려면 터미널에서 다음 명령어를 실행합니다.

cd /home/labex/project

유휴 스캔 이해

유휴 스캔은 Nmap 에서 가장 은밀한 스캔 기법 중 하나입니다. 그렇다면 어떻게 작동할까요? 다른 호스트를 사용하여 스캔을 수행합니다. 이를 "좀비"라고 부릅니다. 이렇게 하면 스캔이 좀비 호스트에서 나온 것처럼 보이게 됩니다.

유휴 스캔 과정을 단계별로 살펴보겠습니다.

1. 먼저 스캐너는 좀비 호스트에 프로브를 보냅니다. 이 프로브는 스캐너가 좀비의 현재 IP ID 시퀀스를 파악하는 데 도움이 됩니다. IP ID 시퀀스는 호스트가 보내는 각 IP 패킷에 할당하는 고유한 숫자입니다.
2. 다음으로 스캐너는 대상에 SYN 패킷을 보냅니다. 그러나 이 패킷의 소스 IP 주소를 좀비의 IP 주소로 설정합니다. SYN 패킷은 TCP 연결을 시작하는 데 사용됩니다.
3. 대상의 포트가 열려 있으면 대상은 SYN-ACK 패킷으로 응답합니다. 이 패킷은 SYN 패킷에서 본 소스 IP 주소가 좀비이기 때문에 좀비에게 전송됩니다.
4. 이 SYN-ACK 패킷을 예상하지 못한 좀비는 대상으로 RST 패킷을 다시 보냅니다. RST 패킷은 TCP 연결을 초기화하는 데 사용됩니다.
5. 그런 다음 스캐너는 좀비를 다시 프로브합니다. 좀비의 IP ID 시퀀스가 증가했는지 확인합니다.
6. IP ID 시퀀스가 증가하면 대상의 포트가 열려 있음을 나타냅니다. 이는 좀비가 대상의 SYN-ACK 에 응답하여 RST 패킷을 보냈기 때문입니다.

이 기법의 장점은 은밀성입니다. 대상은 실제 스캐너가 아닌 좀비에서 오는 통신만 볼 수 있습니다. 따라서 대상이 스캔되고 있다는 것을 감지하기가 매우 어렵습니다.

유휴 스캔 실행

이제 Nmap 을 사용하여 유휴 스캔을 실행해 보겠습니다. 실제 상황에서는 외부 좀비 호스트를 사용합니다. 하지만 이 실습에서는 로컬 머신을 사용하여 프로세스를 시뮬레이션합니다.

터미널에서 다음 명령어를 실행합니다.

sudo nmap -sI 127.0.0.1 localhost -p 8080 > /home/labex/project/idle_scan.txt

이 명령어의 각 부분을 이해해 보겠습니다.

• sudo는 Nmap 이 유휴 스캔을 수행하기 위해 원시 소켓 액세스가 필요하기 때문에 사용됩니다. 원시 소켓 액세스를 통해 Nmap 은 이러한 유형의 스캔에 필요한 사용자 지정 IP 패킷을 생성하고 전송할 수 있습니다.
• nmap은 이 작업에 사용하는 잘 알려진 스캐닝 도구입니다.
• -sI 127.0.0.1은 유휴 스캔을 수행하고 127.0.0.1(localhost) 을 좀비 호스트로 사용하도록 지정합니다.
• localhost는 스캔할 대상입니다.
• -p 8080은 대상의 포트 8080 만 스캔하도록 Nmap 에 지시합니다.
• > /home/labex/project/idle_scan.txt는 스캔 결과를 텍스트 파일에 리디렉션합니다. 이렇게 하면 나중에 결과를 쉽게 검토할 수 있습니다.

스캔을 실행한 후 결과를 검토해 보겠습니다. 출력 파일의 내용을 보려면 다음 명령어를 사용합니다.

cat /home/labex/project/idle_scan.txt

Nmap 이 유휴 스캔을 건너뛰고 있음을 알 수 있습니다. 이는 자체 머신을 좀비와 대상 모두로 사용하려고 하기 때문입니다. 실제 환경에서 별도의 호스트가 있는 경우 이 기법은 은밀한 스캔에 매우 효과적입니다.

실습 환경에서 이러한 제한 사항이 있더라도 이 연습은 유휴 스캔 명령어를 사용하는 방법을 보여줍니다. 실제로는 다른 호스트를 좀비로 선택하고 경고 메시지 없이 스캔이 실행됩니다.

최대의 은밀성이 필요할 때 이 고급 기법은 매우 유용합니다. 대상이 스캔을 실제 스캐너로 추적하는 것을 매우 어렵게 만듭니다.

스캔 결과 비교

두 스캔 유형의 출력을 비교하여 차이점을 확인해 보겠습니다.

echo "=== Stealth Scan Results ===" && cat /home/labex/project/stealth_scan.txt

echo "=== Idle Scan Results ===" && cat /home/labex/project/idle_scan.txt

두 스캔 모두 열린 포트 8080 을 성공적으로 감지했지만, 유휴 스캔은 사용된 스캐닝 기법에 대한 추가 정보를 보여줍니다.

정리

마무리하기 전에 웹 서버를 중지하여 환경을 정리합니다.

pkill -f "nc -lvp 8080"

이 명령은 포트 8080 에서 실행 중인 웹 서버의 netcat 프로세스를 종료합니다.

요약

이 실습에서는 Nmap 을 사용하여 은밀한 네트워크 스캔을 수행하는 방법을 배웠습니다. 이는 사이버 보안 전문가에게 필수적인 기술입니다. 먼저 제어된 환경에서 스캔 연습을 위해 간단한 웹 서버가 있는 테스트 환경을 설정했습니다. 그런 다음 SYN 스캔 기법을 사용하여 기본적인 은밀 스캔을 탐색했습니다. 이 기법은 정확한 결과를 제공하고 탐지 위험을 줄여 모니터링되는 시스템에 경고를 발생시키지 않고 보안 감사에 유용합니다.

마지막으로 유휴 스캔과 같은 더 고급의 은밀한 스캔 방법을 탐구했습니다. 이 기법은 스캔의 기원을 숨길 수 있습니다. 실습 환경에서는 적용이 제한적이었지만, 실제 상황에서 어떻게 작동하는지 배웠습니다. 또한 다양한 포트 상태를 이해하고 서로 다른 스캔 기법의 출력을 비교하여 스캔 결과를 해석하는 연습을 했습니다. 이러한 은밀한 스캔 기법을 숙달하면 사이버 보안 작업에서 철저한 네트워크 평가를 수행할 수 있습니다.