Nmap 스캔 문제 해결 방법: 패킷 추적 및 디버깅

소개

이 랩에서는 패킷 추적 및 디버깅 기술을 사용하여 Nmap 스캔 문제를 해결하는 방법을 배우게 됩니다. 이 랩은 네트워크 패킷을 관찰하기 위해 --packet-trace 옵션을 사용하여 Nmap 스캔을 실행하고, -d2로 디버그 레벨 2 를 활성화하며, 추적과 디버깅을 결합하는 과정을 안내합니다.

또한 -oN을 사용하여 추적 출력을 파일에 저장하고 Xfce 터미널 내에서 패킷 세부 정보를 분석하여 스캔 문제를 식별하는 방법도 배우게 됩니다. 이 랩에서는 nmap --packet-trace 192.168.1.1, nmap -d2 127.0.0.1, 그리고 nmap --packet-trace -oN trace.txt 127.0.0.1과 같은 명령어를 사용하여 Nmap 스캔 문제 진단에 대한 실질적인 경험을 제공합니다.

nmap --packet-trace 192.168.1.1 을 사용하여 패킷 추적과 함께 스캔 실행

이 단계에서는 Nmap 과 함께 --packet-trace 옵션을 사용하여 스캔 중에 송수신되는 패킷을 관찰합니다. 이는 Nmap 이 네트워크 수준에서 정확히 무엇을 하는지 이해할 수 있게 해주는 강력한 디버깅 도구입니다.

시작하기 전에 패킷 추적이 무엇인지 간략하게 논의해 보겠습니다. 패킷 추적은 네트워크 패킷을 캡처하고 분석하여 두 개 이상의 장치 간의 통신을 이해하는 것을 포함합니다. Nmap 의 --packet-trace 옵션은 Nmap 내에서 직접 이러한 패킷을 볼 수 있는 간소화된 방법을 제공합니다.

패킷 추적으로 스캔을 수행하려면 다음 단계를 따르세요.

터미널 열기: 아직 열려 있지 않은 경우 Xfce 터미널을 실행합니다.
Nmap 명령어 실행: 터미널에서 다음 명령어를 입력하고 Enter 키를 누릅니다.
```
sudo nmap --packet-trace 192.168.1.1
```
- sudo: 이 명령어는 네트워크 패킷을 캡처하기 위해 root 권한이 필요합니다.
- nmap: 이것은 명령줄 Nmap 스캐너입니다.
- --packet-trace: 이 옵션은 Nmap 에게 송수신하는 패킷의 추적을 인쇄하도록 지시합니다.
- 192.168.1.1: 이것은 대상 IP 주소입니다. 이 IP 주소를 네트워크에서 사용할 수 없는 경우, LabEx VM 에서 접근 가능한 장치의 IP 주소로 바꿀 수 있습니다. 일반적인 대안은 127.0.0.1 (localhost) 입니다.
출력 관찰: 이제 Nmap 은 대상 IP 주소를 스캔하고 송수신된 각 패킷에 대한 자세한 정보를 인쇄합니다. 출력은 패킷 유형 (예: SYN, ACK), 소스 및 대상 IP 주소와 포트, 기타 관련 정보를 표시합니다.

출력은 다음과 유사하게 보일 것입니다 (정확한 출력은 네트워크 및 대상 호스트에 따라 다릅니다).
```
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
SENT (0.0034s) to 192.168.1.1: TCP 192.168.1.100:54321 > 192.168.1.1:80 S ttl=64 id=12345 win=65535
RECV (0.0045s) from 192.168.1.1: TCP 192.168.1.1:80 > 192.168.1.100:54321 SA ttl=64 id=67890 win=14600
SENT (0.0045s) to 192.168.1.1: TCP 192.168.1.100:54321 > 192.168.1.1:80 A ttl=64 id=12346 win=65535
...
Nmap done: 1 IP address (1 host up) scanned in 0.123 seconds
```
각 줄은 패킷을 나타냅니다. SENT는 Nmap 에서 보낸 패킷을 나타내고, RECV는 Nmap 에서 받은 패킷을 나타냅니다. SENT 또는 RECV 뒤의 정보는 패킷의 프로토콜 (TCP), 소스 및 대상 IP 주소와 포트, 플래그 (S 는 SYN, A 는 ACK, SA 는 SYN-ACK), TTL (Time To Live), ID 및 윈도우 크기를 설명합니다.
스캔 중단: 스캔은 잠시 동안 계속됩니다. Ctrl+C를 눌러 중단할 수 있습니다.

이 단계에서는 --packet-trace 옵션을 사용하여 Nmap 의 네트워크 활동에 대한 통찰력을 얻는 방법을 시연했습니다. 다음 단계에서는 다른 디버깅 옵션과 기술을 탐구할 것입니다.

nmap -d2 127.0.0.1 로 디버그 레벨 2 활성화

이 단계에서는 Nmap 에서 디버그 레벨 2 를 활성화합니다. 디버깅 출력은 Nmap 의 내부 작업에 대한 자세한 정보를 제공하며, 이는 Nmap 의 작동 방식을 이해하고 문제를 해결하는 데 도움이 될 수 있습니다.

Nmap 의 디버깅 레벨은 1 에서 9 까지입니다. 레벨이 높을수록 더 자세한 출력을 제공합니다. 이 단계에서는 세부 정보와 가독성 사이의 균형을 잘 이루는 디버그 레벨 2 를 사용합니다.

디버그 레벨 2 를 활성화하려면 다음 단계를 따르세요.

터미널 열기: 아직 열려 있지 않은 경우 Xfce 터미널을 실행합니다.
Nmap 명령어 실행: 터미널에서 다음 명령어를 입력하고 Enter 키를 누릅니다.
```
sudo nmap -d2 127.0.0.1
```
- sudo: 이 명령어는 스캔 유형에 따라 root 권한이 필요할 수 있습니다.
- nmap: 이것은 명령줄 Nmap 스캐너입니다.
- -d2: 이 옵션은 디버그 레벨을 2 로 설정합니다.
- 127.0.0.1: 이것은 대상 IP 주소이며, 루프백 주소 (localhost) 입니다.
출력 관찰: 이제 Nmap 은 localhost 를 스캔하고 디버깅 정보를 터미널에 인쇄합니다. 출력에는 Nmap 의 구성, 전송하는 프로브, 수신하는 응답에 대한 세부 정보가 포함됩니다.

출력은 다음과 유사하게 보일 것입니다 (정확한 출력은 다를 수 있습니다).
```
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
--------------- Timing report ---------------
  hostgroups: min 1, max 1024
  rtt-timeouts: init 1250, min 100, max 10000
  max-scan-delay: 0 ms, brtt 1250 ms, rttvar 625 ms
  parallelism: min 1, max 256
---------------------------------------------
...
Nmap done: 1 IP address (1 host up) scanned in 0.123 seconds
```
출력은 스캔 중에 Nmap 이 수행한 다양한 내부 매개변수 및 결정을 보여줍니다. 이러한 세부 정보는 Nmap 이 어떻게 작동하는지 이해하고 문제를 진단하는 데 유용할 수 있습니다.
스캔 중단: 스캔은 잠시 동안 계속됩니다. Ctrl+C를 눌러 중단할 수 있습니다.

이 단계에서는 Nmap 에서 디버그 레벨 2 를 활성화하는 방법을 시연했습니다. 다음 단계에서는 패킷 추적과 디버깅 출력을 결합하여 더욱 자세한 분석을 수행합니다.

nmap --packet-trace -d 192.168.1.1 로 추적 및 디버그 결합

이 단계에서는 --packet-trace 및 -d 옵션을 결합하여 Nmap 의 작동에 대한 포괄적인 보기를 얻습니다. 이는 패킷 수준의 세부 정보와 내부 디버깅 정보를 모두 제공하여 고급 문제 해결 및 Nmap 의 동작 이해에 매우 유용할 수 있습니다.

패킷 추적과 디버깅을 결합하려면 다음 단계를 따르세요.

터미널 열기: 아직 열려 있지 않은 경우 Xfce 터미널을 실행합니다.
Nmap 명령어 실행: 터미널에서 다음 명령어를 입력하고 Enter 키를 누릅니다.
```
sudo nmap --packet-trace -d 192.168.1.1
```
- sudo: 이 명령어는 네트워크 패킷을 캡처하기 위해 root 권한이 필요합니다.
- nmap: 이것은 명령줄 Nmap 스캐너입니다.
- --packet-trace: 이 옵션은 Nmap 에게 송수신하는 패킷의 추적을 인쇄하도록 지시합니다.
- -d: 이 옵션은 디버깅 출력을 활성화합니다. 기본적으로 디버그 레벨을 1 로 설정합니다. -d2, -d3 등을 사용하여 디버그 레벨을 높일 수 있습니다. 이 경우 기본 레벨 1 을 사용합니다.
- 192.168.1.1: 이것은 대상 IP 주소입니다. 이 IP 주소를 네트워크에서 사용할 수 없는 경우, LabEx VM 에서 접근 가능한 장치의 IP 주소로 바꿀 수 있습니다. 일반적인 대안은 127.0.0.1 (localhost) 입니다.
출력 관찰: 이제 Nmap 은 대상 IP 주소를 스캔하고 패킷 추적과 디버깅 정보를 모두 터미널에 인쇄합니다. 출력은 패킷 세부 정보 (1 단계에서 확인) 와 내부 Nmap 메시지 (2 단계에서 확인) 가 혼합된 형태가 됩니다.

출력은 다음과 유사하게 보일 것입니다 (정확한 출력은 네트워크 및 대상 호스트에 따라 다릅니다).
```
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
SENT (0.0034s) to 192.168.1.1: TCP 192.168.1.100:54321 > 192.168.1.1:80 S ttl=64 id=12345 win=65535
RECV (0.0045s) from 192.168.1.1: TCP 192.168.1.1:80 > 192.168.1.100:54321 SA ttl=64 id=67890 win=14600
NSE: Using Lua engine for script processing.
SENT (0.0045s) to 192.168.1.1: TCP 192.168.1.100:54321 > 192.168.1.1:80 A ttl=64 id=12346 win=65535
...
Nmap done: 1 IP address (1 host up) scanned in 0.123 seconds
```
SENT 및 RECV 줄이 NSE: Using Lua engine for script processing.와 같은 디버깅 메시지와 함께 번갈아 나타나는 것을 볼 수 있습니다.
스캔 중단: 스캔은 잠시 동안 계속됩니다. Ctrl+C를 눌러 중단할 수 있습니다.

이 단계에서는 Nmap 에서 패킷 추적과 디버깅 출력을 결합하는 방법을 시연했습니다. 이 조합은 Nmap 스캔을 이해하고 문제 해결을 위한 강력한 도구를 제공합니다.

nmap --packet-trace -oN trace.txt 127.0.0.1 로 추적 출력 저장

이 단계에서는 패킷 추적 출력을 나중에 분석할 수 있도록 파일에 저장합니다. 이는 패킷 세부 정보를 더 자세히 검토하거나 다른 사람과 출력을 공유하려는 경우에 유용합니다. Nmap 은 다양한 형식으로 스캔 결과를 저장하기 위한 여러 옵션을 제공합니다. 여기서는 일반 출력 형식 (-oN) 을 사용하여 패킷 추적을 저장합니다.

패킷 추적 출력을 파일에 저장하려면 다음 단계를 따르세요.

터미널 열기: 아직 열려 있지 않은 경우 Xfce 터미널을 실행합니다.
Nmap 명령어 실행: 터미널에서 다음 명령어를 입력하고 Enter 키를 누릅니다.
```
sudo nmap --packet-trace -oN trace.txt 127.0.0.1
```
- sudo: 이 명령어는 스캔 유형에 따라 root 권한이 필요할 수 있습니다.
- nmap: 이것은 명령줄 Nmap 스캐너입니다.
- --packet-trace: 이 옵션은 Nmap 에게 송수신하는 패킷의 추적을 인쇄하도록 지시합니다.
- -oN trace.txt: 이 옵션은 출력을 일반 형식으로 trace.txt 파일에 저장하도록 지정합니다. 파일은 현재 디렉토리 (~/project) 에 생성됩니다.
- 127.0.0.1: 이것은 대상 IP 주소이며, 루프백 주소 (localhost) 입니다.

출력 관찰: Nmap 은 localhost 를 스캔하고 패킷 추적을 터미널에 인쇄하며, trace.txt 파일에도 저장합니다.

터미널 출력은 다음과 유사합니다.

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
SENT (0.0034s) to 127.0.0.1: TCP 127.0.0.1:54321 > 127.0.0.1:80 S ttl=64 id=12345 win=65535
RECV (0.0045s) from 127.0.0.1: TCP 127.0.0.1:80 > 127.0.0.1:54321 SA ttl=64 id=67890 win=14600
SENT (0.0045s) to 127.0.0.1: TCP 127.0.0.1:54321 > 127.0.0.1:80 A ttl=64 id=12346 win=65535
...
Nmap done: 1 IP address (1 host up) scanned in 0.123 seconds

파일 생성 확인: 스캔이 완료된 후, trace.txt 파일이 ~/project 디렉토리에 생성되었는지 확인합니다. ls 명령어를 사용하여 확인할 수 있습니다.
```
ls ~/project
```
출력에서 trace.txt를 볼 수 있어야 합니다.
파일 내용 보기: cat 명령어 또는 nano와 같은 텍스트 편집기를 사용하여 trace.txt 파일의 내용을 볼 수 있습니다.
```
cat ~/project/trace.txt
```
또는
```
nano ~/project/trace.txt
```
파일에는 터미널에 인쇄된 것과 동일한 패킷 추적 출력이 포함됩니다.

이 단계에서는 Nmap 의 패킷 추적 출력을 파일에 저장하는 방법을 시연했습니다. 다음 단계에서는 Xfce 터미널에서 패킷 세부 정보를 분석합니다.

Xfce 터미널에서 패킷 상세 정보 분석

이 단계에서는 Nmap 의 --packet-trace 옵션으로 캡처된 패킷 세부 정보를 분석합니다. 패킷 추적 출력을 이해하면 네트워크 문제를 진단하고, Nmap 프로브가 작동하는 방식을 이해하며, 잠재적인 보안 취약점을 식별하는 데 도움이 될 수 있습니다. Xfce 터미널에서 grep 명령어를 사용하여 특정 패킷을 필터링하고 검사합니다.

패킷 세부 정보를 분석하려면 다음 단계를 따르세요.

터미널 열기: 아직 열려 있지 않은 경우 Xfce 터미널을 실행합니다.
trace.txt 파일 검토: 이전 단계에서 패킷 추적 출력을 ~/project 디렉토리의 trace.txt 파일에 저장했습니다. 해당 단계를 수행하지 않았다면 먼저 돌아가서 완료하십시오.
grep을 사용하여 패킷 필터링: grep 명령어는 텍스트 파일을 검색하는 강력한 도구입니다. 이를 사용하여 trace.txt 파일을 필터링하고 특정 기준과 일치하는 패킷을 찾을 수 있습니다.

예를 들어, 포트 80 으로 전송된 모든 패킷을 찾으려면 다음 명령어를 사용할 수 있습니다.
```
grep " > 127.0.0.1:80" ~/project/trace.txt
```
- grep: 텍스트 검색을 위한 명령줄 유틸리티입니다.
- " > 127.0.0.1:80": 이것은 검색 패턴입니다. " > 127.0.0.1:80"을 포함하는 줄을 찾습니다. 이는 localhost (127.0.0.1) 의 포트 80 으로 전송된 패킷을 나타냅니다. > 앞의 공백은 소스 포트와 일치하는 것을 방지하는 데 중요합니다.
- ~/project/trace.txt: 패킷 추적 출력을 포함하는 파일의 경로입니다.
출력은 trace.txt 파일에서 검색 패턴과 일치하는 모든 줄을 표시합니다. 예를 들어:
```
SENT (0.0034s) to 127.0.0.1: TCP 127.0.0.1:54321 > 127.0.0.1:80 S ttl=64 id=12345 win=65535
RECV (0.0045s) from 127.0.0.1: TCP 127.0.0.1:80 > 127.0.0.1:54321 SA ttl=64 id=67890 win=14600
SENT (0.0045s) to 127.0.0.1: TCP 127.0.0.1:54321 > 127.0.0.1:80 A ttl=64 id=12346 win=65535
```
패킷 세부 정보 분석: 출력을 검토하여 패킷 세부 정보를 이해합니다. 출력은 패킷의 방향 (SENT 또는 RECV), 소스 및 대상 IP 주소와 포트, 프로토콜 (TCP) 및 기타 플래그와 옵션을 보여줍니다.
- SENT: Nmap 에서 전송된 패킷을 나타냅니다.
- RECV: Nmap 에서 수신된 패킷을 나타냅니다.
- TCP 127.0.0.1:54321 > 127.0.0.1:80: 소스 IP 주소 및 포트 (127.0.0.1:54321) 와 대상 IP 주소 및 포트 (127.0.0.1:80) 를 보여줍니다.
- S: SYN 플래그가 설정되었음을 나타내며, TCP 연결을 시작하는 데 사용됩니다.
- SA: SYN-ACK 플래그가 설정되었음을 나타내며, SYN 패킷에 대한 응답입니다.
- A: ACK 플래그가 설정되었음을 나타내며, 수신된 데이터를 승인하는 데 사용됩니다.
- ttl: Time to live (TTL).
- id: IP identification number (ID).
- win: Window size (윈도우 크기).
다양한 grep 패턴 실험: 특정 요구 사항에 따라 패킷 추적 출력을 필터링하기 위해 다양한 grep 패턴을 시도해 보세요. 예를 들어:
- 모든 SYN 패킷을 찾으려면:
```
grep "S ttl=" ~/project/trace.txt
```
- 포트 80 에서 수신된 모든 패킷을 찾으려면:
```
grep "from 127.0.0.1:80" ~/project/trace.txt
```
- 특정 IP ID 를 가진 모든 패킷을 찾으려면:
```
grep "id=12345" ~/project/trace.txt
```

grep을 사용하여 패킷 추적 출력을 필터링하고 분석함으로써 Nmap 의 동작과 Nmap 이 생성하는 네트워크 트래픽에 대한 더 깊은 이해를 얻을 수 있습니다.

Xfce 터미널에서 스캔 문제 식별

이 단계에서는 Nmap 의 패킷 추적 및 디버그 출력을 사용하여 잠재적인 스캔 문제를 식별합니다. 여기에는 재전송, 예상치 못한 응답 또는 응답 부족과 같은 패킷 교환의 이상 현상을 찾는 것이 포함됩니다. 이러한 문제를 분석하여 스캔 문제를 해결하고 Nmap 스캔의 정확성과 신뢰성을 향상시킬 수 있습니다.

스캔 문제를 식별하려면 다음 단계를 따르세요.

터미널 열기: 아직 열려 있지 않은 경우 Xfce 터미널을 실행합니다.
trace.txt 파일 검토: 이전 단계에서 패킷 추적 출력을 ~/project 디렉토리의 trace.txt 파일에 저장했습니다. 이 파일이 존재하고 패킷 추적 정보를 포함하는지 확인합니다.
재전송 찾기: 재전송은 패킷이 대상 호스트에 의해 승인되지 않아 Nmap 이 패킷을 다시 보낼 때 발생합니다. 이는 네트워크 정체, 패킷 손실 또는 트래픽을 차단하는 방화벽을 나타낼 수 있습니다. grep을 사용하여 재전송을 검색합니다.
```
grep "Retransmission" ~/project/trace.txt
```
"Retransmission"을 포함하는 줄이 표시되면 Nmap 이 패킷을 다시 보내야 했음을 나타냅니다. 이는 네트워크 문제 또는 방화벽의 징후일 수 있습니다.
TCP 플래그 분석: 패킷 추적에서 TCP 플래그를 검사하여 TCP 연결 상태를 이해합니다. 예상치 못한 플래그 조합 또는 누락된 플래그를 찾습니다. 예를 들어, 해당 SYN-ACK 응답이 없는 SYN 패킷은 방화벽이 연결을 차단하고 있음을 나타낼 수 있습니다.

grep을 사용하여 특정 TCP 플래그를 필터링할 수 있습니다. 예를 들어, SYN 패킷을 찾으려면:
```
grep "S ttl=" ~/project/trace.txt
```
그리고 SYN-ACK 패킷을 찾으려면:
```
grep "SA ttl=" ~/project/trace.txt
```
보낸 SYN 패킷 수와 수신된 SYN-ACK 패킷 수를 비교합니다. SYN 패킷보다 SYN-ACK 패킷이 현저히 적으면 문제가 있음을 나타낼 수 있습니다.
예상치 못한 응답 확인: 때때로 대상 호스트는 ICMP 오류 메시지와 같은 예상치 못한 응답을 보낼 수 있습니다. 이러한 응답은 스캔이 실패하는 이유에 대한 귀중한 정보를 제공할 수 있습니다.

ICMP 패킷을 찾으려면 다음 명령어를 사용합니다.
```
grep "ICMP" ~/project/trace.txt
```
ICMP 메시지를 분석하여 오류의 특성을 이해합니다. 예를 들어, "Destination Unreachable"은 대상 호스트에 연결할 수 없음을 나타냅니다.
누락된 응답 찾기: Nmap 이 프로브를 보내고 응답을 받지 못하면 대상 호스트가 다운되었거나, 방화벽이 트래픽을 차단하고 있거나, 프로브가 전송 중에 손실되었음을 나타낼 수 있습니다.

패킷 추적을 검사하여 응답을 받지 못한 프로브를 식별합니다. 예를 들어, 포트 80 으로 SYN 패킷을 보냈지만 SYN-ACK 패킷을 받지 못했다면 포트 80 이 닫혀 있거나 필터링되었음을 나타낼 수 있습니다.
디버그 출력 고려: 이전 단계에서는 패킷 추적에 중점을 두었지만, 디버그 출력 (-d 또는 -d2에서) 도 귀중한 단서를 제공할 수 있음을 기억하세요. 이는 종종 Nmap 의 내부 의사 결정 프로세스에 대한 정보를 포함하여 특정 방식으로 작동하는 이유를 이해하는 데 도움이 될 수 있습니다. 불행히도 이전 단계에서는 디버그 출력을 파일에 저장하지 않았지만, 실제 시나리오에서는 패킷 추적과 함께 해당 출력을 분석합니다.

패킷 추적 및 디버그 출력을 신중하게 분석하여 잠재적인 스캔 문제를 식별하고 해결 단계를 수행할 수 있습니다. 이렇게 하면 Nmap 스캔의 정확성과 신뢰성이 향상됩니다.

요약

이 랩에서는 --packet-trace 옵션을 사용하여 스캔 중에 교환된 네트워크 패킷을 관찰함으로써 Nmap 의 디버깅 기능을 탐구했습니다. 여기에는 Xfce 터미널에서 sudo nmap --packet-trace 192.168.1.1 (또는 대안으로 127.0.0.1) 명령을 실행하고 패킷 유형, 소스 및 대상 IP 주소와 포트, 기타 관련 정보를 포함하는 자세한 출력을 분석하는 작업이 포함되었습니다.

핵심 내용은 --packet-trace가 Nmap 내에서 직접 네트워크 패킷을 볼 수 있는 간소화된 방법을 제공하여 Nmap 의 네트워크 수준 작업을 더 깊이 이해하고 잠재적인 스캔 문제 식별을 용이하게 한다는 것을 이해하는 것입니다.