스텔스 스캔이란?

세션을 완전히 성립하지 않고 공격 대상의 포트 활성화 여부를 알아내기 때문에, 시스템에 로그가 남지 않게 하는 스캔 기법이다.

그 종류로는 X-MAS SCAN, NULL SCAN, FIN SCAN 등이 있다.

---

X-MAS SCAN

X-MAS SCAN은 스텔스 스캔으로 TCP 헤더를 조작하여 스캔하는 대상에 로그를 남기지 않는다.

NULL SCAN, FIN SCAN 와 같은 성질(열려있으면 응답 없음, 닫혀있으면 RST 패킷이 돌아옴)을 가진다.

FIN, PSH, URG 플래그를 설정하거나, 모든 플래그를 설정하여 보낸다.

💡 이름이 X-MAS SCAN인 이유는 크리스마스 트리처럼 반짝거리게 플래그를 설정해서 이 이름이다.

포트가 열려있을 때

포트가 닫혀있을 때

실습

명령어

nmap -sX -p 1-1023 192.168.64.1

분석파일

위 사진처럼 FIN, PSH, URG 플래그가 모두 활성화된 상태로 보내고, 활성화되있지 않은 포트에서는 RST, ACK 응답이 온다.

53(DNS)는 활성화되어 있어서 RST, ACK 응답이 안 오는 걸 볼 수 있다.

---

NULL SCAN

NULL SCAN은 스텔스 스캔으로 TCP 헤더를 조작하여 스캔하는 대상에 로그를 남기지 않는다.

X-MAS SCAN, FIN SCAN 와 같은 성질(열려있으면 응답 없음, 닫혀있으면 RST 패킷이 돌아옴)을 가진다.

플래그를 설정하지 않고 보낸다.

포트가 열려있을 때

포트가 닫혀있을 때

실습

명령어

nmap -sN -p 1-1023 192.168.64.1

분석파일

위 사진처럼 플래그가 모두 비활성화된 상태([])로 보내는데, 포트가 활성화되있지 않으면 RST, ACK 패킷이 온다

53(DNS)는 활성화되어 있어서 RST, ACK 응답이 안 오는 걸 볼 수 있다.

---

FIN SCAN

FIN SCAN은 스텔스 스캔으로 TCP 헤더를 조작하여 스캔하는 대상에 로그를 남기지 않는다.

NULL SCAN, X-MAS SCAN 와 같은 성질(열려있으면 응답 없음, 닫혀있으면 RST 패킷이 돌아옴)을 가진다.

FIN 플래그만 설정하여 보낸다.

포트가 열려있을 때

포트가 닫혀있을 때

실습

명령어

nmap -sF -p 1-1023 192.168.64.1

분석파일

위 사진처럼 FIN 플래그만 활성화된 상태로 보내는데, 포트가 활성화 되어있지 않으면 RST, ACK 응답이 온다.

53(DNS)는 활성화되어 있어서 RST, ACK 응답이 안 오는 걸 볼 수 있다.

---

스텔스 스캔의 장점

• 스텔스 스캔이므로, 연결로그가 남지 않는다.