[Network] – 라이브 호스트 스캐닝 ­

호스트 스캐닝 개요· 원격 시스템의 라이브 호스트를 검색하여 통신 할 수 있다· 스캐닝은 로컬 네트워크 및 외부 네트워크 내에서 수행할 수 있다· ping, nmap,arping과 같은 도구 사용​​

>

​※공격자 입장에서 생각하기​· 라이브 호스트 스캔은 API 라이프 사이클 중 내부 정찰에 포함· 내부정찰이 전 단계에서 공격자는 타겟 네트워크에 침투하여 첫 번째 호스트를 장악· 공격자는 첫 번째 희생자 시스템이 속한 네트워크를 스캔· 다른 라이브 호스트를 파악하여 더 중요한 정보를 얻을 수 있음.· 라이브 호스트 스캐닝을 통해 공격자는 HR 서버 (임원 및 직원 관련 정보를 포함하는 서버)나 중요· 데이터를 가지고 있을 시스템과 같은 대상을 인프라 구조에서 찾을 수 있음· 그런 다음 공격자는 스캔한 핵심 시스템에 침투 할수 있음​ 네트워크를 스캔하여 라이브 호스트 파악하는 방법​· 라이브 호스트스캔은 APT공격 라이프사이클 중 내부정찰에 포함​​1. ping​· 두 시스템 간의 연결을 테스트 하는데 사용되는 네트워크 진단 도구· ICMP(Internet Control Message Protocol) 기반으로 동작​2. Nmap​· Nmap에는 네트워크 호스트를 스캔하는 많은 기능들을 포함· 열려있는 포트를 확인합니다· 실행 중인 서비스를 확인 (애플리케이션 이름, 버전, 제공하는 서비스)· 사용하는 운영체제를 확인(OS 버전)​3. Arping​· ARP(Address Resolution Protocol) 기반 으로 동작· 로컬 네트워크의 모든 호스트에게 브로드캐스트 패킷을 보내고 응답을 받음· Arping은 오직 로컬이더넷 네트워크 호스트들만 스캔(인터넷인 외부 네트워크는 안됨)​​유틸리티 비교유틸리티 비교 – Ping· ping은 편리하지만 기본적으로 Windows 방화벽에 의해 차단· Windows의 방화벽 정책이 설정된 경우 해당 네트워크 호스트 스캔을 할 수 없음· 이 툴은 기본으로 설정되지만 원하는 경우 룰을 설정할 수 있다.​​유틸리티비교-Nmap· Nmap은 유용한 기능이 많지만 너무 무거움· 단순 스캐닝 하기 위해 너무 많은 옵션과 기능을 가지고 있는 것을 의미· 그래서 Nmap은 확인된 호스트의 포트를 스캔하거나 OS 정보 확인 등에 사용​유틸리티비교-Arping· 브로트 캐스트 패킷을 로컬 네트워크의 모든 호스트에게 보냄· 호스트들은 ARP(Address Resolution Protocol)의 특성 때문에 요청에 응답· ARP는 로컬 네트워크 통신에서 필요한 프로토콜· 모든 시스템은 ARP 요청이 들어오면 응답해야 함· 모든 호스트는 Arping이 보낸 브로드 캐스트 요청에 응답· 공격자는 Arping을 사용하여 라이브 호스트를 쉽게 파악할 수 있음

댓글 달기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다