| 스캐너 A (Client) |
ACK 목적지 포트번호 2012→ ACK 목적지 포트번호 2013→ ACK 목적지 포트번호 2014→ ACK 목적지 포트번호 2015→ ACK 목적지 포트번호 2015→ ACK 목적지 포트번호 2016→ ACK 목적지 포트번호 2017→ ←ACK 출발지 포트번호 2017 ACK 목적지 포트번호 2018→ |
스캐닝 시스템 B |
위 그림은 스캐너 A와 스캔 대상 시스템 B 사이에서 이루어지는 스캐닝을 표현하고 있다.
① 스캐닝 유형의 명칭은 무엇인가?
TCP Ack Scan
② 해당 스캐닝 유형의 사용 목적은 무엇인가?
사용 목적 : 포트의 개방 여부가 아닌 방화벽의 Rule Set(필터링 정책)을 테스트 하기 위한 스캔으로 방화벽 Rule Set은 대상 방화벽이 상태 기반(Stateful) 여부(TCP 연결 상태 추적), 대상 포트가 방화벽에 의해 필터링이 되고 있는지를 확인하기 위해서 사용한다.
③ 그림상의 응답을 통해 파악할 수 있는 정보를 무엇인가?
방화벽에서 필터링 여부
필터링 시 : 응답없음 또는 ICMP 메시지 받음
필터링 되지 않으면 : RST+ACK 전송
※ ACK 패킷을 이용한 스캔
ACK 패킷을 포토 하나가 아니라 모든 포트에 보내고, ACK 패킷을 받은 시스템은 이에 대한 RST 패킷을 보낸다. RST패킷의 TTL 값과 윈도우 크기 분석 가능하다.
포트가 열린 경우 TTL 값이 64이하인 RST 패킷이 돌아오고, 윈도우가 0이 아닌 임의의 값을 가진 RST 패킷이 돌아온다.
포트가 닫힌 경우 TTL 값이 운영체제에 따라 일정하게 큰 값으며, 윈도우 크기가 0인 RST 패킷이 돌아온다.