stealth scan - tcp fin scan, tcp x-mas scan, tcp null scan

tcp fin scan 

 

 

원래는 연결을 종료할떄 쓰는것이 fin 패킷

 

 

하지만 최초 접속 시도할떄 syn 대신 fin 패킷을 전송합니다

 

 

 

 

 

 

 

 

 

이런식으로

 

처음으로 보냈는데도

fin 패킷을 전송합니다

조작을 한다고 생각하면됩니다

 

 

열린포트는 반응이없고

 

닫힌포트는 rst-ack 수신을하며

 

반응이 없는 경우 보안장비에서 차단합니다

 

 

조작된 패킷은아니지만

존재할수는있지만 상황에 맞지않는것이다

 

 

 

======================

 

 

 

 

실습

 

 

 

 

 

nmap -sF 192.168.~~~~~ 이런식으로 진행합니다

 

 

FIN패킷을 보냈고 

닫힌 패킷은 바로 RST,ACK 신호로 닫힌것을 나타내면서

 

열린것에는 반응이없는 것을 직접 눈으로 볼수있엇습니다.

 

 

 

 

 

 

 

=====================================2)

 

 

tcp x-mas scan

 

패킷자체를 조작하고

 

최초 접속 시도시 syn 대신 u, p, f 패킷 전송

 

열린포트는 반응이없고

 

 

 

 

 

 

이런식으로 포트스캐닝을하면서  패킷을 일정하게보내는것을 확인할수있다.

 

 

 

 

syn: 접속시도

fin: 접속끊는것

 

syn              000010

syn +ack       010010

ack

rst

rst + ack

fin

fin + ack

 

 

하지만

 

syn+fin 은 같이 나올수없습니다.

유형이 다르기때문에

 

111111

101001

 

제어비트를 전부다 체크하기떄문에 xmas scan이라고도 했지만

101001도 요즘 xmas scan이라고부릅니다

 

 

 

=======================

 

실습 명령어

 

 

nmap -sX 192.168.~~~

 

이런식으로 진행하면됩니다.

 

 

 

 

 

============================================

 

TCP null scan

 

 

최초 접속 시도시 syn 대신 모든 제어비트가 0인 패킷을 전송합니다.

 

열린포트는 반응이없습니다.

 

딱히 실습은 하지않겠습니다 tcp null scan은