네트워크 해킹 - 01. Footprinting 단계

Footprinting 단계]

 1. 의미 

   공격을 위한 사전 준비 단계, 주로 정보 수집을 목적으로 함.

 2. 단계 

   1) 공격 대상의 위치 정보 파악 - DNS

   2) 공격 대상의 서비스 정보 파악 - port scan            <서비스 프로그램, 버전, 운영체제, 취약상태>

   3) 공격대상에 대한 분류 및 정리 (Enumeration) - 이것이 중요! (회사다니면 이거 많이 챙기세욥)

   4) 예비 테스트

   5) Attack (접근)

   6) Post Attack (자료 유출, 데이터 파괴, 흔적 제거)

 3. Port scan 

   - Port scan 과정을 통해 실행 중인 서비스, 프로그램 버전, 운영체제 탐지 및 취약점 정보를 취득한다.

   - 주로 사용되는 도구로 open source 방식의 nmap(운영체제 가리지 않음), superscan(windows) 등이 사용된다.

   - scan 방식은 관리적 scan과 stealth scan으로 구분된다.

     관리적 scan - 공격자가 공격했을 때 stealth scan보다 더 좋은 방식이지만, 걸릴 확률이 높다.

    <super scan>

   - 다운로드 http://www.mcafee.com/kr/downloads/free-tools/superscan.aspx#

    <nmap>

   - 다운로드 https://nmap.org/

   # nmap [-options] Target_IP_Addr

   # nmap 192.168.xx.xx                 : 관리자 스캔 방식. (기본 TCP 사용)

   # nmap -sT 192.168.xx.xx         : 관리자 스캔 방식. (connect scan)

   # nmap -sT -p 1-80 192.168.xx.xx : -p 포트 지정 옵션

   # nmap -sT -p 22 192.168.xx.xx

   # nmap -sT -p 20,21,80 192.168.xx.xx

   # nmap -sT -p 22 192.168.xx.xx -v[vv]

   

   (syn scan - Stealth scan)

   # nmap -sS -p 1-80 192.168.xx.xx -v[vv] : -sS TCP Syn flag를 이용한 scan 방식

   * 대표적 stealth 스캔 방식으로 syn 데이터만 전송하는 방식

   * 3way handshake가 완료되지 않아 시스템 자체 로그는 남지 않음.

   

   (Ack scan - FW detection scan)

   # nmap -sA -p 1-80 192.168.xx.xx -v[vv] : -sA TCP Ack flag를 이용한 scan 방식

   * 비정상적 데이터 탐지를 위해 사용되는 스캔 방식으로 방화벽에서 해당 데이터를 차단하는 지 검사할 때 사용됨.

 memo 

상대방을 해킹하고 싶을 때, 알아야 할 것

1. IP address, hostname, 위치에 대한 정보

2. 어떤 서비스(or 프로그램)를 하고 있는지 (포트 정보)

3. 네트워크 연결되어있는지