TCP stealth 스캔

와븨 2023. 4. 8. 20:13

: 공격자는 정상적인 3-way handshake 과정이 완료되지 않게하여 로그가 남기지 않도록 포트를 스캔하는데, 이것을 stealth 스캔이라고 함.

Xubuntu에서 와이어샤크를 실행하고, ens33을 선택해준다.

Kali에서 nmap을 실행해준다.
*일반적으로 TCP스캔은 -sT 사용

Xubuntu에서 실행시킨 와이어샤크를 확인하면 다수의 SYN과 RST-ACK 패킷을 확인할 수 있다.

tcp.stream으로 필터링해서 TCP에서의 패킷 흐름을 파악한다.

tcp.stream eq 0 으로 필터링 : 열려있는 포트의 흐름 확인

tcp.stream eq 2 로 필터링 : 닫혀있는 포트의 흐름 확인

554 포트는 닫혀있음을 알 수 있음

21번 포트는 열려있음을 확인할 수 있음