[21.9.25] UDP 포트 스캔

http://www.yes24.com/Product/Goods/83538369

보안 실무자를 위한 네트워크 공격 패킷 분석 - YES24

 

해당 서적을 참고하여 작성하였습니다. 

 

 

UDP 포트 스캔의 대략적인 원리

 

victim 서버의 특정 포트가 열린 경우

 

victim 서버의 특정 포트가 닫힌 경우

victim의 서버나 다른 특정 네트워크에 차단 정책이 있을 경우

 

TCP와는 달리 UDP는 데이터를 전송하기 전 3-way-handshake 세션 성립이 없으므로, 신뢰성이 없는 통신이다. 하지만 수신 측의 포트가 닫혀 있을 때 ICMP 프로토콜이 응답하므로 상태 값 정도는 확인할 수 있다. 이러한  UDP의 특징을 이용하여 열려 있는 UDP 포트를 스캔한다.

 

UDP 포트 스캔은 위와 같이 열려 있는 포트는 UDP 응답 값이 수신되며, 닫혀 있는 포트로부터는 ICMP Port Unreachable 패킷이 수신된다. 방화벽과 같은 차단 정책이 있을 때 어떠한 패킷도 응답하지 않는다. 

 

 

 

 

 

Nmap 툴을 이용하여 UDP 포트 스캔의 기본 명령어는 nmap -sU 대상 서버의 IP 형식이다.

 

위와 같이 UDP 포트 스캔의 경우 열려진 포트에 대한 요청 패킷을 전송할 경우 해당 포트의 서비스에 상응하는 응답 패킷이 희생자의 서버로부터 전송된다. NTP 서비스에 대한 포트 123번이 열려 있어 NTP의 요청과 응답이 정상적으로 오고 간 상황인 것을 알 수 있다.

 

 

 

 

 

반면에 닫혀 있는 UDP 포트 스캔을 했을 때 TCP 포트 스캔과는 달리 ICMP Port Unreachable 패킷이 응답되는 것을 볼 수 있다.