TCP FIN Scanning 알아보기

TCP FIN Scanning은 TCP의 flag를 FIN으로 설정하여 Target에 전달하는 방식으로 포트 스캐닝을 진행하는 것이다. 스텔스 스캔 중에 하나로 알려진 TCP FIN Scanning이 어떻게 동작하는지 알아보자.

 

 

포트가 열려있을 때는 아래의 과정처럼 진행된다.

해커는 목표물에 FIN을 보낸다. 하지만 상대방은 아무 응답을 하지 않는다.

FIN은 연결을 끊을때 보내는 flag인데 목표물은 연결을 한 적이 없기 때문에 이 flag에 반응하지 않는다.

다만, 이 경우에는 방화벽에 의해 Filtering 되었을 수도 있다.

거부 응답이 오지 않았으므로 열려 있는 것으로 판단할 수 있다.

TCP FIN Scan 포트가 열렸을 경우 나타나는 연결 과정

 

 

 

 

 

포트가 닫혀있을 때는 아래의 과정처럼 진행된다.

해커는 목표물에 FIN을 보낸다. 목표물은 응답으로 RST + ACK를 해커에게 보낸다.

TCP FIN Scan 포트가 닫혀 있을 경우 나타나는 연결 과정

 

 

 

 

정리하자면,

- 타겟에 FIN을 보냈을 때 응답이 없다면 포트가 열린 것이다.

- 응답이 없는 경우는 방화벽에 의해 필터링되었을 수도 있다.

- 타겟이 FIN을 보냈을 때 RST + ACK 응답이 온다면 포트가 닫힌 것이다.

- 장점은 포트가 닫혔을 때만 RST + ACK가 오기 때문에 닫힌 포트는 확실히 확인 가능하다.

- nmap 명령어 : nmap -sF -p 포트번호 IP주소