TCP Half Scanning 알아보기

TCP Half Scanning은 이름 그대로 연결을 절반만 하는 스캐닝 방식이다. Stealth Scan이라고도 한다.

TCP SYN 스캔이라고도 하는데 , SYN을 목표물에 보낸 뒤 돌아오는 응답을 보고 포트가 열렸는지 닫혔는지 확인하는 Scanning 방식이다. 이 방식의 동작 방식은 어떻게 되는지 알아보자. 

 

 

 

포트가 열려있을 때는 아래의 과정처럼 진행된다. 

해커는 목표물에 SYN을 보낸다. 그리고 목표물은 SYN + ACK를 응답으로 보낸다.

SYN + ACK가 응답으로 왔다는 것은 목표물의 포트가 열려있다는 것이다.

목표물의 포트가 열려있음을 확인했기 때문에 더이상 연결을 유지할 필요가 없다.

목표를 달성했기 때문이다. 그래서 RST를 보내 연결을 종료시킨다.

TCP Half Scan 포트가 열렸을 경우 나타나는 연결 과정

 

 

 

 

 

포트가 닫혀있을 때는 아래의 과정처럼 진행된다. 

해커는 목표물에 SYN을 보낸다. 그리고 목표물은 RST + ACK를 응답으로 보낸다.

RST + ACK가 응답으로 왔다는 것은 목표물의 포트가 닫혀있기 때문이다.

TCP Half Scan 포트가 닫혔을 경우 나타나는 연결 과정

 

 

 

 

응답이 없거나 ICMP Unreachable이 나타날 수도 있다. 

이 경우에는 방화벽에 의해 패킷이 차단된 경우 또는 방화벽이 알 수 없는 패킷에 대해 응답하지 않도록 패킷 값을 버리도록 설정되어 있는 경우이다.

방화벽에 의해 필터링을  당할 경우

 

 

 

 

정리하자면,

- 타겟에 SYN을 보냈을 때 SYN + ACK 응답이 온다면 포트가 열린 것이다.

- 타겟에 SYN을 보냈을때 RST + ACK 응답이 온다면 포트가 닫힌 것이다.

- 장점은 완벽한 3 Way Handshake를 진행하지 않기 때문에 로그가 남지 않는다.

- nmap 명령어 : nmap -sS -p 포트번호 IP주소