TCP Xmas Scanning 알아보기

TCP Xmas Scanning의 Xmas는 우리가 생각하는 그 Xmas가 맞다. 모두가 즐겁고 서로 선물을 주고받고 트리도 만드는 크리스마스. Xmas 트리의 반짝이는 전구와 장식품처럼 여러 가지 Flag가 설정되어 있다는 말도 있고 선물상자처럼 여러 가지 Flag가 한 번에 담겨 있다는 등 해석은 좀 약간씩 다르지만 결국 의미는 같다. Xmas Scanning은 여러 Flag를 한 번에 설정하여 목표물로 보내는 방법이다. TCP Xmas Scanning이 어떻게 동작하는지 알아보자.

 

 

포트가 열려있을 때는 아래의 과정처럼 진행된다.

해커는 목표물에 URG / PSH / FIN을 동시에 설정하여 보낸다.

하지만 상대방은 아무 응답을 하지 않는다.

URG / PSH / FIN 은 연결을 끊을때 보내는 flag인데 목표물은 이 flag를 받기 전에 어떠한 연결 flag를 받은 적이 없다. 즉, TCP 연결을 하려면 3 Way Handshake현상이 일어나야 하는데 아무 일도 없이 URG / PSH / FIN flag를 받았다는 것이다. 다만, 이 경우에는 방화벽에 의해 Filtering 되었을 수도 있다.

거부 응답이 오지 않았으므로 열려 있는 것으로 판단할 수 있다.

 

TCP Xmas Scan 포트가 열렸을 경우 나타나는 연결 과정

 

 

 

 

포트가 닫혀있을 때는 아래의 과정처럼 진행된다.

해커는 목표물에 URG / PSH / FIN을 동시에 설정하여 보낸다.

목표물은 응답으로 RST + ACK를 해커에게 보낸다.

TCP Xmas Scan 포트가 닫혔을 경우 나타나는 연결 과정

 

 

 

정리하자면,

- 타겟에 URG / PSH / FIN을 동시에 설정하여 보냈을 때 응답이 없다면 포트가 열린 것이다.

- 응답이 없는 경우는 방화벽에 의해 필터링되었을 수도 있다.

- URG / PSH / FIN을 동시에 설정하여 보냈을 때 타겟에서 RST + ACK 응답이 온다면 포트가 닫힌 것이다.

- 장점은 포트가 닫혔을 때만 RST + ACK가 오기 때문에 닫힌 포트는 확실히 확인 가능하다.

- nmap 명령어 : nmap -sX -p 포트번호 IP주소