스캔 - 운영체제 탐지

배너는 첫번 쨰에 나오는 소개문구 입니다.

 

배너를 찾아보는 방식으로 운영체제를 탐지합니다.

서버의 버전, 종류등을 찾아볼 수 있습니다.

 

텔넷에 로그인 할 때 내용을 보면

텔넷에 대한 정보뿐만아니라 우분투에 대한 종류와 버전이 나옵니다.

 

 

베너그래빙 실습을 해봅시다.

스캔 대상은 그냥 자기 자신을 해도 됩니다.

 

텔넷을 쓰면 포트 23번을 써서 서버쪽으로 원격접속을 합니다.

하지만 뒤에 숫자를 쓰면 그 숫자로 접속을 합니다.

ex)21으로 합니다.

 

21번은 ftp 서버입니다.

 

어떤 결과가 나오나면 ftp 서버에 접속하는 결과가 나옵니다.

 

서버가 21번 포트가 리스닝 상태여야 합니다.

 

21번 포트로 접속을 하게 됩니다.

안내 문구를 자세히 보면 vsFTPD 3.03으로 나옵니다.

ftp의 종류, 버전이 나옵니다.

서버의 버전을 알 수 있습니다.

 

클라이언트 프로그램으로 특정 서버에 접속 할 수 있습니다.

 

 

예전 버전의 패키지들이 깔려져 있을 수 있습니다.

 

gedit은 소프트웨어 입니다.

 

재구동이 잘 됐는지 확인하는 방법이 2가지 있스빈다.

netstat -an|grep ":21" 으로 21번 포트가 있는지 확인 합니다.

21번이 살아 있다면 ftp 대문이 살아있다는 것 입니다.

ftp localhost를 했을 때 내용이 뜨면 대몬이 잘 떠있는 것 입니다.

install ftp를 하면 ftp 클라이언트 프로그램도 깔 수 있습니다.

 

HTTP 서버 배너 그래빙 해보기

윈도우 2012서버나 

우분투에서 아파치 웹서버를 인스톨해서 실행해도 됩니다.

 

GET을 통해서 첫 번째 페이지를 달라할 수 있습니다.

 

url을 적는거에 따라 특정 페이지의 정보도 얻을 수 있습니다.

 

 

운영체제를 탐지하기 위한 또다른 방법

TCP/IP 반응을 살펴보는 방법이 있습니다.

 

tcp/ip는 커널안에 동작이 필수적입니다.

 

tcp/ip 반응을 보고 운영체제가 어떤것이다 하고 추정을 할 수 있습니다.

 

하지만 방화벽, 바이러스 탐색을 어떻게 해놨냐에 따라 다릅니다.

 

FIN이 잘 되는 것은 윈도우, BSD 같은 것 입니다.

 

tcp패킷의 시퀀스 넘버를 관찰해서 os를 추정할 수 있습니다.

 

 

 

운영체제를 탐지하기 위한 또다른 방법 - Netcraft 이용하기

시스템의 취약점들을 분석해주는 사이트 입니다.

 

이 사이트가 언제 개시되었고, ip가 어느 대역을 가지고 있는지, ip가 어디서부터 할당받았는지 

서버의 os가 무엇인지 등을 알려줍니다.

 

 

방화벽에 대해 배워봅시다

1차 방어선 입니다.

허락된 트래픽, 패킷들만 보냅니다.

 

방화벽 위치를 알기 쉬운 방법은 Traceroute 입니다.

 

 

TTL 값을 2로 설정했다면 2번째 홉에서 뭔가 알려줘야 합니다.

* 가 찍힌 곳은 시간 내에 보내지 않은 것입니다.

 

물론 * 가 라우터일 수 도 있습니다.(오버헤드가 크기 때문에 보내는 설정을 안해놓습니다.)

 

*가 있는 곳이 방화벽이 있을 가능성이 있습니다.

 

 

방화벽의 ACL을 알아내는 방법입니다.

방화벽에서도 접속 제어를 합니다.(필터링을할지, 통과시킬지)

그 기준이 있을 것입니다. 그 기준이 ACL(Access Control List) 입니다.

 

 

방화벽의 ACL을 알아내는 방법이 firewalk입니다.

 

1. 방화벽이 나오면 TTL 값이 1큰 패킷을 보냅니다.

2. 방화벽이 차단할 경우 아무것도 돌아오지 않습니다.

3. 만약 그대로 통과시키면 다음 라우터에서 timeout이 되서 ICMP TIME Exceeded가 돌아올 것입니다.

4. 메세지를 보낼 때 포트번호를 달리해서 어느 포트번호가 열렸는지 확인 할 수 있습니다.

 

공격자가 어떤 ip가 허가가 되는지, 어떤 포트가 열였는지 알 수 있습니다.

 

 

그림으로 봐봅시다

TTL 값이 0이되는 홉수는 *가 나옵니다.

 

거기에 +1을 해서 보내봅시다.

 

만약 차단이 되면 firewalk라면 아무런 메세지가 오지 않을 것입니다.

내가 포트번호도 바꿔보고 TTL값도 바꿔보고 firewalk를 했는데 어느 순간 되돌아올 수 있습니다.

 

아! 내가 보낸 것들이 방화벽에 막혔었구나 라고 알 수 있습니다.