시스템관리자의 쉼터 커피닉스 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
 FAQFAQ   검색검색   멤버리스트멤버리스트   사용자 그룹사용자 그룹   사용자 등록하기사용자 등록하기 
 개인 정보개인 정보   비공개 메시지를 확인하려면 로그인하십시오비공개 메시지를 확인하려면 로그인하십시오   로그인로그인 

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..




BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시
포트 스캔 공격에 대한 질문 드립니다.

 
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> 네트웍 관리 / 보안
이전 주제 보기 :: 다음 주제 보기  
글쓴이 메시지
ahab01
손님





올리기올려짐: 2008.3.31 월, 10:09 am    주제: 포트 스캔 공격에 대한 질문 드립니다. 인용과 함께 답변

며칠 전부터 미국의 특정한 IP에서 회사에서 사용하고 있는

IP 대역에 대해서 포트 스캔이 들어오고 있습니다.

방화벽을 junifer를 쓰는 중이라 포트 스캔을 하는 IP 대역을 다 막아버렸는데

궁금한 것이 있어서 질문을 드립니다.

방화벽에 로그가 남는 것을 보면

(소스) (목적지-회사내부 IP)
72.167.43.142:80 211.xxx.xxx.xxx:53019
72.167.43.142:80 211.xxx.xxx.xxx:52763

(목적지 포트번호는 랜덤하게 변경됩니다.)

이런 식으로 소스포트가 80으로 되어 있는데요. 이건 방화벽을

회피하기 위해서 이렇게 하는 것인지요.

그리고 스캔 로그를 보면 시간대가 30초 간격으로 IP 하나에 대해서

스캔하고 30초 후에 그 다음 IP에 대해서 스캔 하는 식이더군요.

만약 무작위로 스캔 하는 것이라면 컴퓨터가 연결되어 있지 않은 IP에 대해서도

스캔로그가 남아야 할 텐데 로그에 남는 IP는 다 컴퓨터가 연결되어 있는

IP 입니다.

공격 준비를 위한 포트 스캔인것 같아서 좀 불안합니다.

뭔가 도움이 될 만한 정보가 있다면 알려주시면 감사하겠습니다.
위로
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2008.3.31 월, 1:48 pm    주제: Re: 포트 스캔 공격에 대한 질문 드립니다. 인용과 함께 답변

ahab01 씀:
며칠 전부터 미국의 특정한 IP에서 회사에서 사용하고 있는

IP 대역에 대해서 포트 스캔이 들어오고 있습니다.

방화벽을 junifer를 쓰는 중이라 포트 스캔을 하는 IP 대역을 다 막아버렸는데

궁금한 것이 있어서 질문을 드립니다.

방화벽에 로그가 남는 것을 보면

(소스) (목적지-회사내부 IP)
72.167.43.142:80 211.xxx.xxx.xxx:53019
72.167.43.142:80 211.xxx.xxx.xxx:52763

(목적지 포트번호는 랜덤하게 변경됩니다.)

이런 식으로 소스포트가 80으로 되어 있는데요. 이건 방화벽을

회피하기 위해서 이렇게 하는 것인지요.

그리고 스캔 로그를 보면 시간대가 30초 간격으로 IP 하나에 대해서

스캔하고 30초 후에 그 다음 IP에 대해서 스캔 하는 식이더군요.

만약 무작위로 스캔 하는 것이라면 컴퓨터가 연결되어 있지 않은 IP에 대해서도

스캔로그가 남아야 할 텐데 로그에 남는 IP는 다 컴퓨터가 연결되어 있는

IP 입니다.

공격 준비를 위한 포트 스캔인것 같아서 좀 불안합니다.

뭔가 도움이 될 만한 정보가 있다면 알려주시면 감사하겠습니다.


저 부분은 내부에서 외부 72.167.43.x 의 80포트로 나가는 것으로도 판단할 수 있습니다.

1. 내부 서버나 PC에서 외부 사이트로 접속할 필요가 있어서 접속한 경우 (즉, 정상적인 활동 중의 하나)
2. 내부 서버나 PC에서 웜 등에 감염되어서 주기적으로 저 80포트로 접속시도한 경우

우선 사내에서 발생하는 것이면, 다양한 안티 바이러스툴로 PC의 바이러스를 검사해보세요.
그리고, 72.167.43.x 간에 전송되는 패킷을 확인해보시면 더욱 명확할 것입니다.
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
ahab01
손님





올리기올려짐: 2008.3.31 월, 2:43 pm    주제: Re: 포트 스캔 공격에 대한 질문 드립니다. 인용과 함께 답변

truefeel 씀:
ahab01 씀:
며칠 전부터 미국의 특정한 IP에서 회사에서 사용하고 있는

IP 대역에 대해서 포트 스캔이 들어오고 있습니다.

방화벽을 junifer를 쓰는 중이라 포트 스캔을 하는 IP 대역을 다 막아버렸는데

궁금한 것이 있어서 질문을 드립니다.

방화벽에 로그가 남는 것을 보면

(소스) (목적지-회사내부 IP)
72.167.43.142:80 211.xxx.xxx.xxx:53019
72.167.43.142:80 211.xxx.xxx.xxx:52763

(목적지 포트번호는 랜덤하게 변경됩니다.)

이런 식으로 소스포트가 80으로 되어 있는데요. 이건 방화벽을

회피하기 위해서 이렇게 하는 것인지요.

그리고 스캔 로그를 보면 시간대가 30초 간격으로 IP 하나에 대해서

스캔하고 30초 후에 그 다음 IP에 대해서 스캔 하는 식이더군요.

만약 무작위로 스캔 하는 것이라면 컴퓨터가 연결되어 있지 않은 IP에 대해서도

스캔로그가 남아야 할 텐데 로그에 남는 IP는 다 컴퓨터가 연결되어 있는

IP 입니다.

공격 준비를 위한 포트 스캔인것 같아서 좀 불안합니다.

뭔가 도움이 될 만한 정보가 있다면 알려주시면 감사하겠습니다.


저 부분은 내부에서 외부 72.167.43.x 의 80포트로 나가는 것으로도 판단할 수 있습니다.

1. 내부 서버나 PC에서 외부 사이트로 접속할 필요가 있어서 접속한 경우 (즉, 정상적인 활동 중의 하나)
2. 내부 서버나 PC에서 웜 등에 감염되어서 주기적으로 저 80포트로 접속시도한 경우

우선 사내에서 발생하는 것이면, 다양한 안티 바이러스툴로 PC의 바이러스를 검사해보세요.
그리고, 72.167.43.x 간에 전송되는 패킷을 확인해보시면 더욱 명확할 것입니다.


답변 달아주셔서 감사합니다...^^

내부에서 외부로 접속할 때도 그럴 수 있군요..

조금 더 궁금한 것이 있어서 문의 드립니다.

사내에 사용하는 컴퓨터가 linux 와 Xp를 같이 사용하는 중입니다.

스캔하는 IP가 시간대에 따라서 켜져 있는 컴퓨터를 대상으로 들어오는 걸로 봐서 말씀하 신대로 웜 같기도 한데 좀 이상한 점이 있어서요..

72.167.43.x 이 아이피가 스캔 하는 IP 중에는 linux가 설치된 컴퓨터의 IP 와

무선랜 AP 장치에 할당한 IP나 프린터에 공유를 위해서 할당한 IP도 있습니다.

이런 장치는 스스로 외부로 접속하지는 않을 것 같습니다.

결국 답변해 주신 대로 패킷 캡쳐를 해봐야 되는거 같은데 이 경우에는 허브에 미러링 포트를 설정해서 캡쳐를 해봐야 하는지요.

궁금한 것은 많은데 질문에 두서가 없어서..^^
위로
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2008.3.31 월, 7:42 pm    주제: Re: 포트 스캔 공격에 대한 질문 드립니다. (패킷 보기) 인용과 함께 답변

ahab01 씀:
답변 달아주셔서 감사합니다...^^

내부에서 외부로 접속할 때도 그럴 수 있군요..

조금 더 궁금한 것이 있어서 문의 드립니다.

사내에 사용하는 컴퓨터가 linux 와 Xp를 같이 사용하는 중입니다.

스캔하는 IP가 시간대에 따라서 켜져 있는 컴퓨터를 대상으로 들어오는 걸로 봐서 말씀하 신대로 웜 같기도 한데 좀 이상한 점이 있어서요..

72.167.43.x 이 아이피가 스캔 하는 IP 중에는 linux가 설치된 컴퓨터의 IP 와

무선랜 AP 장치에 할당한 IP나 프린터에 공유를 위해서 할당한 IP도 있습니다.

이런 장치는 스스로 외부로 접속하지는 않을 것 같습니다.

결국 답변해 주신 대로 패킷 캡쳐를 해봐야 되는거 같은데 이 경우에는 허브에 미러링 포트를 설정해서 캡쳐를 해봐야 하는지요.

궁금한 것은 많은데 질문에 두서가 없어서..^^


사무실에서 볼 때 맨 앞단 네트웍 장비에서 미러링 포트를 설정하고, 그 포트에 스니퍼를 돌릴 수 있는 PC나 서버를 연결하면 됩니다.
Ethereal(현재는 이름이 Wireshark으로 바뀌었죠.)이나 sniffer, ngrep 등 으로 보시면 됩니다. tcpdump도 함께 보면 좋습니다.

그리고, dest IP(사무실 IP)의 포트가 일관성있게 증가하는게 아니라면 포트스캐닝이 아닐 가능성이 큽니다.
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
이전 글 표시:   
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> 네트웍 관리 / 보안 시간대: GMT + 9 시간(한국)
페이지 11

 
건너뛰기:  
새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다


Powered by phpBB © 2001, 2005 phpBB Group