OS / 방화벽 탐지

▶ 배너 그래빙 (Banner Grabbing) 

※ 배너 (Banner)

• 텔넷과 같은 원격지 시스템에 로그인 시 나타나는 "안내문" 같은 것
• 해당 "배너"를 확인하는 기술이 "배너 그래빙"
• 시스템의 OS를 확인하는 가장 기본적인 방법
• 방화벽, IDS에도 배너가 있으며 21, 25, 110, 143번 Port에도
  'telnet [공격 대상 IP] [공격 Port 번호]' 의 형태로 입력 시 배너 그래빙 가능

사진과 같이 telnet 명령어 입력을 통해 OS와 커널의 버전을 확인 가능.

 

※ 방어법

• telnet 접속 시 사용되는 배너는 시스템 관리자가 변경 가능하다.
• 따라서, 관리자가 배너에 사용될 내용을 수정하여 방어가 가능하다.

 

---

 

▶ TCP/IP 반응을 이용한 탐지 

• TCP/IP에 대한 반응이 OS 별로 상이
  • FIN 스캔 이용
    - FIN 스캔이 적용될 수 있는 OS는 Window, BSD, Cisco, IRIS 등
  • 세션 연결 시의 TCP 패킷 시퀀스 넘버 관찰
    - 윈도우 : 시간에 따른 시퀀스 넘버 생성
    - 리눅스 : 완전한 랜덤값
    - FreeBSD, IRIX, 솔라리스 : 시간에 따른 랜덤값...

 

▶ Netcraft 탐지 

• https://sitereport.netcraft.com/ 사이트를 통해 사이트 정보를 확인

netcraft

Netcraft는 URL을 통한 해당 사이트의 다양한 정보를 보여주는 사이트이다.

 

Netcraft 사이트에 네이버 주소를 입력하여 정보를 알아보자

 

• 네이버 사이트 이름, 처음 사이트가 공개된 일자, 주요 언어, 사이트 설명...
• 사이트 주소 및 도메인, Name서버, 호스팅 국가 등 다양한 사이트 정보를 확인할 수 있다.

 

---

 

▶ 방화벽 탐지 

※ 방화벽?

• 침입자를 차단하는 시스템의 1차 방어선
• 시스템 접속에 대한 허용 / 차단 을 결정

 

방화벽 유무를 알 수 있는 가장 쉬운 방법

- tracert 명령어 사용

tracert www.naver.com

 

네이버 사이트를 예시로 tracert 명령어를 사용하여 www.naver.com  까지의 라우터 경로를 추적

tracert 명령어에 의해서 각 경로에 있는 Router까지의 시간이 표시된다.

* 문자로 표현되며 요청 시간이 만료되었습니다. 라는 문구가 있는 빨간 원 부분을 볼 수 있다.

위와 같은 상황이 발생하는 이유는 크게 2가지로

• 해당 라우터에서 자체적으로 필터링을 진행 중
• 방화벽이 존재하여 tracert의 접근을 차단

 

 

※ 방화벽의 ACL을 알아내는 방법

 

firewalk의 원리

1. 방화벽이 탐지되면, 방화벽까지의 TTL보다 1만큼 더 큰 TTL값을 생성하여 전송
2. 방화벽이 패킷을 차단? 
   → 아무 패킷도 반환 X
3. 방화벽이 패킷을 그대로 보냈다?
   → 패킷은 다음 라우터에서 소멸, 해당 라우터가 ICMP Time Exceeded (Type11) 전송
4. 공격자는 ICMP Time Exceeded 메세지를 받은 Port가 열린 Port 이다! 추측 가능.