nmap 스텔스 기능은 네트워크 스캔을 수행할 때, 대상 시스템이나 네트워크 관리자에게 스캔 행위를 알리지 않고 은밀하게 진행하는 것을 목적으로 합니다. 이 기능은 보안 전문가가 시스템의 보안 상태를 평가할 때나, 네트워크 관리자가 시스템의 보안 수준을 측정할 때 사용됩니다. nmap의 스텔스 기능은 다양한 옵션을 조합하여 구현할 수 있습니다.
SYN 스캔 (-sS 옵션)
nmap의 가장 대표적인 스텔스 기능 중 하나는 SYN 스캔입니다. 이 스캔 방식은 TCP 연결을 완전히 수립하지 않고, 대상 시스템의 포트 상태를 확인하기 때문에 일반적인 로그에 남지 않습니다. SYN 스캔을 수행하려면 다음 명령어를 사용합니다.
nmap -sS target_ip
FIN 스캔 (-sF 옵션)
FIN 스캔은 TCP 연결 종료를 위한 FIN 플래그를 이용하여 스캔합니다. 일부 시스템에서는 이 스캔 방식으로 인한 로그가 남지 않아 스텔스 스캔으로 사용할 수 있습니다. FIN 스캔을 수행하려면 다음 명령어를 사용합니다.
nmap -sF target_ip
타임아웃 조절 (-T 옵션)
nmap에서 스캔 속도와 타임아웃을 조절하는 옵션으로 -T0부터 -T5까지 6개의 등급이 있습니다. 스텔스 기능을 높이려면 -T0 (Paranoid) 또는 -T1 (Sneaky) 옵션을 사용하여 스캔 속도를 늦추고, 타임아웃을 늘릴 수 있습니다.
nmap -sS -T1 target_ip
포트 스캔 감소 (-p 옵션)
스캔할 포트 범위를 줄이는 것도 스텔스 기능을 향상시키는 방법입니다. -p 옵션을 사용하여 스캔할 포트 범위를 지정할 수 있습니다.
nmap -sS -p 80,443 target_ip
이러한 스텔스 기능을 사용할 때 항상 법적인 측면을 고려하고, 동의를 얻은 시스템에서만 스캔을 수행해야 합니다. 또한, 스캔 결과와 시스템의 실제 상태 사이에 차이가 있을 수 있음을 인지하고, 스텔스 스캔의 한계를 이해하는 것이 중요합니다. 일부 시스템은 스텔스 스캔에 대한 감지 기능을 갖추고 있으며, 이 경우 정상적인 스캔 결과를 얻기 어려울 수 있습니다.
패킷 분할 및 임의화 (-f, --mtu 옵션)
패킷 분할은 스캔 패킷의 크기를 작게 분할하여 IDS/IPS 감지를 피하는 방법입니다. -f 옵션으로 패킷을 분할하거나 --mtu 옵션을 사용하여 패킷 크기를 직접 지정할 수 있습니다.
nmap -sS -f target_ip
nmap -sS --mtu 24 target_ip
임의의 소스 IP 사용 (--spoof-mac, -S 옵션)
소스 IP와 MAC 주소를 임의로 변경하여 스캔하는 것도 스텔스 기능을 향상시키는 방법입니다. --spoof-mac 옵션을 사용하여 MAC 주소를 변경하고, -S 옵션을 사용하여 소스 IP 주소를 변경할 수 있습니다.
nmap -sS --spoof-mac 00:11:22:33:44:55 -S source_ip target_ip
nmap의 스텔스 기능은 은밀한 네트워크 스캔을 수행하고자 할 때 사용되는 다양한 옵션을 제공합니다. 이 기능을 사용하여 보안 평가나 시스템 보안 상태를 확인할 수 있지만, 법적인 측면을 반드시 고려하고 동의를 얻은 시스템에서만 스캔을 수행해야 합니다. 스텔스 스캔의 한계를 인지하고, 적절한 옵션을 조합하여 효과적인 스캔을 수행하십시오.
댓글