Stealth Scanner를 만들어 보자~! (1)

       

1.    Stealth Scanning이란?

 

보통 우리가 사용하는 일반적인 포트 스캐너들의 작동 원리는 굉장히 간단합니다.

단순히 타겟의 특정 포트에 접속을 시도 한 후, 만약 접속 성공을 의미하는 값인 0이 반환되면,

"열림", 그렇지 않다면 "닫힘"이라는 내용의 문장을 화면에 출력해 주는 방식을 사용하는

것입니다. 하지만 이 방법을 사용함에 있어서 우리가 한가지 염두 해야 할 사실이 있습니다.

그것은 바로 리눅스를 비롯한 유닉스 기반의 시스템들은 외부로부터의 모든 접속에 대한 로그

기록을 남긴다는 점입니다. 즉, 우리가 특정 타겟에 포트 스캐닝을 한다면, 그 사실은 모두

스캐닝을 당한 서버의 로그로 기록 됩니다. 그리고 보통 그 로그 기록을 본 서버 관리자는

당신에게 불법적인 접속 시도에 대한 항의를 하게 될 것입니다. 이것은 악의적인 목적을 가지고

스캐닝을 했던 안 했던 간에 여간 찝찝한 일이 아닐 수 없습니다. 만약 당신이 벌써 이런 경험을

한 적이 있는 해커 지망생이라면, 아마도 로그를 남기지 않으면서 포트 스캐닝을 하는 방법에

대하여 궁금해 할 것입니다. 그리고 조금만 관심을 갖고 관련 자료를 검색한다면, 타겟 서버에

로그를 남기지 않으면서 스캐닝을 하는 것, 그것이 바로 "Stealth Scanning"이라는 것을 알게

될 것입니다. 이 문서에서는 이 Stealth Scanning에 대한 기본 지식과 구현 원리. 그리고 실제

제작 방법에 대하여 아주 상세하게 설명 합니다. 한가지 알아두어야 할 점은 이 문서는 절대

"Stealth Scanning 기법을 이용하여 몰래 스캔하는 방법"을 알리려는 것이 아니라는 것입니다.

만약 그런 것이 목적이라면, 패킷스톰 등의 Exploit 사이트에 가면 쉽게 구할 수 있는 Stealth

Scanning Tool을 하나 가져와 사용 방법을 알려주는 것이 훨씬 빠를 것입니다. 이 문서의 목적은

"Stealth Scanning"이라는 흥미로운 매개체를 통하여 우리가 평상시에 다룰 기회가 없었던,

혹은 너무 어렵거나 지루해서 다가가지 못했던 "Raw Socket Programming"에 대한 학습을

조금이라도 더 쉽고 재미있게 하자는 것에 있습니다.

 

2.    Stealth Scanner를 만들고 싶다고라~?

 

이 문서를 보고 Stealth Scanner를 만들고 싶다면 다음과 같은 것들을 미리 알고 있어야 합니다.

 

첫째, C언어 대한 기본 지식 및 프로그래밍 경험.

à 우리는 C언어를 이용하여 Stealth Scanner를 만들 것입니다. 따라서 어느 정도 C언어를

다룰 줄 알아야 이 문서의 내용을 이해할 수 있을 것입니다.

 

둘째, 소켓 프로그래밍에 대한 기본 지식.

à 자유형도 할 수 없는 사람이 배영을 할 수 있을까요? Socket Programming에서

더욱 깊게 들어간 것이 Raw Socket Programming입니다. 물론 배영부터 배워도 모라고 그럴

사람은 없겠지만, 아마 다른 사람들보다 학습 시간이 두 배는 더 걸릴 것입니다. 따라서

아직 소켓 프로그래밍을 할 줄 모른다면, 인터넷에서 쉽게 구할 수 있는 "Beej의 네트워크

프로그래밍 강좌"등을 먼저 학습하시기를 권장합니다.

 

셋째, TCP/IP에 대한 기본 지식.

à 이 문서에서 설명될 Stealth Scanning 기법은 TCP와 IP의 헤더를 직접 제작하는

것에서부터 시작됩니다. 따라서 당연히 TCP가 뭔지 IP가 뭔지는 알고 있어야 할 것입니다.

그 외 Packet 및 Network Layer등의 기본 지식을 가지고 있다면 문서를 읽는데 훨씬 수월할 것입니다.

 

3.    Raw Socket Programming 강좌를 시작합니다.

 

Raw Socket Programming이란 무엇일까요? 여기서 Raw란 "아직 손대지 않은~!"대충

이런 뜻을 가지고 있는 단어입니다. 만약 내 앞에 도장으로 쓰일 나무가 하나 있다고 해봅시다.

그런데 어떤 사람이 그 나무 위에 이미 자기 이름을 새겨 놓았다면? 나는 그 나무를 내 도장으로

쓸 수 없을 것입니다. 하지만 나에게 도장으로 쓰일 빈 나무가 주어진다면? 나는 내가 원하는

대로 이름을 새겨 나만의 도장으로 만들 수 있을 것입니다.

 

일반적인 "Socket"과 "Raw socket"의 차이점도 이와 같습니다. 우리가 만약 일반적인

방법으로 소켓을 하나 생성하면, 그 소켓의 내용.. 즉, 실질적으로 얘기하자면 TCP Header,

IP Header 등의 값이 Kernel에 의해 자동으로 정해집니다. 따라서 우리가 그 값을 직접 지정할

수 있는 권한이 없어져 버립니다. 하지만, Raw Socket으로 소켓을 생성하면, 그 소켓은 앞서

설명한 대로 "아직 손대지 않은~!" 것이 됩니다. 역시 실질적으로 얘기하자면, TCP Header,

IP Header 그 외 UDP, ICMP, IGMP Header 등의 값을 우리가 직접 결정할 수 있는 상태가 된다는

말입니다.

 

그럼 왜 Kernel이 자동으로 정할 수 있는 값을 어렵게 우리가 직접 만드는

이상한 짓을 할까요? 만약 TCP, IP Header 등을 우리 마음대로 조작할 수 있다면, 완성된 패킷은

충분히 비정상적일 수 있습니다. 그리고 그런 비정상적인 패킷을 이용하면, Stealth Scanning,

OS Detection, Denial Of Service 등의 역시 비정상적인(?) 행동을 할 수 있게 되는 것입니다.

 

Raw Socket에 대해 어느 정도 이해를 하였다면 이제 실제 Raw Socket을 이용하여 Packet을

만드는 과정에 대하여 알아보도록 합시다. 다음은 Raw Socket에 의해 Packet이 만들어지는 과정입니다.

 

[ Raw Socket에 의해 Packet이 만들어지는 과정 ]

 

1. socket() 함수를 이용하여 소켓을 생성한다. 단, 이 때 두 번째 인자(type)의

값을 반드시"SOCK_RAW"로 지정하고 세 번째 인자(protocol)의 값은

"IPPROTO_RAW"로 지정한다.

 

Ex) sockfd = socket( AF_INET, SOCK_RAW, IPPROTO_RAW );

 

2. 이제 setsockopt() 함수를 이용하여 "우리가 직접 헤더의 값을 지정할 수

있도록" 이 소켓의 옵션을 변경해 주어야 한다.

 

Ex) setsockopt( sockfd, IPPROTO_IP, IP_HDRINCL, (char *)&value,

sizeof( value ) );

 

4. IP Header 구조체의 값을 직접 채운다.

3. TCP Header 구조체의 값을 직접 채운다.

5. 우리만의 Packet Header 완성!!

6. 특정 서버로 패킷 발사~!

7. 스니핑(Sniffing) 프로그램을 이용하여 우리가 만든 Packet이 제대로 전송

되었는지를 확인.

 

이상입니다. 생각보다 간단하죠? 실제 프로그래밍 과정도 그리 복잡하지 않습니다.

자, 그럼 이제 위 시나리오대로 프로그래밍해 나가 볼까요?

       

[ Raw Socket Programming 예제 ]

 

// 일반적인 헤더 파일 포함 #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h>   // Socket 관련 헤더 파일 포함 #include <sys/socket.h> #include <sys/types.h> #include <arpa/inet.h> #include <netinet/in.h>   // tcp/ip 관련 헤더 파일 포함 #include <linux/ip.h> #include <linux/tcp.h>   int main() {         // 이제부터 우리가 만들 Packet이 저장되는 변수.         // TCP 헤더와 IP 헤더가 각각 20바이트 임으로 총 40바이트가 되었습니다.         unsigned char packet[40];                 // 로우 소켓 디스크립터.         int raw_socket;           // 참을 나타내는 값인 1이 저장되는 변수. 용도는 뒤에 설명~!         int on = 1 ;           // IP 헤더 구조체 변수         struct iphdr *iphdr;           // TCP 헤더 구조체 변수.         struct tcphdr *tcphdr;           // sendto() 함수에서 사용할 받는 이의 주소 값.         struct sockaddr_in address;           // 이제 변수 선언은 끝났습니다. 그럼 지금부터 로우 소켓을 만들어 볼까요?           // 두 번째와 세 번째 인자에 주목! 평소에는 SOCK_STREAM와 IPPROTO_TCP를         // 사용했었죠? 하지만 로우 소켓을 만들 때는 아래와 같은 값을 넣어줘야 // 합니다. 그리고 최대한 소스를 간결하게 하기 위해 에러 처리는 생략하도록 // 하겠습니다.         raw_socket = socket( AF_INET, SOCK_RAW, IPPROTO_RAW );           // 함수 명 그대로 소켓의 옵션을 세팅하겠다~ 라는 뜻의 함수입니다.         // 두 번째 인자는 프로토콜의 레벨, 세, 네 번째 인자는 각각 옵션 항목과 // 값을 의미하고, 마지막 인자는 그 값의 크기를 의미합니다.         // 여기서 함수 원형을 보면 네 번째 인자는 주소 값을 요구하므로, 1이라는 // 값이 저장된 on 이라는 변수를 만든 후 그 변수의 주소 값을 넣어 // 주었습니다. 우리가 설정한 값은 "이제부터 패킷의 헤더를 직접 만들겠다!" // 를 의미합니다.           setsockopt( raw_socket, IPPROTO_IP, IP_HDRINCL, (char *)&on, sizeof(on) ); // 함수 원형 -> // int setsockopt( int s, int level, int name, const void *val, int len )           // 자~! 그럼 이제부터 TCP 헤더를 직접 만들어 볼까요? 우리가 보통 // TCP/IP라고 말하지만 실제 Packet에서는 IP 헤더가 앞쪽에 위치 한답니다. // 따라서 다음과 같이 앞 20바이트에 IP 헤더가 들어갈 20바이트의 // 자리를 남겨두어야 합니다. // 이 부분이 이해 안 가시는 분은 포인터 공부를 먼저 하셔야 할겁니다. tcphdr = (struct tcphdr *)(packet + 20 );           // 모든 값을 0으로 초기화. memset( (char *)tcphdr, 0, 20 );           // 발신자의 발신 포트, 마음대로 지정~!         tcphdr->source = htons( 777 );                 // 수신자의 포트 지정.         tcphdr->dest = htons( 12345 );           // Sequence Number 지정. 보통 10자리 미만의 숫자 값.         tcphdr->seq = htonl( 92929292 );           // Acknowledgement Number의 값. 마찬가지.         tcphdr->ack_seq = htonl( 12121212 );   // offset의 값 지정.         tcphdr->doff = 5;   // SYN flag 설정         tcphdr->syn = 1;           // 윈도우 사이즈.         tcphdr->window = htons( 512 );   // 메시지가 무사히 도착했는지 나타내는 값. 일단 임의의 값인 1로 설정. // 중요한 변수라는 걸 꼭 기억해 두세요.         tcphdr->check = 1;           // * 자~! 이제 TCP 헤더 제작이 끝났습니다. 간단하죠? ^^ // 여기서 잠깐, 쉬운 이해를 위해 우리가 만든 TCP 헤더를 도식화 해봅시다   [ 그림으로 표현된 TCP 헤더 ]    -à   [ 우리가 값을 채워넣은 모습 ]   // 직접 값을 지정해 주지 않은 부분은 처음에 초기화했던 대로 0 입니다. // 그럼 이번엔 IP 헤더를 만들어 보도록 합시다.           // 우리가 설정하는 값이 직접 packet 변수에 저장되도록 연결해 줍니다.         iphdr = (struct iphdr *)packet;           // 모든 값을 0으로 초기화.         memset( (char *)iphdr, 0, 20 );           // IP Version의 값은 4로 설정.         iphdr->version = 4;                 // IP Header Length의 값을 5로 설정.         iphdr->ihl = 5;           // protocol을 TCP로 설정.         iphdr->protocol = IPPROTO_TCP;           // 패킷의 총 길이는 40으로 설정.         iphdr->tot_len = 40;           // 각각의 패킷을 구분할 때 쓰이는 ID, 임의의 값으로 설정.         iphdr->id = htons( 777 );           // 기본 Time To Live의 값.         iphdr->ttl = 60;   // 체크섬 값.. 중요한 것이라고 말했죠? 기억하고 계세요.         iphdr->check = 1;           // 발신자의 IP 설정. 내 마음대로~!         iphdr->saddr = inet_addr( "111.111.111.111" );           // 수신자의 IP 설정. 이건 실제 패킷을 받게 될 IP를 적어줘야겠죠?         // 이 강좌에서는 외부에 있는 리눅스 서버(211.189.88.58)에서 제 윈도우 // 컴퓨터(218.149.4.60)로 패킷을 보내는 예로 설명할 것입니다.         iphdr->daddr = inet_addr( "218.149.4.60" );     // * 드디어 IP 헤더 제작도 끝났습니다.~ // 역시 눈으로 한번 확인해 보도록 합시다.   [ 그림으로 표현된 IP 헤더 ]    -à   [ 우리가 값을 채워넣은 모습 ]           // 자~! 그럼 이제 지금까지 제작한 패킷을 날려 볼까요?           // 일단 패킷을 받게 될 곳의 주소 정보를 지정합니다.         // 참고로 아까 지정한 포트와 주소는 헤더에 저장되는 값이고,         // 이번에 적어주는 것은 sendto() 함수에서 사용하는 것입니다.         address.sin_family = AF_INET;         address.sin_port = htons( 12345 );         address.sin_addr.s_addr = inet_addr( "218.149.4.60" );           // 패킷 발사!! sendto( raw_socket, &packet, sizeof(packet), 0x0, (struct sockaddr *)&address, sizeof(address));   }

 

 

끝났습니다. 지금까지 최대한 간단한 방법으로 Raw Socket Programming을 해 보았

습니다. 이제 이 기본적인 코드에서 조금씩 조금씩 응용을 하고, 필요한 부분에

살을 붙이는 연습만 하면 Raw Socket은 내 손안으로~ 들어오게 됩니다.

 

그럼, 과연 지금까지 만든 패킷이 정상적으로 상대방 컴퓨터까지 전달이 될 것

인지 확인해 보는 작업이 필요할 것입니다. 확인 작업은 간단하게 패킷 스니퍼를

이용하면 되겠지요? 패킷 스니퍼를 이용하면 서버에서 오고 가는 모든 패킷을

눈으로 쉽게 확인할 수 있게 됩니다.

 

자주 사용되는 패킷 스니퍼에는 TCPDUMP, Sniffit, Ethereal, Spynet등이 있으며,

여기에선 Ethereal 프로그램을 사용해 보도록 하겠습니다. 이 프로그램은

www.ethereal.org에서 리눅스/윈도우용 모두 다운로드 받을 수 있습니다.

 

먼저 지금까지 작성한 코드를 컴파일 합니다.

    

 

그리고 패킷을 확인하기 위해 패킷 스니퍼 프로그램 ethereal을 실행 시킵니다.

 

 

이제 Capture->Start->OK 버튼을 눌러 패킷 스니핑을 시작하고, ./raw_socket 프로그램을

실행한 후, STOP 버튼을 눌러 패킷 스니핑을 중지합니다. 그럼 다음과 같이 패킷 스니핑을

하는 동안에 오고 간 패킷 정보가 화면에 나타납니다.

 

 

그리고 이 패킷 정보들을 자세히 보면, 우리가 직접 제작하여 전송한 패킷을 찾을 수 있습니다.

 

[ 우리가 만들어 보낸 패킷 ]

 

이제 이 패킷을 더블 클릭하면, 상세 정보가 아래쪽에 있는 윈도우에 출력됩니다.

 

[ 전송받은 패킷의 IP HEADER 정보 ]

 

[ 전송받은 패킷의 TCP HEADER 정보 ]

 

위의 값들을 유심히 살펴보면, 우리가 직접 만들었던 그 헤더의 값이 고스란히

전달되었다는 것을 알 수 있습니다. 그 중 눈 여겨 볼 만한 것은 우리가 거짓으로

만들었던 발신자 IP와 PORT 그리고 FLAG 등의 값을 클라이언트 측에서 전적으로

신뢰하고 있다는 점입니다.

 

이처럼 Raw Socket을 이용하면, 패킷의 정보를 우리가 원하는 대로 조작할 수

있으며, 이것은 바로 IP Spoofing과 D.o.S 공격 그리고 OS 탐지 기술 등의

시초가 됩니다.

 

그럼 이번엔 또 다른 테스트로, TCP와 IP 헤더의 몇 가지 값을 변경하여 패킷을

날려보도록 합시다.

 

// 발신자의 IP

iphdr->saddr = inet_addr( "111.111.111.111" );

----à 수정

iphdr->saddr = inet_addr( "210.210.210.210." );

 

// Flag 값들

tcphdr->syn = 1;

----à 수정

tcphdr->rst = 1;

tcphdr->fin = 1;

 

역시 패킷 스니퍼를 이용하여 결과 값을 확인해 볼까요?

 

[ 발신자 주소 = 210.210.210.210. ]

 

[ FLAG = FIN + RST ]

 

위처럼 다시 한번 Raw Socket Programming을 이용하면 패킷 헤더의 값을 원하는

대로 조작할 수 있다는 사실을 확인하였습니다.

 

그럼 이번 강좌는 여기서 마치도록 하고, 다음 강좌에선 이번에 제작한 프로그램의

문제점에 대하여 설명하도록 하겠습니다.