Stealth Scanner를 만들어 보자~

Stealth Scanner를 만들어 보자~! (3)

- Stealth Scanner의 구현 원리.

지금까지 기본적인 raw socket programming에 대하여 학습하였습니다.

그럼 이제부터 이 강좌의 최종 목표인 “로그를 남기지 않고 포트 스캔을 하는 방법”

에 대하여 알아보도록 합시다. 도대체 어떻게 raw socket programming을 이용하면

상대방 서버에 포트 스캐닝에 대한 로그를 남기지 않을 수 있을까요? 이에 대한

해답은 서버와 클라이언트 사이의 연결을 생성하는 3 Way Handshake 과정을 이해하면

알 수 있습니다.

- 3 Way Handshake란?

두 컴퓨터 사이에 TCP 연결이 성립되려면, 3 Way Handshake라는 과정을 거쳐야

합니다.“3 Way Handshake”라는 용어는 쉽게 말해 “세 번 패킷을 교환한다~”

라는 의미를 가지고 있습니다. 이것은 서로가 서로를 확인하기 위해 필요한

작업이지요. 간단하게 정리해 보면 다음과 같습니다.

[ A라는 클라이언트와 B라는 서버가 있을 때. A에서 B로 연결되는 과정.]

1 단계 : A에서 B로 SYN 플래그를 담은 패킷을 전송한다.

2 단계 : SYN 플래그가 담긴 패킷을 받은 B는 A로 SYN을 잘 받았다는

SYN+ACK 플래그가 담긴 패킷으로 응답한다

3 단계 : B로부터 SYN+ACK 플래그가 담긴 패킷을 받은 A는 마지막으로 ACK

플래그가 담긴 패킷을 B로 전송하고, 비로소 연결이 성립된다.

위 과정에서 우리에게 중요한 점은 바로 1,2 단계 과정을 거친 후 3 단계 과정에서

연결이 성립된다는 것입니다. 왜냐하면 바로 이 순간에 상대방 서버에 로그 기록이

남기 때문입니다. 이 사실을 알았다면 이제 Stealth Scanning에 대한 감이 슬슬 오실 겁니다.

우리가 일반적인 방법으로 소켓 접속을 할 때, 위 3단계 과정은 connect() 함수에 의해

자동으로 진행됩니다. 하지만, raw socket을 이용하면 이 과정을 직접 구현할 수 있게

됩니다. 따라서, 1,2 단계 과정을 프로그래밍한 후, 3 단계 과정은 하지 않는다면?

서버와 클라이언트 사이에는 연결이 성립되지 않을 것이고, 따라서 로그 기록도 남지 않게

될 것입니다. 그래서 이 공격 기법을 Half open scanning이라고 부릅니다. 해석하자면,

반만 열린 스캐닝이라고 할 수 있으며, 왜 이렇게 부르는지는 쉽게 예측할 수 있겠지요.

- 우리의 계획

1 단계 : A에서 B로 SYN 플래그를 담은 패킷을 전송한다.

2 단계 : 전송한 패킷에 대한 응답을 받는다.

3 단계 : ??????

그럼 단지 1단계와 2단계 과정만으로 해당 포트가 열렸는지 닫혔는지 알 수 있는 방법은

무엇일까요? 그건 다음의 예를 보면 쉽게 생각해 낼 수 있습니다.

먼저 상대방 서버의 열린 포트로 SYN 플래그가 담긴 패킷을 보내고, 그 결과를 패킷 스니퍼로

확인해 봅시다.

[ 열린 포트 확인 ]

위처럼 목적지의 포트 번호를 열린 포트로 수정한 후, 컴파일을 다시 하고, 프로그램을

실행합시다. 그럼 패킷 스니핑의 결과는 다음과 같아야 정상입니다.

즉, 열린 포트의 경우엔 받은 패킷에 대해 SYN+ACK 플래그가 담긴 패킷을 되돌려 주었습니다.

그럼 이번에는 반대로 닫힌 포트로 SYN 플래그가 담긴 패킷을 보내고, 그 결과를 확인해

볼까요?

일단 닫힌 포트로 수정하고.. 재컴파일, 프로그램 실행..

보시다시피, 이번에는 SYN+ACK가 아닌 RST+ACK 플래그가 응답으로 가는 것을 알 수 있습니다.

그럼 이제 완전하게 감 잡으셨을 겁니다. 1단계로 SYN 플래그를 담은 패킷을 보내고, 2단계에서

받은 패킷을 분석하여, 플래그 부분에 SYN이 들어가 있다면, 열린 포트, RST가 들어가 있다면

닫힌 포트로 판단하여 그 결과를 화면에 출력만 해주면 Stealth Scanner는 완성됩니다.

이제 관건은 Raw socket programming에서 어떻게 상대방으로부터 날라온 패킷을 받느냐와

또 어떻게 그 패킷을 조사하여 플래그 정보를 찾아내느냐, 그리고 마지막으로 3 Way Handshake

에서 3단계 과정에 해당하는 처리는 어떻게 해주어야 하느냐 이 세가지가 되겠습니다.

여기서 첫 번째와 두 번째는 직접 프로그래밍 실습을 하면서 자연스레 알게 되실테고, 마지막

세 번째에 대한 설명만 지금 해드리도록 하겠습니다.

일단 테스트로 상대방 서버로 SYN 플래그를 담은 패킷을 보낸 후, 그 서버에서 netstat 명령을

실행해 봅시다.

그럼 위 출력 결과의 첫 번째 라인처럼 SYN_RECEIVED 상태의 연결이 생기는 것을 볼 수 있습니다.

이는 SYN 플래그가 담긴 패킷을 받았으며, 다음 행동을 기다리고 있다는 의미로써,

만약 여기서 3 Way Handshake가 성공적으로 진행되면 SYN_RECEIVED는 ESTABLISHED로 바뀝니다.

그리고 반대로 3 Way Handshake가 성립되지 않는다면, 이 연결은 일정 시간동안 계속

대기 상태로 남아있게 되어 버립니다.

따라서 우리가 포트 스캔을 하기 위해 1에서 1024까지 포트 번호를 변경해가며 SYN 플래그를

담은 패킷을 상대방 서버로 보내면, 그 서버에는 1024개의 SYN_RECEIVED 상태 연결이 쌓이게

되어 버리게 됩니다. 따라서 포트 스캔 후, netstat를 해보면 엄청나게 많은 SYN_RECEIVED 상태를

가진 연결이 출력될 것입니다. 한 호스트는 이러한 대기 상태를 감당할 수 있는 한계인

백로그(BACKLOG)라는 것을 가지고 있는데, 이 한계를 넘어서 버리면 서버는 더 이상 패킷을

받을 수 없는 상태가 되어버립니다. 따라서 포트 스캔을 하려 했던 것이 본의 아니게 D.o.S

공격을 유발하게 되어 버리는 현상이 나타났습니다. 그리고 실제 이러한 허점을 이용한 공격이

그 유명한 SYN Flooding D.o.S 공격입니다. (요즘엔 커널 자체에서 이 공격에 대한 방어를 합니다.)

그럼 이 웃지 못할 상황을 어떻게 해결해야 할까요? 방법은 간단합니다. 3 Way Handshake의

1,2 단계를 거친 후, 3 단계에서 ACK 플래그 대신 RST나 FIN 플래그를 보내면 되는 겁니다.

RST(RESET)과 FIN(FINAL)은 “접속 종료”를 의미하는 플래그임으로 역시 상대방 서버에는

로그를 남기지 않습니다. 그러면서 동시에 연결 상태는 깔끔한 뒷처리가 됩니다.

이제 마지막으로 Stealth Scanning 기법(많은 기법이 존재하지만 이 강좌에서 설명하는 것은

가장 대표적인 Half open scanning 기법)의 원리를 정리해 볼까요?

[ Half Open Scanner 구현 원리 ]

1. 목적지의 포트를 N으로 설정.

2. 해당 포트로 SYN 플래그를 담은 패킷을 보냄.

3. 응답 패킷을 받음.

4. 만약 응답 패킷의 플래그에 SYN이 들어있다면 포트 OPEN, RST이 들어있다면 포트 CLOSE.

5. 깔끔한 뒷처리를 위해 RST 플래그를 담은 패킷을 보냄.

6. N의 값을 변경해 가면서 1~5번 과정을 반복.

7. 스캐닝 종료.

그럼 이제부터 Half open stealth scanner를 구현하기 전에 알아야 할 것들에 대하여

배워 보도록 하겠습니다. 먼저, 상대 서버로부터 전송되는 패킷을 받는 방법에 대하여 설명하도록 하겠습니다.

이 방법은 예상 외로 간단 합니다. 다음의 소스 코드를 한번 봅시다.

// 필요한 헤더들 선언.

#include <stdio.h>

#include <sys/socket.h>

#include <sys/types.h>

#include <arpa/inet.h>

int main() {

int recv_socket, len; // 사용할 소켓과, 길이 정보를 저장할 변수.

char recv_packet[100]; // 받은 패킷이 저장되는 변수

struct sockaddr_in target_address; // 상대방의 주소 정보가 저장되는 변수

recv_socket = socket( AF_INET, SOCK_RAW, IPPROTO_TCP ); // 로우 소켓을 만듬.

len = sizeof( target_address ); // recvfrom()의 6번째 인자로 들어갈 값 구함.

while(1){

// recvfrom() 함수를 이용하여 패킷을 받음.

recvfrom( recv_socket, recv_packet, 100, 0, (struct sockaddr *)&target_address, &len );

printf( "[ 패킷을 받았습니다. ]\n" );

printf( "발신자 IP : %s\n\n", inet_ntoa( target_address.sin_addr ) );

sleep( 1 ); // 화면이 너무 빨리 지나가므로 1초 지연.

}

단순히 로우 소켓을 하나 생성한 후, 계속해서 recvfrom() 함수를 통해 패킷을 받도록 하였습니다. 그리고 받은

내용 중 IP 부분을 출력하도록 했습니다. 그럼 과연 이 코드의 실행 결과는 어떻게 될까요? 한번 컴파일 하여

실행시켜 봅시다.

위처럼 계속해서 패킷을 받으며, 발신자의 IP가 계속 변하는 모습을 볼 수 있습니다.

recvfrom() 함수는 스니퍼?

앞서 테스트해 본 결과를 통해, recvfrom() 함수는 보통 우리가 사용하는 recv() 함수가

TCP 소켓으로 연결된 상대방의 패킷만 받는 것과는 다르게, 특정 패킷이 아닌, 서버로 전달되는

모든 패킷을 받는다는 사실을 알 수 있었습니다. 즉, 서버 내의 패킷들을 모두 덤프해서

보여주는 패킷 스니퍼와 비슷한 역할을 하는 것입니다. (물론 받는 패킷만 가능하겠지만..)

그리고 실제로 이 recvfrom() 함수를 사용하여 구현된 패킷 스니퍼들도 존재합니다.

그럼 이번엔 위 소스 코드를 조금 발전시켜 볼까요?

#include <stdio.h>

#include <sys/socket.h>

#include <sys/types.h>

#include <arpa/inet.h>

#include <linux/ip.h>

#include <linux/tcp.h>

int main() {

int recv_socket, len;

char recv_packet[100];

struct sockaddr_in target_address;

struct tcphdr *tcp_header; // tcp 헤더 구조체의 포인터 변수

struct iphdr *ip_header; // ip 헤더 구조체의 포인터 변수

ip_header = (struct iphdr *)recv_packet; // recv_packet의 처음 부분을 가리키도록 함.

tcp_header = (struct tcphdr *)(recv_packet + 20); // ip 헤더 뒤쪽 부분을 가리키도록 함.

recv_socket = socket( AF_INET, SOCK_RAW, IPPROTO_TCP );

len = sizeof( target_address );

while(1){

recvfrom( recv_socket, recv_packet, 100, 0, (struct sockaddr *)&target_address, &len );

printf( "[ 패킷을 받았습니다. ]\n" );

printf( "발신자 IP : %s\n", inet_ntoa( target_address.sin_addr ) );

printf( "IP Version : %d\n", ip_header->version ); // IP 버전 정보 출력

printf( "Time To Live : %d\n", ip_header->ttl ); // TTL 정보 출력

printf( "Window Size : %d\n", tcp_header->window ); // 윈도우 사이즈 정보 출력

printf( "Flags : " ); // 플래그 정보 출력

if( tcp_header->fin == 1 ) printf( "[FIN]" );

if( tcp_header->syn == 1 ) printf( "[SYN]" );

if( tcp_header->rst == 1 ) printf( "[RST]" );

if( tcp_header->psh == 1 ) printf( "[PSH]" );

if( tcp_header->ack == 1 ) printf( "[ACK]" );

if( tcp_header->urg == 1 ) printf( "[URG]" );

printf( "\n\n" );

sleep( 1 );

}

어떤 작업을 했는지 쉽게 알 수 있으시죠? 바로, TCP와 IP 헤더의 몇몇 정보들을 추가로 출력하도록 수정하였습니다.

이 부분을 통하여 stealth scanner를 구현할 때, 어떻게 응답 패킷 안에 SYN 혹은 RST 플래그를 조사하는지에

대해서도 알 수 있을 것입니다. 그럼 이제 위 코드를 컴파일하여 실행해 봅시다.

제대로 작동하는 것 같죠? 이번엔 마지막으로 위처럼 모든 패킷을 출력하지 않고,

특정 IP에서 특정 PORT로 보낸 패킷만 출력하도록 수정해 봅시다.

#include <stdio.h>

#include <sys/socket.h>

#include <sys/types.h>

#include <arpa/inet.h>

#include <linux/ip.h>

#include <linux/tcp.h>

// 211.189.88.58에서 23번 포트로 접속할 때의 패킷 정보만 출력.

#define SRC_IP "211.189.88.58" // 발신자의 IP

#define DEST_PORT 23 // 수신자의 PORT

int main() {

int recv_socket, len;

char recv_packet[100];

struct sockaddr_in target_address;

struct tcphdr *tcp_header;

struct iphdr *ip_header;

ip_header = (struct iphdr *)recv_packet;

tcp_header = (struct tcphdr *)(recv_packet + 20);

recv_socket = socket( AF_INET, SOCK_RAW, IPPROTO_TCP );

len = sizeof( target_address );

while(1){

recvfrom( recv_socket, recv_packet, 100, 0, (struct sockaddr *)&target_address, &len );

// 수신자의 IP가 SRC_IP(211.189.88.58)와 같은지 검사.

if( strcmp( inet_ntoa(target_address.sin_addr), SRC_IP ) == 0 )

// 접속 포트가 DEST_PORT(23)와 같은지 검사.

if( ntohs(tcp_header->dest) == DEST_PORT ){

printf( "[ 패킷을 받았습니다. ]\n" );

printf( "발신자 IP : %s\n", inet_ntoa( target_address.sin_addr ) );

printf( "IP Version : %d\n", ip_header->version );

printf( "Time To Live : %d\n", ip_header->ttl );

printf( "Window Size : %d\n", tcp_header->window );

printf( "Flags : " );

if( tcp_header->fin == 1 ) printf( "[FIN]" );

if( tcp_header->syn == 1 ) printf( "[SYN]" );

if( tcp_header->rst == 1 ) printf( "[RST]" );

if( tcp_header->psh == 1 ) printf( "[PSH]" );

if( tcp_header->ack == 1 ) printf( "[ACK]" );

if( tcp_header->urg == 1 ) printf( "[URG]" );

printf( "\n\n" );

sleep( 1 );

}

간단하죠? 1회 강좌에서부터 여기까지 모두 이해하였다면, 이제 Stealth scanner를 구현하는 것은 식은 죽 먹기입니다.

그럼 다음 강좌에선 마지막으로 Stealth scanner를 구현 실습에 들어가도록 하겠습니다.