스텔스 스캔(Stealth)

정 의 

TCP 연결을 확립하지 않아 응용프로그램 로그에 기록 X

 

1. TCP Half Open Scan(스텔스 스캔)
  : Open – Syn, Ack
  : Close - RST

2. ACK 스캔 (스텔스 스캔)- 방화벽이 stateful 인지 stateless인지 확인용
- 해당 포트가 방화벽에 의해 필터링 되는지, 방화벽 정책 테스트 하는 것
** stateless 방식 (filtered)
   : 외부에서 내부로 전송되는 TCP 헤더를 열어서 SYN은 차단하고 SYN+ACK는 통과시킴?? 맞나 모르겠음.
   : 당연히 오래걸림
   - 만약 방화벽에서 필터링 된다면 응답없거나, ICMP 언리쳐블
** stateful 방식 (unfiltered)
   : 1.1.1.1 내부에서 10.10.10.10외부로 SYN을 보낸다면 해당 SYN패킷을 기억했다가 SYN+ACK에 대해서
    TCP 패킷 헤더를 열어보지 않고 통과시키는 것
   - 만약 필터링이 되지 않는다면 RST+ACK 전송.(stateful 방식이라고 확인가능???)

3. TCP Fragmentation 스캔(스텔스)
- TCP 헤더를 2개로 나눔 (ip와 port 를 기준으로)
- 첫번째 헤더는 IP만 있음
- 두번째 헤더는 port만 있음
- 첫번째 헤더는 port가 없기에 방화벽 통과
- 두번째 헤더는 ip가 없기 떄문에 ip기반 필터링 통과

4. FIN, NULL, XMAS (스텔스 스캔) (xmas는 모든 플래그 설정 후 보내는 것)
  : Open – 반응 없음
  : Close - RST

*** UDP 포트 스캔 시에 닫혀 있으면 ICMP unreachable이 반환