사이버 보안 - 취약성 평가(IP 포트)
AmerAsia에서 번역한 AiTx ////////// 스캔 - 먼저 호스트(또는 호스트 범위)가 살아 있는지 확인합니다. 간단한 ping으로 시작할 수 있습니다. ping 응답을 받으면 호스트가 살아있는 것으로 간주됩니다. ping 응답이 반환되지 않으면 잘 알려진 포트에서 TCP 연결을 수행합니다. 연결이 되면 호스트는 살아있는 것으로 간주됩니다. 연결이 이루어지지 않으면 방화벽이 호스트에 대한 액세스를 부분적으로 차단할 때 호스트가 활성 상태인지 확인하기 위해 "반개방" 연결 시도를 포함하되 이에 국한되지 않는 다른 기술을 사용합니다. ////////// PORT FINGERPRINTING 일단 호스트가 살아있는 것으로 결정되면, 우리는 어떤 UDP 및 TCP 포트가 서비스를 제공하는지 결정할 것입니다. 이것을 포트 핑거프린팅이라고 합니다. UDP 포트에도 유사한 프로세스가 사용됩니다. 두 개의 추가 프로세스가 포트 지문과 병렬로 실행됩니다. (1) 방화벽 지문 및 (2) 운영 체제 지문. 이 두 프로세스 모두 포트 핑거프린팅 중에 수집된 정보의 결과입니다. ////////// FIREWALL FINGERPRINTING 우리는 또한 호스트가 방화벽을 통해 액세스되고 있는지 여부를 결정할 것입니다. 우리는 다양한 상용 및 오픈 소스 방화벽에 지문을 남길 수 있습니다. 우리는 또한 특정 패킷 필터, 상태 전체 검사 및 프록시 기반 방화벽을 지문화할 수 있습니다. ////////// 운영 체제 핑거프린팅 그런 다음 OS 감지에 대해 최고 정확도(약 95%)를 제공하는 독점 감지 네트워크 코드를 사용하여 운영 체제를 식별합니다. 일반적으로 사용 가능한 상용 및 프리웨어 도구는 50% 수준에서 OS를 정확하게 감지합니다. Apache와 같은 여러 플랫폼에서 사용할 수 있는 서비스에는 하나의 OS에만 있는 취약점이 있을 수 있으므로 OS 감지는 중요합니다. 서비스와 운영 체제를 정확하게 연결할 수 있으면 오탐을 최소화할 수 있습니다. OS 핑거프린팅과 방화벽 핑거프린팅은 새로운 방식으로 연결됩니다. IP 주소는 같지만 OS가 다른 포트에서 리스너를 발견할 때 포트 포워딩이라는 방화벽 서비스 클래스의 존재를 감지할 수 있습니다. ////////// 프로토콜 핑거프린팅 포트 핑거프린팅이 완료된 후, 각 포트에서 발견된 각 프로토콜을 핑거프린팅합니다. 포트 80에 있는 서버가 실제로 HTTP 서버가 아닐 수 있기 때문에 이것은 중요합니다. 우리는 라이브 포트에 연결하고 각 프로토콜에 대한 요청을 보내 각 프로토콜에 지문을 남깁니다. 예를 들어 HTTP 요청이 발행되고 HTTP 응답이 반환되면 HTTP 서비스로 합리적으로 추론할 수 있습니다. ////////// SERVICE FINGERPRINTING 포트 핑거프린팅이 완료되면 각 프로토콜을 제공하는 서버를 식별합니다. 예를 들어, HTTP 서비스가 발견되면 서버가 Microsoft의 IIS 웹 서버인지 아니면 Apache Groups httpd인지 등을 결정할 것입니다. 우리는 단순히 서비스 "배너"(상호작용 중에 제공된 문자열 식별)에 의존하지 않습니다. ) 보안 관리자가 배너를 변경하여 구성을 숨길 수 있기 때문입니다. 대신 가능한 경우 각 서버의 프로토콜 구현에서 차이점을 식별합니다. 예를 들어, IIS와 Apache는 URL의 물결표 다음에 존재하지 않는 웹 페이지를 요청할 때 약간 다른 오류 헤더를 반환합니다. ///////// 취약점 탐지 실행 중인 서비스를 식별한 후 일반 대중에게 제공되거나 제공되지 않을 수 있는 최신 취약점 데이터베이스를 기반으로 취약점 탐지 및 평가를 수행합니다.
AmerAsia Company
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project