슬로우 포트 스캐너의 TCP 연결 스캔 탐지 및 차단 방법

Abstract

네트워크 기반 단말 정보 식별은 네트워크와 인터넷 서비스의 취약점을 이용한 사이버 공격을 시작하기 전에 목표의 정보를 파악하는 단계이다. 일반 적으로 네트워크 기반 단말 정보 식별 도구는 네트워크 관리자가 시스템의 취약점을 찾아 보완하기 위한 목적으로 사용된다. 하지만 네트워크 기반 단말 정보 식별 도구는 누구나 사용할 수 있기 때문에 악용될 수 있다. 공격자는 사이버 공격을 시작하기 전에 목표의 정보를 취득하고 이 정보를 바탕으로 취약점을 분석해 찾아낸 취약점을 집중적으로 공격한다. 그래서 네트워크 기반 단말 정보 식별 도구의 네트워크 스캔을 탐지하고 차단하는 방법이 필요하다. Shodan과 Censys는 네트워크 기반 단말 정보 제공 검색 엔진으로 네트워크 단말들의 정보를 사용자에게 제공한다. Shodan과 Censys는 Nmap, ZMap과 같은 네트워크 기반 단말 정보 식별 도구를 이용하여 네트워크 단말에 TCP SYN 스캔을 수행하고 열린 포트를 찾아낸다. 그리고 찾아낸 열린 포트를 대상으로 TCP 연결 스캔 수행하여 배너 그랩을 시도해서 네트워크 단말의 정보를 탈취하고 이러한 정보를 사이트에 게시하여 사용자에게 제공한다. Shodan과 Censys는 기존의 방화벽을 속이기 위해 분산 슬로우 포트 스캐너를 사용할 것으로 분석된다. 분산 슬로우 포트 스캐너의 스캔은 스캔 주기가 길고 여러 대의 스캐너가 스캔을 시도하기 때문에 스캔간의 연속성을 감지하기 어려워 기존의 방화벽을 속일 수 있어 탐지하기가 어렵다. 본 논문에서는 스캔 모델을 설정하고 분산 슬로우 포트 스캐너의 TCP 연결 스캔을 탐지하고 차단하는 방법을 구현하였다. 탐지 환경을 호스트, 분산, 게이트웨이의 세가지 레벨로 설정하여 탐지율을 높였다. 그리고 스캔 주기에 따른 탐지 성공 여부를 확인하고 세 가지 레벨에서의 실험을 통해 분산 슬로우 TCP 연결 스캔을 탐지할 수 있음을 증명하였다.