반응형
윈도우 기반 포트스캐너 (SuperScan)

해킹 공격이나 바이러스, 웜 등에 의하여 공격을 받은 시스템의 경우 공격자가 재접속 또는 해당 시스템을 악용하기 위해서 특정 통로를 설치하는 경우가 있다. 이러한 악성 프로그램은 사용자의 자각 증상이 적어 지나치는 경우가 많으으므로 네트워크 또는 시스템 관리자는 주기적으로 이러한 프로그램에 의하여 열려있는 포트 존재 여부를 파악하여야 한다. 사용자 또는 관리자가 설치하지 않은 서비스의 존재 여부를 가장 쉽게 파악할 수 있는 방법이 포트스캔이다.
포트스캔 도구는 여러 가지가 사용되지만 가장 기본적인 기능을 갖추고 사용이 편리한 도구인 Superscan에 대하여 알아보도록 한다.


가. 다운로드 및 설치

SuperScan은 TCP 프로토콜이 설치되어 있는 Windows 95/98, Windows 2000/NT 4.0,
Windows XP 시스템에서 사용가능하며 모든 시스템에는 ICMP.DLL 파일이 존재하여야 한다.
Superscan은 다음의 주소에서 다운받을 수 있다.

<http://www.foundstone.com/knowledge/proddesc/superscan3.html>

상단의 주소로 접속하면 (그림 4-1-5)에 나타난 다운로드 화면이 나타나며, 최하단에“Download this tool now”링크를 이용하여 다운로드 받는다. 다운로드 완료 후, 다운로드 받은 “superscan3.exe”파일을 더블클릭하여 해당 도구를 설치한다. 설치가 완료되면 기본적으로 C:\Program Files\Superscan 위치에 도구가 설치된다.

SuperScan 다운로드 화면 (그림 4-1-5)

나. 시스템 점검

SuperScan을 실행하면 (그림 4-1-6)과 같은 화면이 나타난다. 기본적인 작동법은 스캔하고자 하는 시스템의 IP주소 및 포트를 설정하고,“ Start”버튼을 클릭하면 점검이 이루어진다.

● 점검하고자 하는 시스템의 IP주소 또는 IP영역을 지정한다. 단일 시스템을 점검하는 경우, Start와 Stop영역에 동일한 IP주소를 입력한다. 예를 들어, 172.16.1.0/24의 C-Class를 점검 하고자 하는 경우에는 Start : 172.16.1.0, Stop : 172.16.1.255를 입력한다.
● 스캔 옵션을 지정한다. 각 옵션에 대한 설명은 [표 4-1-3]에 나타난 바와 같다.

SuperScan 점검화면 (그림 4-1-6)

점검항목(옵션) 의미
Resolve hostnames 점검대상의 호스트명을 쿼리
Only scan responsive pings Ping 요청에 대한 응답이 있는 시스템만 스캔
Show host responses 포트를 스캔하지 않고 Ping에 대한 응답 여부만을 점검
Every port in list 포트 목록에 지정된 모든 포트를 점검
All selected ports on list 포트 목록중 선택한 포트에 대해서만 점검
All list ports from 지정한 포트영역 내에서 포트목록에 지정된 포트만 점검
All ports from 지정한 포트영역 내의 모든 포트 점검
[표 4-1-3] Super Scan 점검항목

● 포트목록 설정은“Port list setup”버튼을 클릭하면 설정 창이 나타난다.

- Change/add/delete port info : 포트 목록에 새로운 포트를 추가, 삭제 또는 설명을 편집 할 수 있다.
- Port list file : 포트목록이 저장되어 있는 텍스트 파일을 지정한다. 포트정보를 추가, 삭제 및 수정한 이후“Save”버튼을 클릭하여 해당정보를 텍스트 파일에 저장한다.
※ 기본적으로“scanner.lst”라는 파일이 지정되어 있음
- Helper apps in right click menu : FTP, Telnet 및 Web 접속에 이용되는 어플리케이션 을 지정한다.
- Select ports : 포트목록 파일에 지정되어 있는 목록을 출력하여 주며 해당 포트를 더블 클 릭하여 선택 또는 해제한다. 선택된 포트는 포트번호 옆에 녹색의 ∨표시가 나타난다.

● 점검하고자하는 IP주소와 포트설정 및 점검옵션의 설정이 완료되면“Start”버튼을 클릭하여 점검을 시작한다.
● 점검결과는 하단에 나타난다.

다. 점검결과 확인

해당 시스템에 대하여 점검이 완료되면 (그림 4-1-8)과 같이 하단에 점검결과를 출력한다. 점검 상 시스템은 IP주소로 구분되어 트리 구조로 점검결과가 나타나며, 모든 시스템의 점검결과를 인하기 위해서는 하단 우측에“Expand All”버튼을 클릭하면 된다.

※“Resolve Hostname”옵션을 지정한 경우, IP주소 우측에 호스트명이 표시된다.

SuperScan 점검결과 화면 (그림 4-1-8)

하단의 점검결과는 윈도우 시스템과 리눅스 시스템을 대상으로 점검한 결과이며, 각 시스템에서 제공하는 서비스 및 포트번호가 표시된다. 각 시스템에서 서비스 제공을 위해 설치한 서비스 이외의 포트가 나타난 경우, 악성프로그램 설치를 의심하여야 하며 열려진 포트에 대하여 적절한 접근 통제 정책을 적용하여야 한다

라. 서비스 포트

다음의 포트들은 P2P, 웹폴더, 메신져트로이목마에 사용되는 포트목록으로 포트스캔을 통해 해당 서비스가 발견된 경우 특별한 주의를 기울여야 할 필요가 있다.

(1) 메신저 사용포트


(2) 웹폴더 사용포트


(3) 주요 어플리케이션 사용포트

(4) 주요 P2P 프로그램 사용포트 예시

(5) 트로이목마 프로그램 사용포트




출처 -한국정보보호진흥원 사이버안전메뉴얼 중

+ Recent posts