UDP와 TCP/IP의 비교
표준 네트워크에서 두 가지 프로토콜이 일반적입니다. UDP 및 TCP . UDP(사용자 데이터그램 프로토콜)는 무연결 프로토콜로, 컴퓨터가 수신자가 사용 가능한지 또는 수신 중인지 알지 못하고 수신자에게 메시지를 전송합니다. 기본 온라인 문자 메시지 소프트웨어는 UDP를 사용합니다. 메시지를 수신하기 위해 상대방이 온라인 상태인지 알 필요가 없기 때문입니다.
Transmission Control Protocol (TCP)은 데이터 전송 전에 핸드셰이크가 발생하는 연결 기반 프로토콜입니다. UDP는 TCP보다 가볍지만 TCP는 상대방이 온라인 상태이며 핸드셰이크라고 하는 프로세스를 통해 사용할 수 있도록 합니다. TCP 핸드셰이크는 사용자가 서버에서 콘텐츠를 다운로드하기 전에 핸드셰이크가 발생하는 웹 애플리케이션에서 흔히 사용됩니다.
TCP/IP의 IP(인터넷 프로토콜) 구성 요소는 서버, 모바일 장치, 데스크탑 컴퓨터, IoT 장치 및 데이터를 전송하고 수신해야 하는 기타 모든 컴퓨터 등 연결된 모든 시스템에 할당된 주소입니다. 대부분의 애플리케이션은 연결 기반 데이터 전송을 위해 TCP/IP를 사용하지만, UDP는 경량 알림 및 채팅 애플리케이션에도 유용합니다.
NMAP 툴은 연결된 장치에서 열린 TCP 및 UDP 포트를 스캔합니다. NMAP 명령을 실행한 후 출력을 보고, 나열된 열린 포트도 프로토콜을 표시합니다. 또한 NMAP는 포트에서 실행 중인 서비스와 상태가 열려 있는지 또는 닫혀 있는지 알려줍니다.
네트워크 매퍼(NMAP)란?
NMAP 도구는 그래픽 사용자 인터페이스(GUI) 또는 표준 명령줄 인터페이스를 사용하는 스캔 애플리케이션입니다. 이 도구는 네트워크에서 컴퓨터를 찾아 개방된 포트를 스캔합니다. NMAP는 컴퓨터 그 이상의 것을 스캔합니다. 데스크탑, 모바일 디바이스, 라우터 및 IoT 디바이스 등 네트워크에 연결된 모든 디바이스를 스캔합니다.
NMAP는 개발자 웹사이트 에서 무료로 사용할 수 있는 오픈소스 툴입니다. Linux, Mac 및 Windows 운영 체제에서 실행됩니다. 이 유틸리티는 수년 동안 대부분의 네트워크 관리자 및 윤리적 해킹 도구의 일부였으며, 네트워크에서 디바이스를 찾고 취약한 서비스가 실행되고 있는지 판단하는 데 유용합니다.
NMAP UDP 스캔 방법
NMAP 스캔을 수행하기 전에 NMAP GUI를 열거나 명령줄 유틸리티를 엽니다. 대부분의 관리자는 검토를 위한 기본 출력과 함께 빠르고 쉽게 사용할 수 있기 때문에 명령줄에서 NMAP를 사용합니다. 명령을 입력한 후, NMAP 툴은 서브넷에서 장치를 검색합니다. 모든 서브넷에는 확정적인 수의 호스트가 있으므로 NMAP는 모든 호스트 응답 가능성을 스캔합니다. 호스트 응답을 통해 NMAP 툴은 열린 UDP 및 TCP 포트를 식별합니다.
모든 열린 포트의 모든 IP 주소를 스캔하는 대신 NMAP에서 특정 포트를 스캔할 수도 있습니다. 포트는 1에서 65,535 사이의 숫자 값을 제공하므로 스캔을 실행하기 전에 특정 포트에서 실행되는 서비스를 조회해야 합니다. 포트를 선택하면 다음 명령을 실행할 수 있습니다.
nmap -p 22 192.168.1.100
위의 NMAP 스캔은 IP 주소 192.168.1.100의 장치에서 실행되는 오픈 포트 22(SSH 서비스)를 검색합니다. 서비스가 대상 호스트에서 실행 중인 경우 NMAP 출력은 상태를 열림으로 표시합니다. 그렇지 않은 경우, NMAP 출력은 상태를 닫힘으로 표시합니다.
UDP 스캔은 TCP 스캔보다 느리기 때문에, 툴이 출력을 표시하기 전에 응답이 너무 느리거나 지연이 길어질 수 있습니다. 일부 호스트는 NMAP 프로세스를 최적화하지 않으면 스캔에 최대 1시간이 걸릴 수 있습니다. 사용 사례에 따라 UDP 스캔 속도를 높일 수 있습니다. 예를 들어, 다음 NMAP 명령을 사용하여 응답 속도가 느린 호스트를 제거하고 호스트가 1분 이내에 응답하지 않을 때 스캔을 포기합니다.
nmap 192.168.1.100 --host-timeout 1m
TCP 또는 UDP를 지정하지 않고 NMAP는 열려 있는 모든 포트를 시도합니다. 스캔을 최적화하는 또 다른 방법은 UDP 포트로 제한하고 버전 강도를 설정하는 것입니다. 버전 강도를 0으로 설정하면 대상 호스트에서 실행되는 공통 서비스만 표시됩니다. 버전 강도 범위는 0~9입니다. 강도가 높을수록 대상 호스트로 더 많은 프로브가 전송됩니다. NMAP 기본값은 7입니다. 다음 명령을 실행하면 호스트에서 공통 포트만 찾을 수 있습니다.
nmap 192.168.1.100 -sU -sV –version-intensity 0
NMAP로 UDP 스캔을 수행하는 이유는 무엇입니까?
관리자는 NMAP를 사용하여 UDP 스캔을 수행하는 여러 가지 이유가 있습니다. 불필요한 포트가 없는지 네트워크를 단순히 감사하는 것이 될 수 있습니다. 사이버 보안상의 이유로 불필요한 서비스는 비활성화해야 하며, NMAP 스캔은 관리자에게 종료할 수 있는 서비스를 실행 중인 시스템을 알려줍니다.
UDP 스캔의 또 다른 이유는 네트워크에서 취약점을 찾기 때문입니다. 공격자가 네트워크에 멀웨어를 설치할 수 있는 경우, 침해된 호스트는 UDP 포트에서 악성 서비스를 실행할 수 있습니다. 관리자는 NMAP 스캔을 사용하여 오픈 포트를 찾고 호스트에서 추가 스캔 및 분석을 수행합니다.
NMAP는 네트워크에서 호스트를 검색하는 데에도 사용할 수 있습니다. 섀도우 IT는 네트워크에 설치된 승인되지 않은 디바이스에 부여되는 용어입니다. 관리자는 승인되지 않은 디바이스를 찾아 누가 소유하고 있으며 어떻게 환경에 설치되었는지 확인할 수 있습니다.
결론
네트워크 보안을 담당하는 모든 관리자에게 NMAP 도구는 훌륭한 감사 및 취약성 스캐너입니다. NMAP는 환경에서 실행되어서는 안 되는 기계, 운영 체제 및 서비스를 검색할 수 있습니다. 무단 디바이스와 오픈 포트의 발견은 호스트를 보호하고 기업 데이터를 보호하는 데 필수적입니다. 포트 스캔은 데이터센터를 안전하게 보호하기 위해 수행해야 하는 모니터링 유형의 한 측면일 뿐입니다. 퓨어스토리지의 성능, 확장성 및 간소성을 갖춘 데이터 인프라 솔루션으로 보안 분석을 강화하세요.