4일차 : 네트워크 명령어 및 스캔

4일차 학습 범위인 **네트워크 명령어 및 스캔(PART 02 SEC 04-08~11)**은 실기 시험에서 **"직접 명령어를 적거나, 실행 결과를 보고 어떤 상황인지 해석하는 문제"**가 집중적으로 출제되는 실무형 파트입니다.

오늘은 특히 netstat의 결과 화면과 nmap을 이용한 **스텔스 스캔(Stealth Scan)**의 원리를 이해하는 것이 핵심입니다.

---

1. 네트워크 관리 주요 명령어

이 명령어들은 옵션까지 정확히 외워야 주관식 단답형에 대비할 수 있습니다.

• netstat: 네트워크 연결 상태, 라우팅 테이블, 인터페이스 통계 등을 확인.
  • netstat -an: 모든 연결과 포트 번호를 숫자로 표시.
  • netstat -at: TCP 연결 상태만 확인.
• ifconfig / ip addr: 인터페이스 설정 및 IP 주소 확인.
• tracert (Windows) / traceroute (Linux): 목적지까지의 경로를 ICMP(또는 UDP)를 이용해 추적. (TTL 값이 1씩 증가하는 원리)
• nslookup / dig: DNS 서버에 질의하여 도메인/IP 정보 확인.

2. 포트 스캐닝 (Port Scanning)

해커가 공격 전 대상을 탐색하는 단계입니다. 스캔 방식에 따른 패킷의 흐름을 구분하는 것이 시험에 아주 잘 나옵니다.

A. Open Scan (TCP Connect Scan)

• 원리: 3-Way Handshaking 과정을 완전히 완료함.
• 특징: 신뢰성이 높지만, 서버에 로그가 남기 때문에 공격자가 선호하지 않음.

B. Stealth Scan (Half-Open Scan 등)

서버에 로그를 남기지 않기 위해 세션을 완전히 맺지 않는 방식입니다.

• TCP SYN Scan: SYN을 보내고 SYN+ACK가 오면 즉시 RST를 보내 연결을 끊음. (로그 안 남음)
• FIN Scan: FIN 플래그만 설정해서 보냄. (열린 포트는 응답 없음, 닫힌 포트는 RST 응답)
• NULL Scan: 플래그를 아무것도 설정하지 않고 보냄.
• Xmas Scan: FIN, PSH, URG 플래그를 모두 설정해서 보냄.

3. 스캐닝 도구: nmap

가장 대표적인 보안 점검 도구로, 옵션의 의미를 묻는 문제가 단골입니다.

• -sS: TCP SYN(Stealth) 스캔
• -sT: TCP Connect 스캔
• -sU: UDP 스캔
• -sF: FIN 스캔
• -O: 대상의 운영체제(OS) 확인

---

🔍 실기형 로그 분석 포인트

만약 tcpdump나 보안 장비 로그에 다음과 같은 흐름이 보인다면 어떤 스캔일까요?

공격자 → 서버: [SYN] 서버 → 공격자: [SYN, ACK] 공격자 → 서버: [RST]

• 정답: TCP SYN 스캔 (Half-Open 스캔) 입니다. 마지막에 ACK 대신 RST를 보냈기 때문이죠.

---

✍️ 오늘의 1분 인출 연습:

1. 현재 내 컴퓨터에 열려 있는 포트와 연결 상태를 숫자로 확인하는 명령어는? (netstat 옵션 포함)
2. nmap에서 스텔스 스캔을 수행하기 위한 옵션은?
3. 로그를 남기지 않기 위해 세션을 끝까지 맺지 않는 스캔 방식을 통칭하는 말은?

오늘은 PART 02 SECTION 04의 8번부터 11번 항목까지 정독하시면서, 특히 스캐닝 방식별 패킷 응답 표를 직접 그려보세요. (열렸을 때 응답, 닫혔을 때 응답) 내일은 이 기초를 바탕으로 본격적인 '공격 기술(DoS/DDoS)'을 공부합니다! 어느 스캔 방식이 가장 이해하기 어려우신가요?