안녕하세요, 문의드릴 내용이 있습니다.
1개월 주기로 v3 솔루션에서 null scan 공격 차단 팝업이 뜨면서 내부 네트워크 불능상태가 됩니다.
사용자는 192.168.6.0 대역을 사용중이며, 대부분의 사용자 컴퓨터에서 해당 메시지가 팝업되고 네트워크 사용 불가 상태가 됩니다. (약 30분~1시간 동안 간헐적으로 끊김)
어떻게 탐지하고 처리를 해야할지 전혀 모르겠습니다. 한달 주기로 이런 현상이 발생하니 이제는 해결해야 할 것 같아서요..
네트워크 취약점 전문 업체를 통해 해결해야 할까요?
4개의 답변이 있습니다.
nmap으로 Null Scan해 보면서,
WireShark로 Null Scan 검출 필터를 넣어서 Null Scan하는 소스 컴퓨터를 찾아 내는걸 Test한 이미지 첨부해 봅니다.
참고하면 문제 해결에 큰 도움이 되지 않을까 싶어 보이네요.
CMD 창을 열고 nmap을 이용해서
nmap -sN IP주소 의 형식으로 Null Scan을 실행시켜 두고서...
Wireshark를 실행시켜서
Null Scan을 하고 있는 패킷을
tcp.flags.urg == 0 && tcp.flags.ack == 0 && tcp.flags.push == 0 && tcp.flags.reset == 0 && tcp.flags.syn == 0 && tcp.flags.fin == 0
필터를 넣어서 검출해 내고 있는 이미지 입니다.
이미지에서 IP 주소를 마스킹 처리했지만...
Source에 표시되는 IP 주소가 Null Scan하고 있는 컴퓨터가 되겠고요.
Destination에 표시되는 IP 주소가 Null Scan 당하고 있는 컴퓨터가 되고요.
동민0992 | 2년 이상 전
상세히 샘플까지 첨부해주시고, 너무 감사합니다!
조금씩 좁혀지는것 같습니다! 감사해요
Null Scan 공격은 특정 포트를 열어두고서 서비스를 하고 있는지 어떤지를 확인하기 위해 사용하는 포트 스캔 방법의 일종으로 알고 있는데....
전체 네트워크 대상으로 포트 스캔을 시도하는 걸로 보이긴 한데...
포트 스캔을 한다해서 네트워크가 다운될 정도로 하지는 않을 걸로 보여 지긴하네요.
어떤 포트를 스캔하려고 시도하는지와 포트 스캔을 시도하는 source 컴퓨터가 어느 것인지를 찾아 내는게 우선 필요할 것 같네요.
source 컴퓨터가 내부에 있는 컴퓨터라면 해당 컴퓨터를 격리 시켜서 조사하고 적절한 조치를 취하면 될 것 같고...
혹시라도, source 컴퓨터가 외부에 있다면 방화벽에서 차단 조치를 취하면 되겠고요.
Null Scan이라는 것이 flags 값을 하나도 설정하지 않고 패킷을 보내는 것이기 때문에...
wireshark를 설치해서 필터로 아래와 같이 설정해서 나오는 패킷을 찾아서 소스 컴퓨터가 어디인지 확인해 보면 되지 않을까 싶어 보이네요.
tcp.flags.urg == 0 && tcp.flags.ack == 0 && tcp.flags.psh == 0 && tcp.flags.rst == 0 && tcp.flags.syn == 0 && tcp.flags.fin == 0
wansoo | 2년 이상 전
어제 급하여 적다 보니...
제대로 확인하지 않은 게 일부 있네요.
WireShark에서 아래와 같이 적어야 필터가 작동을 하네요.
tcp.flags.urg == 0 && tcp.flags.ack == 0 && tcp.flags.push == 0 && tcp.flags.reset == 0 && tcp.flags.syn == 0 && tcp.flags.fin == 0
push flag가 psh가 아니고 push로 적어야 하고,
reset flag가 rst가 아니고 reset로 적어야 되네요.
동민0992 | 2년 이상 전
너무 소중한 답변 감사합니다!
오늘도 해결하는데 집중해야겠습니다! 감사해요
null scan은 scan이지 DoS 공격이 아닌데.. 왜 마비가 될까요?
null scan 후 열린 포트에 다른 추가 행위가 있는 건 아닐까하는 의심이 됩니다.
와이어샤크로 패킷 모니터링해보면 어디서 scan하는지 확인이 가능합니다.
사설IP를 사용하니 외부에서 스캔을 시도한다기 보다는 내부에서 시도하는 것으로 의심이 되네요.
범인은 내부에 있을 듯 합니다.
혹시 외부에서 시도할 수 도 있으니 라우터나 방화벽에 꼭 NAT, 포트포워딩은 최소화 해주시고,
scan 또는 DoS관련해서는 꼭 차단하시길 바랍니다.
동민0992 | 2년 이상 전
답변 너무 감사합니다.
이번엔 꼭 해결해야겠습니다.
혹시 다른 솔루션과 충돌이 있으실까요? (특정 방화벽은 특정 규칙을 ARP Spoofing으로 처리하거나 특정 트래픽이 지나가지 못하게 막는 경우도 있습니다) 한 달 주기로 그렇다면 스케줄링 작업이 있는지 확인해보셔야 할 것 같습니다.
만약에 네트워크 구성을 NI 통해서 진행했다면, 그 쪽에 문의하셔서 문제를 해결해야할 듯 싶습니다.
동민0992 | 2년 이상 전
답변 너무 감사합니다.
사무실 컴퓨터 돌면서 arp테이블 등등 확인할건 다 해봐야겠습니다.