IT이야기2008. 2. 21. 13:04

IRC기반의 botnet이 아닌 웹기반의 botnet으로, 러시아의 해커가 만들었다. C&C(Command & Control) 서버(명령을 내리고, 조종하는 서버. BlackEnergy에서는 웹 페이지가 이에 해당)는 러시아나 말레이지아에 위치에 있으며, 주로 러시아를 공격 대상으로 한다.

BlackEnergy는 크게 2가지로 구성되어 있다.

1. 웹기반의 C&C를 제공한다. (php+MySQL)
2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
   builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.

BlackEnergy screenshot
[ 이미지 출처 : 글 끝에 소개한 URL ]

bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
   다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
   'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.

Posted by 좋은진호
시스템이야기2008. 1. 26. 03:10
라드웨어에서 준비한 '2008 Radware DDoS 보안 세미나'에 갔다왔다. 평점을 주면 5점만점에 3점 정도. 사례중심의 발표를 기대했지만, 보편적인 내용으로 흘러갔다. 저와 함께 참석했던 커피닉스( http://coffeenix.net/ )의 나머지 다섯분도 같은 의견이다.

생각난김에 DDoS 공격 유형따라 막을 수 있는지 여부를 정리했다.

국내 DDoS공격이 곳곳에서 터지기 시작한 2007년 초반에만 하더라도, DDoS공격을 막을 수 있느냐, 없느냐의 논의가 몇몇 커뮤니티에서 있었다. 그러나 요즘은 막을 수 없는 공격이 주를 이룬다는 것을 잘 알고 있다.

결론적으로는 회선 대역폭을 공격량보다 많이 확보( 보유한 회선 > 공격량 )해야 공격의 주를 이루는 UDP, ICMP flooding 공격을 버텨낼 수 있는 최소한의 조건을 만족한다. 이 때 네트웍장비의 CPU load 가 낮아야만, 사용자는 불편함없이 서비스를 이용하게 될 것이다. 10G, 20G 이상의 공격량이 많을 경우엔, 다른 고객사에게 피해를 주거나 연동망 장애를 가져올 수 있다. 이럴 경우 IDC나 ISP에서 먼저 차단할 것이다. 즉, 서비스 업체의 인프라만으로는 서비스의 완벽보장은 이뤄내기 힘들다.

UDP, ICMP이외에 공격 유형에 따라, 시스템(네트웍, 서버, 보안장비) 인프라가 되면 막을 수 있는 유형도 있다. Radware 세미나에서 제시한 공격유형 6가지 정도를 갖고 살펴보도록 하겠다.

사용자 삽입 이미지

1. HTTP Flood

  웹페이지를 과다하게 호출하여 서버의 load가 높아지거나 처리가능한 커넥션수를 초과하게 만드는 공격이다.
  '웹페이지 과다 호출 방식의 DDoS공격 사례' (글 좋은진호, 2008.1.23)를 참고하기 바란다.
  IPS, L4스위치의 성능, 웹서버의 설정을 통해서 막아 낼 수 있다.

  1) IPS없고, L4스위치도 없다면.
      몇대 안되는 웹서버를 로드밸런싱하고 있는데, 다량의 공격(세션이 몇만이상)이라면 서버 load가 높아져 서비스가 불가능할 것이다.
  2) IPS없고, 성능 좋은 L4스위치. 그리고 몇 십대의 웹서버를 L4에 물려 서비스 한다면.
      이 때는 '웹페이지 과다 호출 방식의 DDoS공격 사례'에 써진 것처럼 막아 낼 수 있는 방법을 찾을 수 있다.
      그러나 몇 십대에 분산되어 서버가 다 받아드리더라도, 세션이 몇만~몇십만의 공격일 때 L4의 처리한계로 서비스가 느려질 수 있다.
  3) IPS있다면, 웹서버의 설정까지 조합해서 가능

2. SYN Flood, TCP Flag Flood, Half-Open Flood

  방화벽, L4스위치(SYN proxy기능을 갖는 L4. 그러나 SYN proxy기능을 이용하려면 DSR구성 방식은 불가능함), IPS등으로 막아낼 수 있다.

3. UDP Flood, ICMP Flood

  초기에 얘기했던 것처럼 공격량보다 많은 회선을 확보하지 못하면 어떠한 장비를 도입하더라도 막아낼 수 없다.  본인의 백본보다 상위단의 백본을 관리하는 곳(IDC, 호스팅 등)에 요청하여 dest. IP를 차단해달라고 요청해야할 것이다.

  작년 초에는 방화벽, ISP의 장비 업체의 실력있는 엔지니어들도 '우리 장비는 막을 수 있을 것 같다.'라고 얘기하는 경우도 있었다. UDP는 포트가 오픈되어 있지 않더라도 백본까지는 UDP 트래픽이 들어온다는 것(백본에서 UDP를 막았을 때)을 알면서도 저렇게 생각하고 있는 경우가 있었다. 요즘은 국내의 DDoS공격이 주위 사람에게만 뒤져봐도 흔하게 일어나는 안타까운 현실 때문에, 업체에서도 저런 얘기를 하는 경우는 줄었을 것이다.

  참고로 UDP는 주로 80포트와 53(DNS) 포트로 공격하지만 이외에 1024이하의 임의로 포트로 공격하는 경우도 있다.

DDoS 대응 장비로 거론되는 것은 다음 3가지 정도일 것이다.

1. 시스코의 Guard & Detector
   - 대규모 사이트에서 위의 2~3번 유형 대처할 때 적합
   - 초기 훈련을 통해 평상시의 트래픽을 인지하는 방식이라서 1번의 유형을 대처할 수도 있다.
      확인해본 적이 없어서 ^^
   - 1G 장비
   - 어플라이언스 제품과 Catalyst 6500시리지의 모듈형이 있다.
2. 라드웨어의 DefensePro(DP)
   - 대규모 사이트에서 1~3번 유형 대처할 때 적합
   - DP6000의 경우 10G모듈이며, 5~6G정도 공격은 커버 가능
3. 기가핀네트웍스의 Slimline, Flowline
   - 소규모 사이트에서 2번 유형을 대처할 때 적합
   - 약간 두꺼운 책 한 권 크기 정도이며, 가격이 저렴하다.
   - 1G UDP모듈만 제공(역시 소규모 사이트를 위한 제품임을 알 수 있음)했으나
     최근에 Flowline 500-F를 통해 광모듈 지원 장비도 나왔다.

시스코장비나 라드웨어 장비가 3번 유형을 막아준다고 표시해뒀는데, 유해한 UDP를 필터로 걸러내고 하위로 보내준다는 의미이지 보유한 회선을 넘는 공격을 막아낸다는 의미는 아니다.

※ 위의 모든 내용은 공격유형의 이름만 세미나에서 뽑아왔을 뿐이지 세미나 내용과는 전혀 무관하다.

세미나 내용중 흥미있는 슬라이드 2장만 올린다.

사용자 삽입 이미지
[ 공격대상 사이트가 시기별로 차이가 있으며 다양하다는 것을 보여줌 ]

사용자 삽입 이미지
[ 공격하겠다는 메일 ]
Posted by 좋은진호
IT이야기2008. 1. 24. 00:15
2주전에 정통부는 DDoS 공격 대응책 마련에 올해 20억원을 책정했다는 기사가 보도되었다. 20억이라는 금액은 누가 봐도 너무 적은 금액이라는 것을 알 것이다.
장비 몇대 또는 10여대면 끝날 금액으로 IX 3곳에 나누어 설치하는데, 이걸로 뭘할까 싶다.

20억 투자가 계획대로 진행되더라도, 구축체계 가동까지는 12월이다. 12월까지는 정부차원의 특별한 대응책('빨리 협조하여 대응한다'는 말뿐인 대응말고.)은 없어 보인다.

2 월 : 주요 ISP를 대상으로 사업설명회 (기사 외에도 KT관계자를 통해서도 들었음)
7 월 : DDoS 대응체계 구축 네트워크 설계
8 월 : DDoS 대응 시스템 도입 추진
10월 : 대응 시스템 시범 구축·운영
12월 : 대응 시스템을 본격 가동 예정

대조적으로 VeriSign은 타이탄(Titan) 프로젝트명으로 인프라확충에 2010년까지 1억달러 이상을 투자한다. (작년 4월에 쓴 '.com & .net 도메인 수수료 인상과 Titan 프로젝트'을 참고하세요.) 작년 2월에 root DNS의 공격을 받은 것이 큰 계기가 되었다.

21일 나온 기사에 따르면( 인터넷침해 대응체계 구축, 디지털타임스), 지난 5년간 경제적으로 약 5조3000억원의 침해사고에 대한 피해손실 예방 효과를 거두었다고 발표했다.

KISA측은 "이러한 노력의 결과로 1ㆍ25 대란이 발생한 2003년도에는 전 세계 침해사고 피해액 대비 국내 피해액 비율이 10% 수준이었으나 5년이 지난 현재 3% 수준으로 감소했다" 면서 "이를 경제적으로 추산하면 약 5조3000억원의 피해손실을 예방한 것" 이라고 말했다..

많이도 막았다고 자랑할 때가 아니다. 2000년 2월 야후, 이베이, 아마존 등이 DDoS공격에 의한 직접적 피해액만 1조 5천억원으로 산정한다.
현재 DDoS의 타켓이 국내 대형 포털이 아니지만 언제 포털이나 정부기관이 될지 모른다. 2000년의 해외 교훈을 잘 생각하자. 큰 손실을 막았다고 자랑하지 말고 더 큰 손실을 줄이기 위해 20억이 아니라, 200억을 한번에 투입해도 부족한 때이다.

인터넷에 고속도로만 뚫는게 전부가 아니다. 안전장치를 늘려 대형 사고를 줄여야 한다는 것을 잊지 말자.

* 정부, DDoS 공격 대책 마련 나선다 (2008.1.8, 아이뉴스24)
http://news.empas.com/show.tsp/cp_in/20080108n17198/

※ 올해에도 웹하드 업체의 DDoS공격이 심심치 않게 들려온다.



Posted by 좋은진호
IT이야기2007. 2. 9. 11:13
RIPE NCC의 DNSMON 페이지를 보면 13 root DNS 서버중에 g.root-servers.net와 l.root-servers.net DNS서버에서 대략 12시간정도 공격을 받은 것으로 보입니다. 06번이 G root서버 (DDN 관리), 11번이 L root서 버 (ICANN 관리)입니다. L root서버는 중간에 공격이 줄었다가 재차 공격을 시도를 했습니다.
 
* RIPE NCC의 DNSMON 페이지 (root DNS, 2007.2.5~2.7, 48시간)
사용자 삽입 이미지

org DNS 서버는 tld1.ultradns.net, tld2.ultradns.net, tld3.ultradns.org, tld4.ultradns.org, tld5.ultradns.info, tld6.ultradns.co.uk 6대가 골고루 공격을 당했습니다.
 
* RIPE NCC의 DNSMON 페이지 (org DNS, 2007.2.5~2.7, 48시간)
사용자 삽입 이미지

 
Team Cymu의 DNS Query Time Graph에는 정확히 확인하기 쉽지 않지만 G root 서버에서 Response Time이 그 시간대에 순간 올라갔음을 확인할 수 있습니다.
 
* DNS Query Response Time Graphs (Chicago, g.root-servers.net)
[ Tokyo와 Chicago와 회선에서 체크한 결과 ]
사용자 삽입 이미지
사용자 삽입 이미지

기사에도 나와있네요. ^^*. 처음 보도때는 없던데, 글을 늦게 쓰다보니깐 이러네요. ^^*
 
* 인터넷 백본, 집중 공격에도 난공불락임을 입증 ( Zdnet, 2007.2.8 )

DNS 시스템을 겨냥한 것으로 보이는 데이터는 6일 오전 2시 30분(미국 시간)에 집중적으로 쏟아지기 시작했다. 람잔은 “여러 대의 루트 서버에 트래픽이 폭발적으로 증가했다. 미 국방성에서 가동하는 「G」서 버와 ICANN에서 가동하는 「L」서버가 주로 공격을 받은 것 같다.”고 말했다. ICANN의 크레인 역시 그런 느낌을 받았다고 확인해주었다.
 
* 참고 : Huge DNS attack goes virtually unnoticed


Posted by 좋은진호
IT이야기2007. 2. 8. 11:52
DDoS공격이 1월말부터 증가했고, J 모 채팅 사이트가 며칠째 서비스를 못한다는 얘기를 들었습니다.
작년부터 DDoS공격이 있었지만 최근에 공격이 보다 증가하고, 강도도 높아진걸로 보입니다.
이는 언론에서도 얘기하듯이
1) 기존의 돈요구 목적 외에
2) 31일에 중국에서 있었던 동계아시안게임때 우리팀 선수의 백두산 세리머니로 인해 중국해커들의 공격이 있는 걸로도 추측해볼 수 있을 것 같습니다.

최근 DDoS 공격에 대한 얘기들이 많이 나오고는 있지만 중국발 웹해킹(특히 윈도)에 대한 것도 빼놓을 수가 없겠죠. 커피닉스에 몇몇 웹해킹 관련 정보를 적어둔게 있으니 검 색해보시면 될겁니다. 이전에 적어둔 웹해킹 사례외에도 몇몇 사이트를 알고 있지만 친분상 알게된 정보라 따로 얘기하지 않겠습니다.

블로그, 신문기사와 호스팅사이트를 토대로 DDoS 공격을 당한 경우를 정리했습니다. 이외에 누구나 아는 대형 사이트 몇개가 있지만, 해당 업체관계자에게 직접 들은 정보가 아니어서 말씀드리지 않겠습니다. (몇 단계를 거치다 보면 정확하지 않은 정보가 전달되는 경우가 있으니깐요. ^^*)

1. 티스토리 서비스 장애관련 (2007.1.29 오전~)

http://notice.tistory.com/736

1월 29일 오전 10시경 부터 약 한시간여 동안 티스토리 서비스의 접속이 원할하지 못하였습니다. 외부의 서비스 방해 공격에 의해 네트웍에 과부하가 걸린 상태에서 일부 네트웍 장비가 장애를 일으켜 결과적으로 티스토리에 접속이 어려운 상태가 되었습니다. 티스토리 서버들은 정상적으로 운영되고 있었으며, 문제가 된 네트웍 장비에 대해 원인을 파악하여 해결하고 보안성을 강화하였습니다.

한시간여 동안이라고 쓰여있지만 실제로는 그 이상이였죠. 티스토리 장애건 워낙 많은 블로거들이 써서 따로 적지 않겠습니다.

2. 닷네임코리아 (2007.1.29)

http://www.dotname.co.kr/server_error2.html

http://blog.naver.com/anlichol?Redirect=Log&logNo=150014189101 (2007.2.5, 양선생님)
http://s2day.tistory.com/293 (2007.2.5, S2day님)

withpartner.co.kr 이라는 사이트가 공격을 당했다고 하는데, 이 사이트가 닷네임코리아에 할당된 IP입니다.
그래서 닷네임코리아의 일부 IP대역이 서비스가 안되었을 걸로 추측합니다. 아래는 with... IP를 whois한 결과입니다.

IPv4 주소          : 211.39.253.0-211.39.254.255
네트워크 이름      : DOTNAMEKOREA
연결 ISP명         : DREAMX
할당내역 등록일    : 20060315
할당정보공개여부   : Y

참고 : 중국발 해킹(DDoS) 최종 종착역은? (2007.2.5. withpartner.tistory.com )

3. 기타 사이트의 공지사항

http://www.mireene.com/bb.php?mode=read&no=150&page=1&bid=notice (2007.1)
http://ipix.esocom.com/dboard/main.php?url=./board_view&bseq=1&subseq=4&no=210 (2006.12)
http://www.happyjung.com/gnuboard/bbs/board.php?bo_table=notice&wr_id=236 (2006.12)

위의 내용은 IDC내의 다른 사이트가 공격을 당해 호스팅업체까지 영향을 받은것인지는 공지사항을 읽어보시고 판단을 하세요.

4. 언론 보도

- "해킹 안당하려면 돈내" 중국 해커 공격 급증 ( 한계레, 2007.2.6 17:48 )
http://news.naver.com/news/read.php?mode=LSS2D&office_id=028&article_id=0000187055

- '중국발 해킹피해' 속수무책 (YTN, 2007.2.6 18:51, 사흘간 서비스 중단. 심하다. ^^* )
http://search.ytn.co.kr/ytn/view.php?s_mcd=0103&key=200702061851014569

- IP중국발 DDOS 해킹 사례 급증! ( 한국경제21,  2007.2.6 11:16 )
http://www.keconomy21.co.kr/board_view_info.php?idx=435&seq=3

- 국내 수천여 개 사이트, '인해전술' 해킹 당했다 ( SBS TV, 2007.2.7 )
http://news.naver.com/news/read.php?mode=LSS2D&office_id=055&article_id=0000090903

6일에 root DNS서버 공격을 당했다는 건 아시는 분들이 있을건데요,
root DNS서버의 response time을 확인해보고 어떤 root DNS서버인지 직접 찾아 볼겁니다.
데이터로 파악이 안되고, 보안업체에 문의해서 정보가 없다면 추가로 글은 안쓰겠습니다. ^^*

---------------------------------------------------------
5. 호스팅 업체들 (2007.2.14 추가 작성)

- 아이비호스팅 (2007.2.7(수) 00:30~??:??)
http://ivyro.net/ivyro/board/list.php?mode=read&number=157&board_name=iwebboard_notice

- 아이비호스팅 (2007.2.5(월) 11:??~12:30)
http://ivyro.net/ivyro/board/list.php?mode=read&number=153&board_name=iwebboard_notice

- 마루호스팅 (2007.2.5(월) 17:40~, 20:00~21:??, UDP, ICMP)
http://www.maru.net/bbs/view.php?id=notice&no=203
http://www.maru.net/bbs/data/notice/attacked_mrtg.jpg
http://sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=166879

- 마루호스팅 (2007.2.8(목) 18:34~20:32, 최대 840M)
http://www.maru.net/bbs/view.php?id=notice&no=203

- 이미지호스팅 - 링크파일 (2006.12.26(화) 20:00~20:12)
http://www.linkfile.co.kr/board.htm?w=v&bm_id=1&si_id=282

- 모임즈 커뮤니케이션 (2006.2.13(화))
http://networks.moimz.com/moimz/board/board.php?bid=host_notice&no=138
Posted by 좋은진호
IT이야기2007. 1. 12. 23:32
※ 2009.7월 DDoS 공격 관련해서는 글 맨 마지막의 '관련글'을 참고하세요.

이데일리 2007.1.12(금)일자에 나온 기사의 일부이다.
http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=01902406582997064&clkcode=00203&DirCode=0030503&curtype=read

최근 모 사이트 관리자는 메신저로 `xxx만원을 입금하지 않으면 사이트를 공격하겠다`는 메세지를 받았다. 그러나 별다른 대응 조치를 하지 않았다.

이 후 10여일간 하루 2~3차례 짧게는 5분에서 최대 5시간씩 대용량 트래픽이 유발되는 형태로 서버가 다운되는 등 네트워크 장애현상을 겪어야만 했다. 이 때문에 해당 IDC에서 강제 해지돼 다른 IDC로 이전했지만 이후에도 해킹 공격을 받아 결국 서비스를 중단하고 말았다.

최근 성인· 도박· 화상채팅 사이트를 대상으로 분산서비스거부(DDoS)라는 방법으로 돈을 요구하고 해킹 공격을 하는 사례가 잇따르고 있다.

DDoS는 IRC(인터넷릴레이채트) 채널에 로그인후 명령을 대기하고 있는 `좀비`라는 바이러스에 감염된 PC를 이용하여 공격하게 된다.
... 생략 ...

업계에 따르면 DDoS 공격은 주로 보안이 취약하고 유동IP를 사용하는 개인PC를 숙주로 이용하기 때문에 공격자 추적은 불가능한 상태로 DDoS 공격 등에 의한 장애 발생시 현재 원천적으로 차단할 방법이 없다. 현실적으로 IDC는 공격을 받으면 같은 회선을 사용하는 다른 서버의 피해를 줄이기 위하여 해당 사이트의 서비스를 중지시키거나 다른 네트워크로 분리하는 것이 유일하다.

... 생략 ...

DDoS공격은 유형에 따라 차단할 수 있는 것도 있지만, 대부분 복합적인 방법으로 이뤄져 기술적으로 차단할 방법이 거의 없다. IDC, ISP등의 협조 없이는 IDC 고객(10G이상의 여유회선을 갖고 있지 않은 고객)입장에서 막을 방법은 없다라고 보는게 맞을 것 같다.

- 공격량보다 많은 회선을 확보하면 좋겠지만 비용 만만치 않다는 것은 잘 알테고,
- 회선 확보 후 보안장비를 설치한다고 하더라도 장비의 성능이상의 트래픽이 들어오면 정상적인 서비스를 보장받을 수 없다.

DDoS를 위한 Cisco Guard & Detector(단독형 또는 Cisco 6500시리즈의 모듈형이 있음) 장비가 있지만 1G단위의 장비라, 공격이 5Gb라면 5대를 설치를 해야한다. 물론 그 이상의 공격이 들어오면 안정적인 서비스를 보장받기는 어렵고 ^^*

KT, 하나로 등의 몇몇 입주업체에서 저런 공격을 받은 걸로 들었다. 그리고, KT분당 IDC에 있는 호스팅업체 smileserv.com ( http://www.1000dedi.net/ )내에 있는 입주사도 공격을 받았으며, 공지사항의 사과문도 확인할 수 있다.

http://sample.1000dedi.net/hosting/gnuboard4/bbs/board.php?bo_table=commonBoard&wr_id=119

트래픽 양잉 일반적인 경우 6 기가, 최대 10 기가라니 실로 엄청나다. '일명 500만원 DOS 공격 괴담'이라니... 이업체를 토대로 이데일리에서 기사를 쓴건가...

정부, ISP, IDC간의 업무협조가 빨리 이뤄지길 바라며, 개인사용자의 보안의식도 강화되기를 빌어본다.

Posted by 좋은진호
시스템이야기2006. 12. 17. 22:07
커피닉스는 iptables을 이용해서 DROP시 로그를 남기도록 개인방화벽을 사용한다. 로그 남기는 것 없이 DROP만 하는 분도 있는데, 어떤 공격이 어느 정도 시도가 있는지 모르는 답답함 속에 살지 말고 꼭 남겨서 로그 확인해보면 인터넷이 얼마나 오염됐는지 확인해보길.. ^^*
(FreeBSD에서도 ipfw에 log 설정으로 남길 수 있음)

iptables -N Drop_Log
iptables -A Drop_Log -j LOG
iptables -A Drop_Log -j DROP

iptables -A INPUT ... 생략 ... -j Drop_Log  <-- 이런 룰이 몇개 쭈욱 있겠죠.

messages 등의 파일에 다음과 같은 로그가 쌓인다.

Dec 17 21:10:35 xxxxx kernel: IN=eth0 OUT= MAC=...생략... SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=24837 PROTO=TCP SPT=4339 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0

문득 어느정도 어느 포트로 들어오나 궁금해서, 최근 몇시간 것만 뽑은 후 awk 몇 번 돌리고, uniq, sort 이용하니
- TCP 139, TCP 1433, TCP 135등 Windows용 포트와
- vnc, radmin등이 사용하는 5800, 4899포트 등이 대부분인 걸 수치로 확인할 수 있었다.

※ 맨 앞부터 건수, 다음 TCP/UDP, 포트
    71 TCP 139  (netbios-ssn)
    57 TCP 1433 (ms-sql-s)
    30 TCP 135  (epmap)
    23 TCP 5800 (vnc)
    13 TCP 4899 (radmin)
     8 UDP 1026
     8 TCP 445  (microsoft-ds)
     7 UDP 500
     6 UDP 137  (netbios-ns)
     6 TCP 5900 (vnc)
     6 TCP 443  (https)
     5 UDP 1027
     5 TCP 22   (ssh)
     4 TCP 4769
     3 TCP 8080 (proxy, web 등)
     3 TCP 2100 (amiganetfs)
     2 TCP 55055
     2 TCP 1338
     2 TCP 1024
     2 TCP 10000 (ndmp)
     1 TCP 36604
     1 TCP 35092
     1 TCP 3389

참고로 국내외의 포트스캔에 대한 정보는 다음 사이트에서.

http://ftp.kreonet.re.kr/flow/index.html

http://isc.sans.org/port_report.php
Posted by 좋은진호