N-IDS가 수집하여 처리하는 패킷들에서 다음과 같은 형태의 패킷들의 발견되었다. 이에 대한 설명으로 가장 옳은 것은?
원문 이미지 포함 문제
1
S1 시스템이 D1 시스템에 대해 SYN flooding 공격을 시도하였다.
오답 이유오답 보기입니다. ‘S1 시스템이 D1 시스템에 대해 SYN flooding 공격을 시도하였다.’은(는) 이 문항의 판단 기준인 ‘S1 시스템이 D1 시스템에 대해 TCP SYN 스캔을 시도하였다.’과 구별해야 합니다. 계층·프로토콜·포트·장비 또는 공격 흐름이 지문에서 요구한 조건과 다릅니다.
2
S1 시스템이 D1 시스템에 대해 TCP SYN 스캔을 시도하였다.
정답 근거정답 보기입니다. S1이 SYN을 보내고 D1이 SYN+ACK로 응답했을 때, S1이 ACK를 보내 세션을 완전히 성립시키지 않고 RST 패킷을 보내 연결을 강제로 끊는 패턴이 반복되고 있습니다. 이는 포트 개방 여부를 확인하는 전형적인 TCP SYN 스캔(Half-Open 스캔) 방식입니다.
3
S1 시스템이 D1 시스템에 대해 TCP CONNECT 스캔을 시도하였다.
오답 이유오답 보기입니다. ‘S1 시스템이 D1 시스템에 대해 TCP CONNECT 스캔을 시도하였다.’은(는) 이 문항의 판단 기준인 ‘S1 시스템이 D1 시스템에 대해 TCP SYN 스캔을 시도하였다.’과 구별해야 합니다. 계층·프로토콜·포트·장비 또는 공격 흐름이 지문에서 요구한 조건과 다릅니다.
4
S1 시스템이 D1 시스템에 대해 Stealth 스캔을 시도하였다.
오답 이유오답 보기입니다. ‘S1 시스템이 D1 시스템에 대해 Stealth 스캔을 시도하였다.’은(는) 이 문항의 판단 기준인 ‘S1 시스템이 D1 시스템에 대해 TCP SYN 스캔을 시도하였다.’과 구별해야 합니다. 계층·프로토콜·포트·장비 또는 공격 흐름이 지문에서 요구한 조건과 다릅니다.
ANSWER & EXPLANATION
정답 2번
S1이 SYN을 보내고 D1이 SYN+ACK로 응답했을 때, S1이 ACK를 보내 세션을 완전히 성립시키지 않고 RST 패킷을 보내 연결을 강제로 끊는 패턴이 반복되고 있습니다. 이는 포트 개방 여부를 확인하는 전형적인 TCP SYN 스캔(Half-Open 스캔) 방식입니다.
RELATED CONCEPT
네트워크 보안 핵심개념
정답 용어만 외우지 말고 각 보기의 적용 대상·기능·전제 조건을 비교하세요. 같은 분야 기출을 묶어서 풀면 표현이 달라져도 판단 기준을 유지할 수 있습니다.