# TCP SYN 핑

## 개요

**TCP SYN 핑**(TCP SYN Ping)은 네트워크 보안 및 네트워크 관리 분야에서 사용되는 호스트 탐지 기법 중 하나로, 대상 호스트가 네트워크 상에서 활성 상태인지 여부를 판단하기 위해 TCP 프로토콜의 **SYN**(Synchronize) 플래그를 활용하는 방법입니다. 이 기법은 전통적인 ICMP 기반 핑(Ping)과 달리, 방화벽이나 보안 정책으로 인해 ICMP 패킷이 차단된 환경에서도 효과적으로 호스트를 탐지할 수 있어 실무에서 널리 사용됩니다.

TCP SYN 핑은 주로 포트 스캔 도구(예: Nmap)에서 기본적인 호스트 발견 기능으로 포함되어 있으며, 네트워크 인벤토리 관리, 보안 감사, 취약점 평가 등 다양한 시나리오에서 활용됩니다.

---

## 작동 원리

TCP SYN 핑은 TCP 3-way 핸드셰이크의 첫 번째 단계인 **SYN 패킷 전송**을 기반으로 동작합니다. 일반적인 TCP 연결 과정은 다음과 같습니다:

1. 클라이언트 → 서버: `SYN` (연결 요청)
2. 서버 → 클라이언트: `SYN-ACK` (수락 응답)
3. 클라이언트 → 서버: `ACK` (확인)

TCP SYN 핑은 이 과정에서 **첫 번째 단계만 수행**합니다. 즉, 스캐너는 대상 호스트의 특정 포트(보통 공개된 서비스 포트, 예: 80, 443)로 TCP SYN 패킷을 전송하고, 그 응답을 분석하여 호스트의 활성 여부를 판단합니다.

### 응답 유형에 따른 해석

| 응답 유형 | 의미 | 해석 |
|----------|------|------|
| `SYN-ACK` 수신 | 대상 포트가 열려 있음 | 호스트는 활성 상태 |
| `RST` (Reset) 수신 | 포트는 닫혀 있으나 호스트는 응답 중 | 호스트는 활성 상태 |
| 응답 없음 (Timeout) | 패킷 손실, 방화벽 차단, 호스트 비활성 | 호스트가 비활성일 가능성이 있음 |

이처럼 `SYN-ACK` 또는 `RST` 응답이 수신되면, **대상 호스트가 네트워크에 존재하고 TCP 스택이 작동 중**임을 유추할 수 있습니다. 반면, 응답이 전혀 없는 경우는 호스트가 오프라인일 수도 있지만, 방화벽이 SYN 패킷을 차단하거나 응답을 필터링하는 경우도 있으므로 주의가 필요합니다.

---

## 장점과 단점

### ✅ 장점

- **ICMP 차단 환경에서도 작동 가능**: 많은 네트워크에서 ICMP Echo 요청(Ping)을 차단하지만, TCP 트래픽은 허용하는 경우가 많아, TCP SYN 핑이 더 높은 탐지율을 보입니다.
- **정확한 호스트 상태 판단**: TCP 응답은 IP 계층 이상의 프로토콜 스택이 정상적으로 동작함을 의미하므로, 단순한 ICMP 응답보다 신뢰도가 높습니다.
- **낮은 오버헤드**: 전체 연결을 완료하지 않기 때문에 리소스 소모가 적고, 빠른 스캔이 가능합니다.

### ❌ 단점

- **방화벽의 상태 기반 필터링에 취약**: 상태 비저장(stateless) 방화벽은 SYN 패킷을 차단할 수 있으며, 상태 저장(stateful) 방화벽은 비정상적인 SYN 패킷을 무시할 수 있습니다.
- **비허용 포트에 대한 응답 불확실성**: 모든 포트가 닫혀 있거나 필터링된 경우, 응답이 없어 호스트 존재 여부를 판단하기 어렵습니다.
- **보안 감지 가능성**: 반복적인 SYN 패킷 전송은 IDS/IPS(침입 탐지/방지 시스템)에 의해 **스캔 행위**로 탐지될 수 있습니다.

---

## 활용 사례

### 1. **네트워크 인벤토리 관리**
시스템 관리자는 TCP SYN 핑을 사용하여 내부 네트워크에 연결된 장치들을 정기적으로 스캔하고, 활성 호스트 목록을 유지 관리할 수 있습니다.

### 2. **보안 감사 및 취약점 평가**
침투 테스트(Penetration Testing) 초기 단계에서, 공격자는 TCP SYN 핑을 통해 공격 가능한 타깃 호스트를 식별합니다. 이는 **리컨**(Reconnaissance) 단계의 핵심 기술입니다.

### 3. **방화벽 정책 테스트**
방화벽 뒤에 있는 호스트가 특정 포트를 통해 접근 가능한지 테스트할 때 유용합니다. 예를 들어, 웹 서버(포트 80)로 SYN 패킷을 보내 응답 여부를 확인함으로써 정책이 제대로 적용되었는지 검증할 수 있습니다.

---

## 도구 예시: Nmap을 통한 TCP SYN 핑

가장 대표적인 네트워크 스캐닝 도구인 **Nmap**은 TCP SYN 핑을 기본 기능으로 제공합니다. 다음은 사용 예시입니다:

```bash
nmap -PS22,80,443 192.168.1.0/24
```

- `-PS`: TCP SYN 핑 사용을 지정
- `22,80,443`: 스캔할 포트 목록 (SSH, HTTP, HTTPS)
- `192.168.1.0/24`: 대상 네트워크

이 명령은 지정된 네트워크 내 모든 호스트에 대해 포트 22, 80, 443으로 SYN 패킷을 전송하고, 응답을 기반으로 활성 호스트를 식별합니다.

> 🔐 **주의**: 권한 없이 외부 네트워크에 스캔을 수행하는 것은 보안 정책 위반 또는 법적 문제를 초래할 수 있습니다. 항상 허가된 범위 내에서 사용해야 합니다.

---

## 관련 기법 비교

| 기법 | 프로토콜 | 차단 가능성 | 정확도 | 비고 |
|------|---------|------------|--------|------|
| ICMP 핑 | ICMP | 높음 | 중 | 가장 일반적이나 차단 많음 |
| TCP SYN 핑 | TCP | 중 | 높음 | 실용적, 널리 사용 |
| ARP 핑 | ARP | 낮음 (내부 네트워크 한정) | 매우 높음 | 동일한 로컬 네트워크에서만 유효 |
| UDP 핑 | UDP | 높음 | 낮음 | 응답이 불규칙함 |

---

## 참고 자료 및 관련 문서

- [Nmap 공식 문서 - Host Discovery](https://nmap.org/book/host-discovery.html)
- Stevens, W. R. (1994). *TCP/IP Illustrated, Volume 1: The Protocols*. Addison-Wesley.
- RFC 793 - Transmission Control Protocol

---

## 관련 문서

- [[ICMP 핑]]
- [[ARP 핑]]
- [[포트 스캔]]
- [[Nmap 사용법]]
- [[방화벽 우회 기법]]