Home | Contact us

패턴분석 Tip & Library White Paper   IP 주소의 추적 [ 제공 : 하진철 링네트 기술지원센터 ] 2005/11/01 최근 여러 블록버스터 영화를 보면 해킹 혹은 기타 행위에 대한 역추적 장면을 목격하게 된다. 이때 보여지는 세계 지도 화면은 마치 역동적으로 해커의 위치를 정확하게 찾아내는 것처럼 보인다. 하지만 이것은 허구에 지나지 않는다. 현재의 기술로는 해커의 위치를 찾아내는 것은 거의 불가능 하다. 해킹을 하는 대부분의 사용자들은 여러 개의 시스템을 경유하여 접속하거나 다양한 웜을 통해서 또는 백도어 시스템을 통해서 원하는 시스템을 공격하기 때문에 실제 해커의 위치를 발견하기는 매우 어렵다. 대부분 해킹을 위해 사용된 최종 시스템이 발견되며 이는 실제 해킹을 수행한 시스템은 아니다. 물론 IP추적이 모두 불가능 한 것은 아니다. 이번에는 실제 IP 추적의 내용보다는 기본적인 것을 다루어 보도록 하겠다. DNS를 이용한 검색 및 추적 (nslookup) 우리는 단순히 DNS를 PC에 등록하고 인터넷을 사용하기 위한 URL을 검색하는 데에만 DNS를 사용한다. 하지만 DNS는 그 외에도 많은 정보를 우리에게 제공한다. 다음은 PC의 DOS창에서 nslookup이라는 명령을 수행하여 202.43.214.151의 IP가 어디에 등록되어 있는지를 보여준다. 202.43.214.151 IP는 Yahoo.com에 등록되어 있는 IP라는 것을 알 수 있다. DNS는 이보다 더 많은 정보를 제공한다. 위의 내용을 잘 보면 검색을 수행한 yahoo.co.kr 서버의 IP가 202.43.214.151이라는 것을 확인할 수 있다. 또한 yahoo.com이 등록되어 있는 DNS 서버의 IP와 다양한 정보를 제공하고 있다. 물론 이런 DNS정보가 IP추적이라고 보기에는 어려움이 있지만, IP 추적이라고 하는 것은 여러 가지 정보를 수집하고 이를 통해 얻어지는 것이라고 한다면 도움이 될 만도 하다. Traceroute를 이용한 추적 그렇다면 기초적인 추적이라고 할 수 있는 Traceroute라는 명령을 이용하여 일단 www.ringnet.co.kr이라는 Site의 위치를 추적해 보자. 혹은 해당 서버의 IP만 입력해도 된다. Traceroute 명령은 최대 30개의 Hop(IP를 전달하는 Router의 인터페이스)까지를 추적하여 준다. 필자의 PC에서 추적하여 본 결과 목적 시스템은 13번째의 홉에 위치하며 12개의 시스템을 거쳐 접속되고 있다는 것을 확인할 수 있다. 중간에 * 로 표시되고 Request timed out이라고 표시된 것이 있는데 이는 이러한 추적을 막기위해 응답하지 않는 시스템이 중간에 있다는 뜻이다. 예를 들면, 방화벽이나 여타의 보안장비들 혹은 사설 IP를 가지고 있는 시스템의 경우가 이에 해당한다. Whois를 이용한 추적 그렇다면 210.127.248.180의 IP를 가진 시스템은 어디에 존재하는 것일까? 이를 찾기 위해서 우리는 보통Whois라는 시스템을 사용한다. Whois 검색 결과 우리가 원하는 시스템은 분당에 있는 KT의 IDC에 위치하고 있다. 만일 목적 시스템이 우리의 시스템을 공격한 IP라면 네트워크 책임자의 전자우편으로 메일을 띄울 수 있다. "당신의 시스템 중 어느어느 IP가 우리의 시스템을 공격하였습니다. 확인을 요청 드립니다." 라고 말이다. 하지만 이런 시스템이 개인의 PC라면 아마도 해당 ISP의 정보만 얻을 수 있을 것이다. 현재는 개인의 정보까지는 제공하지 않기 때문이다. 이외에도 다양한 자료들을 통해서 IP를 추적한다. 해당 시스템의 Log를 분석한다든지, 게시판에 접속했다면 그곳에 남겨진 흔적을 찾는 다던지, 메일을 추적한다든지 등등.. TV를 보면 과학수사대의 활동을 보여주는 프로가 있다. 이를 보면 범죄가 발생한 곳의 증거들을 수집하여 범인을 찾는 모습을 볼 수 있는데, 해킹도 똑같다고 보면 된다. 지금까지 IP 추적에 대한 기본적인 것을 다루어보았다. 서두에서도 언급한 바와 같이 이런 추적이 실제 공격자가 아닐 확률이 훨씬 높다. 이는 실제 해커는 여러 시스템을 경유하여 공격하기 때문이며, 오늘 언급된 추적은 당신의 시스템에 접근한 최종 시스템까지는 찾을 수 있다. 자료 파일 : 기술 백서를 다운로드 받으시려면 아래 양식에 맞게 정보를 등록하여 주시기 바랍니다. IPS에 대한 고급정보 및 다양한 기타 정보를 제공해 드리는 목적 외에는 절대 이용하지 않음을 알려드립니다. 이름 직급 회사명 연락처 이메일     [3] PMS 도입시 이것만은 꼭! [4] PMS와 & IP관리시스템(IPBlock) [1] 패치의 중요성 제 2세대 IPS 솔루션, Attack Mitigator IPS5500 능동형 IPS SafeZone 내·외부 웜 공격에 끄덕없는「첨단 디지털 병원」개원 제공: 조대성 기자 한라공조, SafezoneIPS로 네트워크 안정성과 IT 자산보호 확보 글로빅스, Ddos 공격 박멸하고 인터넷 관리 서비스 기업 선두지켜 뉴스     l     IT 비즈니스     l    빌더     l    리뷰     l     다운로드

Copyright ⓒ 2005 CNET Networks, Inc. All rights reserved. ZDNet is a registered service mark of CNET Networks, Inc. ZDNet Logo is service mark of CNET Networks,