메일헤더 분석 및 역추적 방법 강좌 #2
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 1,440 조회
- 0 추천
- 목록
본문
메일헤더 분석 및 역추적 방법 강좌 #2
3. IP주소 질의 및 추적방법
네트워크에서는 모든 로그에 IP 정보가 저장되므로 특정한 IP가 어떤 국가에 할당된 것인지, 어떤 ISP에 속하는지, 어떤 회사나 기관에서 사용하는 IP인지 알아야 할 경우가 있다.
이에 대해서는 여러 가지 방법으로 확인할 수 있는데, 각각의 방법에 대해 살펴보도록 하자.
통상적으로 IP 주소에 대한 정보를 질의할 때는 whois db에 질의하게 되는데, 기억하고 있을만한 whois db는 아래와 같다.
① radb에 조회하는 방법
whois.radb.net에 질의를 할 때 아래와 같이 기본적인 정보 및 라우팅 경로뿐만 아니라 AS 정보도 확인할 수 있다.
# whois 61.222.106.171@whois.radb.net [whois.radb.net] route: 61.222.0.0/16 descr: (HiNet) Chunghwa Telecom Co., Ltd. Data Communication Business Group 21, Section 1, Hsin-Yi Road, Taipei Taiwan R.O.C. origin: AS3462 remarks: notify: cykang@ms1.hinet.net mnt-by: MAINT-AS3462 changed: cykang@ms1.hinet.net 20010918 source: RADB |
또는 http://www.radb.net/에 접속하여 질의해도 같은 결과를 얻을 수 있다.
whois 결과를 보면 AS 번호라는 것이 나오는데, 네트워크의 입장에서 AS 번호는 자주 사용되는 개념이므로 알고 있을 필요가 있다.
AS번호란, 인터넷상에서 자치 네트워크(Autonomous System)를 식별하기 위한 고유한 숫자로서, 통상적으로 한 ISP는 하나의 고유한 AS 번호를 가지고 있다.
자치 네트워크는 독자적으로 고유한 AS 번호를 가짐으로써 전 세계 인터넷상에서 외부의 다른 자치네트워크들과 외부 망 연동(Routing) 정보를 교환할 수 있다.
이를테면 ISP간에 BGP라는 라우팅 프로토콜로 연동할 때 서로의 AS 번호를 이용하여 연동하는데, 이를테면 KT의 경우 4766, DACOM의 경우 3786이다.
이러한 것을 이용하여 특정 IP가 어떤 AS 번호에 속해있는지 확인함으로써 해당 IP에 할당된 ISP나 기관을 조회할 수 있다.
국내에 할당된 다른 AS 번호는 아래 URL에서 확인할 수 있다.
http://ipstat.nic.or.kr/ 또는 http://ip.nida.or.kr/
② cymru.com에 조회하는 방법
좀 더 간단히 기관명 및 AS 번호만 조회하기 위해서는 아래와 같이 조회할 수 있다.
# whois 61.222.106.171@whois.cymru.com [whois.cymru.com] ASN | IP | Name 3462 | 61.222.106.171 | HINET Data Communication Busin |
③ AS 번호와 IP 번호를 함께 질의하는 방법
이번에는 반대로 해당 AS 번호가 사용하는 IP 대역을 알고자 할 경우에는 다음과 같이 질의할 수 있다.
http://www.fixedorbit.com/cgi-bin/cgirange.exe?ASN=XXXX
XXXX는 질의하고자 하는 해당 AS 번호를 입력하면 된다.
또는 아래 주소에 접속하여 “Search by ASN“ 부분에 AS 번호를 입력하면 된다.
http://www.fixedorbit.com/search.htm
이때 아래와 같은 화면이 보이는데, 아래의 경우 하나로통신의 AS인 9318을 질의한 예이다.
아래에 Peer라는 부분은 하나로통신과 직접 연동되어 있는 AS 번호의 목록이며 이를 통해 어떤 ISP와 연동되어 있는지 확인이 가능할 것이다.
[그림] AS 정보 질의화면
여기에서 위쪽의 부분을 보면
"Control of approx 8,722,598 IP addresses (0.44%) in 90 groups [more info...]"
라는 부분이 있는데, 이 부분을 클릭하면 아래와 같이 사용 중인 IP 대역을 질의할 수 있다.
[그림] 사용 중인 IP대역 질의
④ RIR에 whois 질의방법
좀 더 전통적인 방법으로, 각 지역별로 IP 주소를 관리하는 기관에 직접 질의하는 방법이 있다.
전 세계 IP 주소는 아래 도표에서와 같이 최상위 관리 기관인 IANA(http://www.iana.org/)에서 관리하고 있는데, 그 이하에는 다시 각 대륙별 관리 기관인 (Regional IR)이 있다.
여기에는 유럽을 담당하는 RIPE, 북미를 담당하는 ARIN, 아시아 태평양을 담당하는 APNIC, 라틴아메리카를 담당하는 LACNIC등이 있다.
[그림] IP 관리 조직 체계도
참고로 각 RIR의 URL은 아래와 같다.
RIPE(Réseaux IP Européens) : http://www.ripe.net/
ARIN(American Registry for Internet Numbers) : http://www.arin.net/
APNIC(Asia Pacific Network Information Intre) : http://www.apnic.net/
LACNIC(Latin American and Caribbean Internet Addresses Registry): http://lacnic.net
그리고 각 RIR에는 각 국가별로 IP 주소를 담당하는 대표 기관이 있는데, 위 그림과 같이 일본의 경우 JPNIC, 한국의 KRNIC(NIDA), 대만의 TWNIC등이 그 예이다.
국가를 대표하는 IP 주소 관리 기관인 이들은 NIR(National IR)이라 하는데, 상위 기관인 APNIC등과 밀접한 연관을 맺으며 하위 ISP에 대한 IP 할당 및 관리 등의 업무를 담당한다.
따라서 ISP는 KRNIC(NIDA)으로부터, KRNIC(NIDA)은 APNIC으로부터, APNIC은 IANA로부터 IP 할당을 받게 되는 것이다.
만약, 168.126.63.1를 조회하고자 할 경우, 먼저 다음과 같이 arin whois에 질의해 보니 아래와 같이 ARIN에 할당된 IP가 아니라 APNIC에 할당된 IP이므로 whois.apnic.net에 질의하라는 결과를 받았다.
# whois 168.126.63.1@whois.arin.net [Querying whois.arin.net] [whois.arin.net]
OrgName: Asia Pacific Network Information Centre OrgID: APNIC Address: PO Box 2131 City: Milton StateProv: QLD PostalCode: 4064 Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 168.126.0.0 - 168.126.255.255 CIDR: 168.126.0.0/16 NetName: APNIC-ERX-168-126-0-0 NetHandle: NET-168-126-0-0-1 Parent: NET-168-0-0-0-0 NetType: Early Registrations, Transferred to APNIC Comment: This IP address range is not registered in the ARIN database. Comment: This range was transferred to the APNIC Whois Database as Comment: part of the ERX (Early Registration Transfer) project. Comment: For details, refer to the APNIC Whois Database via Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry Comment: for the Asia Pacific region. APNIC does not operate networks Comment: using this IP address range and is not able to investigate Comment: spam or abuse reports relating to these addresses. For more Comment: help, refer to http://www.apnic.net/info/faq/abuse RegDate: 2003-08-20 Updated: 2003-08-20
OrgTechHandle: AWC12-ARIN OrgTechName: APNIC Whois Contact OrgTechPhone: +61 7 3858 3188 OrgTechEmail: search-apnic-not-arin@apnic.net
# ARIN WHOIS database, last updated 2008-02-27 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database. |
따라서 아래는 APNIC에 다시 질의해 본 결과이다.
# whois 168.126.63.1@whois.apnic.net [Querying whois.apnic.net] [Redirected to whois.krnic.net] [Querying whois.krnic.net] [whois.krnic.net]
query: 168.126.63.1
# KOREAN
조회결과는 아래와 같으며, 실제 정보와 상이할 수 있습니다.
IPv4주소 : 168.126.63.0-168.126.63.255 네트워크 이름 : KORNET-INFRA000001 연결 ISP명 : KORNET 할당내역 등록일 : 20060405 할당정보 공개여부 : N
[ IPv4주소 사용 기관 정보 ] 기관고유번호 : ORG1600 기관명 : (주)케이티 망관리본부 주소 : 성남시 분당구 정자동 우편번호 : 463-711
[ 네트워크 담당자 인물 정보 ] 기관명 : (주)케이티 망관리본부 주소 : 성남시 분당구 정자동 우편번호 : 463-711 전자우편 : kornet_ip@kt.co.kr
------------------------------------------------------------------
만약 위의 IPv4주소 사용기관 정보가 올바르지 않을 경우 아래의 해당 연결 ISP 담당자에게 문의하시기 바랍니다.
[ 연결ISP의 IPv4주소 책임자 정보 ] 이름 : IP주소관리자 전화번호 : +82-2-3674-5708 전자우편 : kornet_ip@kt.co.kr
[ 연결ISP의 IPv4주소 담당자 정보 ] 이름 : IP주소담당자 전화번호 : +82-2-3674-5708 전자우편 : kornet_ip@kt.co.kr
[ 연결ISP의 Network Abuse 담당자 정보 ] 이름 : 스팸/해킹담당 전화번호 : +82-2-100-0000 전자우편 : abuse@kornet.net
# ENGLISH
KRNIC is not an ISP but a National Internet Registry similar to APNIC. The following is organization information that is using the IPv4 address.
IPv4 Address : 168.126.63.0-168.126.63.255 Network Name : KORNET-INFRA000001 Connect ISP Name : KORNET Registration Date : 20060405 Publishes : N
[ Organization Information ] Organization ID : ORG1600 Org Name : Korea Telecom Address : Jungja-dong, Bundang-gu, Sungnam-ci Zip Code : 463-711
[ Technical Contact Information ] Org Name : Korea Telecom Address : Jungja-dong, Bundang-gu, Sungnam-ci Zip Code : 463-711 E-Mail : kornet_ip@kt.co.kr ------------------------------------------------------------------ If the above contacts are not reachable, please contact following ISP for further information.
[ ISP IPv4 Admin Contact Information ] Name : IP Administrator Phone : +82-2-3674-5708 E-Mail : kornet_ip@kt.co.kr
[ ISP IPv4 Tech Contact Information ] Name : IP Manager Phone : +82-2-3674-5708 E-Mail : kornet_ip@kt.co.kr
[ ISP Network Abuse Contact Information ] Name : Network Abuse Phone : +82-2-100-0000 E-Mail : abuse@kornet.net
|
위와 같이 질의한 IP는 KRNIC에 할당된 168.126.63.0-168.126.63.255 대역에 포함되며 KRNIC 산하 KT에 할당되었으며 해당 관리자의 전화번호와 이름 등 인적 사항을 확인할 수 있다.
또는 http://ipwhois.nic.or.kr/에 접속하여 질의해도 된다.
참고로, 질의 정보는 수시로 업데이트되기 때문에, 질의 기관마다 정보가 다소 다를 수 있다.
⑤ 국가명만 알고자 할 경우 질의방법
마지막으로 해당 IP의 국가명만 알고자 할 경우에는 http://www.hostip.info/ 나 http://www.dnsstuff.com/ 에 접속하여 질의하면 쉽게 알 수 있다.
또한 이 사이트에서 무료로 제공하는 데이터베이스를 다운받아 자신의 홈페이지에서도 질의 기능을 포함하도록 할 수도 있다.
스팸, 바이러스 없는 청정 인터넷을 기대하며
지금까지 메일 서비스를 제공할 때 고려하여야 할 사항에 대해 살펴보았다. 그 중에서 바이러스는 그렇다 하더라도 스팸 메일은 참으로 심각한 문제가 아닐 수 없다.
특히 http://www.blackholes.us/와 같은 곳에서는 아예 한국의 IP 대역 전체를 blacklist로 설정하여 한국에서 오는 메일 자체를 차단한 경우도 적지 않은데, 이 때문에 꼭 보내야 할 메일을 보내지 못하는 경우도 발생하곤 한다.
최근에는 특히 일종의 웹해킹 기법 중 하나인 게시판이나 폼메일(formmail)의 취약성을 악용하여 웹에서 대량의 스팸 메일을 발송하는 경우가 많아 서버 관리자들을 괴롭히고 있는데, 이러한 경우에는 앞에서 살펴본 웹서버 보안의 내용을 적절히 활용할 필요가 있을 것이다.
관련자료
-
이전
-
다음
