5 IP 주소 추적

학습목표 내용 IP 주소를 추적하는 다양한 방법을 알아본다. 공격 대상의 IP 주소를 직접 추적해본다. P2P 서비스를 이용한 IP 주소 추적 웹 게시판을 이용한 IP 주소 추적 traceroute를 이용한 IP 주소 추적

IP 주소와 IP 주소 추적 IP 주소는 전 세계에 펼쳐진 네트워크에 해당 패킷을 전달하는 역할을 하는데, 모든 패킷에는 출발지와 목적지가 존재 인터넷에서 떠돌아다니는 패킷에는 모두 출발지 IP 주소와 목적지 IP 주 소가 입력되어 있음 IP 주소 추적의 기본은 출발지 IP 주소를 확인하는 것

메일을 이용한 IP 주소 추적 메일은 형식이 MIME(Multipurpose Internet Mail Extensions, 마임) 실제로 메일에는 이보다 많은 정보가 함께 전달되어 오므로 메일을 분석하면 메일을 보낸 사람의 많은 정보를 알 수 있음 메일은 크게 헤더와 내용(콘텐츠) 부분으로 나뉨 내용 : 메일 제목과 본문, 첨부파일에 대한 정보가 있음 헤더 구조 경유한 시스템 이름과 IP 주소 등을 확인 가능 but 공격자가 포털에서만 메일을 보내면, 메일을 이용한 IP 추적이 유용하지 않을 수 있 음 Date : 보낸 날짜와 시간 From : 발신인 Date : 송신 일시 To : 주 수신인 CC(Carbon Copy) : 부 수신인 BCC(Blind Carbon Copy) : 주, 부 수신인에게 알리지 않은 수신인 received by : 경유한 시스템 이름과 IP 주소

실습 5-1 메일 헤더를 통해 IP 주소 확인하기 실습환경 메일 송신: wishfree@empal.com에서 ydi1101@hanmail.net으로 이메일 수신한 메일 다운로드: 한메일에서 메일 열람과 메일 저장 인터넷이 연결된 클라이언트 시스템(윈도우 XP) 실습환경 1 2

실습 5-1 메일 헤더를 통해 IP 주소 확인하기 메일 헤더 확인: 저장한 메일을 메모장에서 열기 3

P2P 서비스를 이용한 IP 주소 추적 P2P 서비스 Peer to Peer = PC to PC = Personal to Personal 간단한 메시지를 주고받을 때는 P2P 서버를 이용하지만, 클라이언트 간에 파일을 주고 받을 때는 세션을 직접 생성. 상대방의 IP 주소를 netstat이나 패킷 분석을 통해 확인가 능 P2P 서비스를 이용한 텍스트와 파일 교환  서버를 통해 이루어지므로 IP 주소 노출X  상대방과 직접 주고받아 IP 주소 노출/획득 O

실습 5-2 MSN 메신저를 통해 IP 주소 확인하기 메신저 로그인 상태 확인 : Wireshark에서 패킷을 스니핑하여 파일 전송 시 연결 세션 확인 netstat -an MSN 메신저와 연결된 클라이언트 시스템(윈도우 XP) 2대 실습환경 1 2

실습 5-2 MSN 메신저를 통해 IP 주소 확인하기 다른 회원과 대화 상태에서 네트워크 상태 확인 : 파일 전송 시 Wireshark에서 패킷 스니핑하여 연결 세션 확인 3

웹 게시판을 이용한 IP 주소 추적 웹 게시판에 글을 쓸 때는 글쓴이의 IP 주소가 기록되고, 웹 서버의 로그에서도 IP 주소 저장 웹 해킹 등의 공격 흔적은 로그 파일 분석을 통해 확인 가능 FTP나 Telnet 같은 서비스도 로그를 분석하여 해커의 IP 주소 확인 가능

실습 5-3 웹 게시판을 이용해 웹 접속자 IP 주소 확인하기 웹 서비스 활성화 : setup → System services 선택 → httpd 설정 방화벽 룰셋 조정 : Firewall configuration -Customize선택 → WWW (HTTP)설정 아파치 웹 서버가 설치된 서버(페도라 12)와 이와 같은 랜에 연결된 클라이언트 시스템(윈도우 XP) 실습환경 1 2

실습 5-3 웹 게시판을 이용해 웹 접속자 IP 주소 확인하기 서비스 시작: httpd 서비스 시작 service httpd start 클라이언트 접속 : 웹 브라우저를 통해 해당 웹 서버에 접속 3 4

실습 5-3 웹 게시판을 이용해 웹 접속자 IP 주소 확인하기 웹 서버 로그 확인 : /etc/httpd/logs/access_log-[날짜] 파일에서 웹 서버에 접속한 로그 확인 5

traceroute를 이용한 IP 주소 추적 traceroute는 패킷이 목적지까지 도달하는 동안 거치는 라우터의 IP 즉, 공격 대상의 IP가 어느 회사에 포함되고 어떤 ISP 업체을 지나는지 확인 가능한 툴 traceroute는 UDP와 ICMP, IP의 TTL 값 이용 a.a.a.a에서 b.b.b.b까지 traceroute했을 시 동작 순서(그림 5-14) ➊ traceroute 툴이 TTL 값을 1로 설정하고 33435번 포트로 UDP 패킷을 한 번에 세 개 씩 보낸다. ➋ 첫 번째 라우터는 1로 설정된 UDP 패킷의 TTL 값을 0으로 줄이고, 출발지 주소로 ICMP Time Exceeded 메시지(Type 11)를 보낸다. ➌ a.a.a.a에서는 패킷을 통해 첫 번째 라우터까지의 시간을 알아낼 수 있다. ➍ 두 번째 라우터까지는 UDP 패킷의 TTL 값을 다시 2로 설정하여 보내면, 두 번째 라우 터도 첫 번째 라우터와 같은 과정을 거친다. ➎ 앞의 과정을 반복해 목적지 시스템에 도달하면 출발지에 ICMP Port Unreachable(Type 3) 패킷이 돌아오고 모든 과정이 끝난다.

traceroute를 이용한 IP 주소 추적     

실습 5-4 traceroute를 이용해 라우팅 경로 확인하기 패킷 내용 확인 : tracert 명령 실행 tracert 168.126.63.1 traceroute를 수행하는 데 사용하는 다른 툴로 Sam Spade가 있음. Sam Spade는 포트 스캔을 제외한 여러 가지 스캔을 빠른 시간 안에 효과적으로 할 수 있음 • 인터넷이 연결된 클라이언트 시스템(윈도우 XP) • 필요 프로그램 : traceroute 실습환경 1