본문 바로가기
인터넷보안

IP 추적

Knote-Code 2025. 4. 5. 18:27

▶ IP 주소 추적의 기본 

  • 모든 패킷에는 "출발지"와 "도착지"가 존재 Source / Destination
  • But, 출발지 IP 주소를 바꿔주는 시스템이 존재
    → 출발지는 확인이 어렵다.
  • NAT을 사용하면 출발지 IP 주소 확인 X
  • 인터넷 회사 서비스를 사용 시, 회사 위치로 Source 주소가 변경되기도 한다.

 

 

▶ 메일을 통한 IP 추적 

  • 메일 원본 보기 기능
    → 송신자, 수신자, 스팸 메일 체크 여부 등.. 다양한 정보 확인 가능
  • 수신된 메일의 구조는 다음과 같다.

  • 각 메일 서버 정보에서 [ 송신자, 수신자, 메일 서버 주소, 스팸 확인 여부 등 ] 확인 가능.
  • 해당 정보들을 토대로 → Whois 검색 (정보 수집)

1차 메일 서버 정보
2차 메일 서버 정보

  • E-mail은 여러 메일 서버를 거쳐 송신자 → 수신자로 전달되는 경우가 많다.
  • 위 사진은 메일 원본 보기를 통해 1, 2차 메일 서버의 정보를 가져온 것이다.
    • 송신자, 수신자, 사용된 메일 서버, 스팸 메일 여부 등의 다양한 정보를 확인할 수 있다.

 

 

SPF (Sender Policy Framework)

  • 스팸 메일, 사칭 등 차단을 위해 사용
  • Pass, Fail 을 통해 위, 변조 확인 / 외에도 다양한 헤더 값 존재
    • 위 2차 메일 정보의 Received-SPF : pass 부분이
      해당 메일은 스팸이 아니라는 표시

 

 

▶ P2P 서비스를 통한 IP 추적 

P2P 서비스?

  • 카카오톡, 스카이프, 네이트온 등 메신저 or 보이스톡과 같은
    개인 간 통신 서비스
  • 토렌트와 같은 파일 공유 프로그램 등..
  • 당사자 간의 통신 이라는 특성으로, 서비스 이용자의 IP 정보 노출 가능.
  • 텍스트를 교환하는 형태의 정보 교환에서는 사용자 IP 노출 X
    데이터 Size가 작은 통신으로 IP 노출X

 

  • 대용량 데이터 전송 시 / 인터넷 전화 서비스 사용 시
    사용자 간 직접 통신 : 상대방의 IP를 쉽게 확인 가능.
  • 서버에서 데이터를 일단 수신
    이후 수신자에게 전송하는 형태로 바뀌는 P2P 서비스가 많다.

 

 

▶ 웹 게시판 / tracerout를 통한 IP 추적 

※ 웹 해킹 공격

  • 공격자는 웹 사이트 구조를 파악, 공격하기 위해서
    → 웹 게시판 접근
  • 서비스 Log 분석을 통해 공격자의 IP를 확인 가능. (공격자가 게시판에 접속을 했기 때문)
    • But, 해당 IP가 변형이 없는 온전한 공격자의 IP인지 확인하기는 힘들다.

 

※ traceroute를 통한 IP 추적

- 라우팅 경로, 소요 시간을 확인하는 명령어

 

  1. TTL(Time-to-Live) 값을 1로 설정.
    33435번 Port로 UDP 패킷을 한 번에 3개 씩 전송
  2. 첫 라우터는 TTL값을 1→0 로 줄이고,
    출발지 주소로 ICMP Time Exceeded (Type11)를 보낸다.
  3. 첫 번째 라우터에서 돌아오는 패킷을 통해 첫 라우터까지의 소요 시간을 알 수 있다.
  4. UDP 패킷의 TTL=2로 설정.
    두 번째 라우터까지 패킷이 이동. 같은 방식으로 소요 시간을 알 수 있다.
  5. 1~4 과정을 반복
    최종 목적지에 도달하면 해당 목적지로부터
    ICMP Port Unreachable (Type 3) 패킷이 돌아온다.

 

 

▶ ICMP 프로토콜 

※ ICMP Echo Request / Reply 메세지

  • 송신 측의 전송 패킷이 목적지 노드 or 라우터에 도착했는지? 확인하는 것에 사용.

 

※ ICMP Destination Unreachable 메세지

  • 라우터가 특정 노드의 패킷을 목적지에 보내지 못할 경우 사용
  • 목적지에 도착하지 못한 이유에 대한 정보 포함.

 

※ ICMP Redirect 메세지

  • 라우터가 송신측 노드에 적합하지 않은 경로로 설정되어 있을 경우
    해당 노드에 대한 최적화된 경로를 다시 지정하는 메세지

 

※ ICMP Time Exceeded 메세지

  • 패킷이 네트워크 사이에서 무한히 돌아다니지 않도록
    패킷을 처리할 때 TTL을 1씩 감소시켜 값이 0이 되면 보내는 메세지.

 

 

 

 

'인터넷보안' 카테고리의 다른 글

SNMP  (0) 2025.04.08
OS / 방화벽 탐지  (0) 2025.04.08
스캔 (Scan)  (0) 2025.04.07
Whois & DNS  (0) 2025.04.03
정보보호기초  (0) 2025.04.02

'인터넷보안' Related Articles

티스토리툴바