네트워크용어및기초증거수집방법
Download
Report
Transcript 네트워크용어및기초증거수집방법
2012.6.5
(1) IP주소 - Internet Protocal Address
TCP/IP 프로토콜을 사용하여 통신을 할 때, 송신자와 수신자를 구별하기 위한 고
유의 주소를 말한다.
컴퓨터 네트워크에서 IP(Internet Protocol) 주소는 전 세계 컴퓨터에 부여된 고유의
식별 주소다.
기본적으로 네트워크(인터넷 등)에 연결된 모든 컴퓨터(또는 네트워크 기기)는 중
복되지 않는 IP 주소를 가지고 있어야 한다.
IP 주소는 컴퓨터끼리 서로 통신하기 위한 '전화번호'라 생각하면 이해가 쉽다.
IP 주소는 각 나라의 공인기관에서 할당/관리하는데, 우리나라의 경우 한국인터
넷진흥원(www.krnic.or.kr)이 담당하고 있다.
① IP 주소의 기본 골격
2012년 6월 현재 인터넷에 연결된 컴퓨터에 할당된 IP 주소는 거의 대부분 IPv4(IP version4)
형태다.
(모바일 및 무선의 경우 IPv4의 고갈로 일부 IPv6(IP version6)을 사용하고 있다.)
IPv4 체계의 IP 주소로는 0.0.0.0부터 255.255.255.255까지 2의 32제곱, 약 42억
개의 주소를 사용할 수 있다.
IPv4의 IP개수 = 232개 = 42억 9496만 7296개
IPv6의 IP개수 = 2128개 = 340간 2823구 6692양 0938자 4634해 6337경 4607조 4317억 6821
만 1456개
②사용 범위에 따른 구분
공인 IP 주소
단어 그대로, 공인기관에서 인증한 공개형(public) IP 주소다. 인터넷 유무선 공유기를 사용
하지 않는 한 컴퓨터 등에서 사용하는 대부분의 IP 주소는 공인 IP 주소다.
우편물로 치면 우체국에서 배달하는 실제 주소인 셈이다.
사설 IP 주소
공인 IP 주소가 공개형이라면 사설(private) IP 주소는 폐쇄형이다.
공인되지 않은 IP 주소라는 의미 때문이다.
사설 IP 주소는 외부에 공개되지 않아 외부에서 검색, 접근이 불가능하다.
사설 IP 주소는 주소 대역이 3개로 고정되어 있다.
(192.168.xxx.xxx와 172.10.xxx.xxx, 10.xxx.xxx.xxx )
③ 할당 방식에 따른 구분
고정 IP 주소
공인 IP 주소든 사설 IP 주소든 컴퓨터 등에 IP 주소를 설정하려면, 누군가(주로 서버 시스
템)가 IP 주소를 컴퓨터에 배급, 할당해 줘야 한다.
고정 IP 주소는 사용자가 직접 IP 주소를 입력해 주소를 설정하는 방식을 말한다.
③ 할당 방식에 따른 구분
유동 IP 주소
IP 주소를 할당하는 특정 서버
가 보내 주는 정보 그대로 컴
퓨터에 자동 설정되는 방식이
다.
‘DHCP(Dynamic Host
Configuration Protocol)' 서
비스를 통해 컴퓨터가 부팅하
면 DHCP 서버에 IP 주소 할
당을 요청하고, 이를 수신한
DHCP 서버가 해당 컴퓨터에
IP 주소 등의 네트워크 정보를
전달하면, 컴퓨터에서는 이를
자동으로 등록, 설정하게 된다.
④ IP 주소 확인 방법
자신의 컴퓨터에 설치된 운영체계가 MS 윈도우 XP, 비스타, 7이라면, '시작' - '실
행' - 'cmd' 입력하고 엔터를 치면 '명령 프롬프트' 창이 나타난다.
'ipconfig /all' 명령을 실행하면 현재 IP 주소 등을 비롯한 각종 네트워크 정보를
확인할 수 있다.
(2) MAC Address(하드웨어 주소)
랜카드의 ‘주민등록번호’ – MAC 주소
상의 모든 랜카드에는 고유의 식별 코드가 들어 있는데, 이를 MAC 주소
(MAC-Media Access Control Address)라 한다.
사람으로 치면 주민등록번호에 해당되는 MAC 주소 때문에 네트워크를
통해 데이터가 출발지에서 목적지까지 정확하게 도착할 수 있다.
① MAC 주소의 구조
MAC 주소는 두 자리의 영문자+숫자가 여섯 쌍으로 이뤄진다.
‘E0-68-92-65-BC-61’과 같은 식(12자, 총 48비트)이다. 이 중 왼쪽에서 3쌍,
즉 ‘E0-68-92’는 랜카드(정확히는 랜 칩셋 제조사를 의미하는 고유 코드다.
랜 칩셋의 주요 제조사로는 인텔(intel), 리얼텍(Realtek) 등이 있다. 한편 오른쪽에
서 3쌍, 즉 ’65-BC-61’은 해당 랜카드의 고유 번호가 된다.
랜카드의 MAC 주소는 MS 윈도우 운영체계의 명령 프롬프트에서 ‘ipconfig /all’
명령을 수행하여 확인할 수 있다.
② 기본적인 랜카드 설정 및 점검법
PC에 설치된 랜카드에 문제가 발생하면 PC 부팅 및 기본 사용에는 지장이 없으나
인터넷 접속은 불가능해 진다.
이런 경우 인터넷 상태의 문제인지 PC의 랜카드 또는 랜케이블과의 연결 문제인
지를 우선 파악하는 것이 중요하다.
랜카드의 연결 상태(Link) LED가 점등되어 있는지 확인한다. 꺼져 있다면 랜케이
블을 뽑았다 끼워 점등 상태를 다시 확인한다.
점등되지 않는다면 랜케이블의 단선 또는 인터넷 서비스 제공사 측의 이상으로 판
단할 수 있다.
‘ping localhost’ 또는 ‘ping 127.0.0.1’라 입력하여, 정상적인 ping 응답 결과가
나타나는지 확인한다. 정상이라면 적어도 랜카드 설정 및 구성(드라이버 설치 상
태 등)에는 문제가 없는 것으로 판단할 수 있다.
(3) 도메인 네임
도메인 네임(Domain Name)은 사용자의 입장에서 쉽게 이용할 수 있도
록, 숫자로 표현된 인터넷 주소 대신에 문자열(알파벳, 숫자, -)로 나열된
주소를 말한다.
도메인이름은 계층적 구조로 구성되는데, 최상위 계층(제일 우측)에 따라 .com, .net, .org
와 같은 '일반최상위도메인'과 .kr, .jp같은 '국가최상위도메인'으로 나뉜다.
일반 최상위 도메인 중 edu, gov, mil은 미국내에 있는 기관만이 등록하여 사용
가능하며, int는 유엔 등 국제기구가 등록하여 사용한다.
한국의 경우 "kr",일본은 "jp"가 최상위도메인이다.
국가 도메인은 국가명을 표시하는 kr(한국), jp(일본) 등의 1단계와 기관의 성격을 분류한
co(기업 기관) ac(교육기관) go(정부기관) or(비영리기관과 단체) ne(네트워크) pe(개인)등
의 2단계, 상호명과 상표명 등을 영문약자로 자유롭게 표현한 3단계로 구분된다.
① 도메인 네임 확인 방법
nslookup은 도메인 이름과 IP 주소를 확인하는 기능을 가진 네트워크 관리 툴 중
에 하나이다.
(1) 활성 데이터 수집
휘발성 정보는 시스템에서도 쉽게 사라지는 경우가 많기 때문에 확인한
증거는 바로바로 화면캡쳐 등을 통해 남겨야 한다.
증거의 신빙성을 높이기 위해 증거 수집 과정을 카메라로 녹화하기도 한
다.
① 현재 해커의 세션 확인
현재 해커의 세션이 시스템에 남아있는 지를 확인한다. 윈도우에서
NetBios로 현재 세션이 형성되어 있는 사용자를 확인하는 명령은 net
session이다.
다음 화면에서는 IP가 192.168.0.146인 시스템에서 관리자 계정 권한으
로 현재 시스템에 세션을 형성하고 있음을 확인할 수 있다.
② PSLOGGEDON 툴 살펴보기
현재 로그인되어 있는 세션을 알아보는 다른 툴로는 psloggedon이 있다.
이 툴은 현재 로컬로 로그인되어 있는 계정에 대한 정보도 함께 보여준다.
관리자가 원격에 있으며, 로컬로 로그인한 사용자에 대한 정보가 피룡할
때 유용하다.
③ 시스템에 남겨진 캐시 정보 확인
nbtstat -c 명령으로는 시스템의 캐시에 남겨진 정보를 볼 수 있다. 즉,
최근에 로컬 시스템에서 원격시스템에 접속한 기록을 볼 수 있다.
공격자가 자신의 시스템을 징검다리 삼아 공격했을 때에 이에 대한 정보
를 추적할 수 있다.
이 정보는 시스템을 재부팅해도 일정기간동안 사라지지 않는다.
④ 원격접속서비스 사용자 확인
터미널 서비스 관리자에서는 윈도우의 터미널 서비스를 통해 현재 시스
템에 접속한 사용자를 다음과 같이 확인할 수 있다.
⑤ 명령어 실행 결과 확인
doskey /history 명령을 이용해 명령창에서 마지막으로 내린 명령을 살펴
볼 수 있다.
하지만 같은 계정을 이용해 로그인해도 현재 실행 중인 명령창에 대해서
만 동작하기 때문에 그다지 강력한 기능은 아니다.
⑥ 응용프로그램 네트워크 실행 내역 확인
윈도우 시스템의 경우 작업관리자에서 실행되는 응용프로그램 중에 네트
워크를 사용하는 프로그램을 찾기 어렵다.
특히, 좀비PC나 백도어 프로그램의 경우 현재 동작중인 어떤 프로세스가
트래픽을 유발하지는 찾아야 한다.
이런경우 사용하는 프로그램으로 tcpview가 있다.
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx에서
다운받을 수 있다.
MS사에서 제공하는 프로세스 추적기로 의심이 되는 프로세스를 클릭해
서 설치된 경로와 종료 등을 할 수 있다.
(2) 네트워크 데이터 분석
인터넷 IP주소, 도메인 네임, MacAddress 주소등으로 해당 시스템을 찾
는 방법을 알아본다.
① 네트워크 상태 알아보기
Ping이라는 명령어를 통해서 상대 IP주소의 접속상태를 간단하게 알 수 있다.
그러나 Win-XP SP3 이후부터는 자체 방화벽이 켜져있는 경우 Ping 에
대한 응답을 의도적으로 회피 할 수 있어 신뢰성은 떨어진다.
야후코리아 도메인으로 ping 패킷을 보내 확인한 것이다.
일반적인 옵션을 사용하지 않을 경우 4번의 응답 후 작업을 종료한다.
ping 명령어를 통해서 야후코리아 도메인의 IP주소를 확인 할 수 있다.
② 네트워크 경로 확인하기
tracert 명령어를 통해서 특정 IP주소까지의 경로를 파악할 수 있다.
네트워크에서 경로를 파악하는 것은 IP주소의 위치 및 해당 네트워크의
구성 환경 등을 추적할 수 있어 증거수집에 있어서 많이 사용한다.
③ 국내 도메인 네임 및 IP주소의 정보 분석
도메인 네임의 소유 및 운영 정보와 IP주소의 지리적 위치 등을 검색하는
홈페이지가 있다.
국내의 경우 whois.nic.or.kr 을 통하여 국내에서 허가한 도메인 네임 정
보와 국내에 배정된 IP주소의 상세 정보를 확인할 수 있다.
④ 해외 및 숨겨진 도메인 네임 정보 검색
앞서 설명한 whois.nic.or.kr이 경우 국내 허가한 정보만 검색이 가능하다.
인터넷을 통해 해외 접속자 추적 및 정보확인의 경우
www.domaintools.com 을 많이 사용한다.
⑤ MAC주소를 통한 시스템 찾기
로컬네트워크에 해당하는 방법으로 대학교나 대형 네트워크의 경우 MAC
주소를 알고 있지만, 장비를 찾을 수 없는 경우가 있다.
이런 경우 해당 시스템의 제조사와 기타 하드웨어 정보를 검색할 경우 사
용하는 방법으로 standards.ieee.org/develop/regauth/oui/oui.txt
에 가면 현재하는 지구상의 모든 시스템 제조사의 MAC 주소를 찾을 수
있다.
⑥ 패킷캡쳐하기
시스템에서 네트워크 트래픽을 바로 수집할 필요가 있다. 이런 경우 패킷
캡쳐 프로그램을 사용하여 트래픽 데이터를 원시데이터로 수집한다.
윈도우용 패킷캡쳐프로그래으로 wireshark 프로그램
(www.wireshark.org)을 많이 사용한다.
wireshark 프로그램은 GPL2라이센스를 따르는 오픈라이센스 프로그램으
로 누구나 자유롭게 사용 할 수 있다.
강의 자료 및 참고자료
http://blog.naver.com/hanulhope
http://www.ine.co.kr