Transcript 네트워크용어및기초증거수집방법

2012.6.5
(1) IP주소 - Internet Protocal Address
 TCP/IP 프로토콜을 사용하여 통신을 할 때, 송신자와 수신자를 구별하기 위한 고
유의 주소를 말한다.
 컴퓨터 네트워크에서 IP(Internet Protocol) 주소는 전 세계 컴퓨터에 부여된 고유의
식별 주소다.
 기본적으로 네트워크(인터넷 등)에 연결된 모든 컴퓨터(또는 네트워크 기기)는 중
복되지 않는 IP 주소를 가지고 있어야 한다.
 IP 주소는 컴퓨터끼리 서로 통신하기 위한 '전화번호'라 생각하면 이해가 쉽다.
 IP 주소는 각 나라의 공인기관에서 할당/관리하는데, 우리나라의 경우 한국인터
넷진흥원(www.krnic.or.kr)이 담당하고 있다.
① IP 주소의 기본 골격
 2012년 6월 현재 인터넷에 연결된 컴퓨터에 할당된 IP 주소는 거의 대부분 IPv4(IP version4)
형태다.
(모바일 및 무선의 경우 IPv4의 고갈로 일부 IPv6(IP version6)을 사용하고 있다.)
 IPv4 체계의 IP 주소로는 0.0.0.0부터 255.255.255.255까지 2의 32제곱, 약 42억
개의 주소를 사용할 수 있다.
IPv4의 IP개수 = 232개 = 42억 9496만 7296개
IPv6의 IP개수 = 2128개 = 340간 2823구 6692양 0938자 4634해 6337경 4607조 4317억 6821
만 1456개
②사용 범위에 따른 구분
 공인 IP 주소
 단어 그대로, 공인기관에서 인증한 공개형(public) IP 주소다. 인터넷 유무선 공유기를 사용
하지 않는 한 컴퓨터 등에서 사용하는 대부분의 IP 주소는 공인 IP 주소다.
 우편물로 치면 우체국에서 배달하는 실제 주소인 셈이다.
 사설 IP 주소
 공인 IP 주소가 공개형이라면 사설(private) IP 주소는 폐쇄형이다.
 공인되지 않은 IP 주소라는 의미 때문이다.
 사설 IP 주소는 외부에 공개되지 않아 외부에서 검색, 접근이 불가능하다.
 사설 IP 주소는 주소 대역이 3개로 고정되어 있다.
 (192.168.xxx.xxx와 172.10.xxx.xxx, 10.xxx.xxx.xxx )
③ 할당 방식에 따른 구분
 고정 IP 주소
 공인 IP 주소든 사설 IP 주소든 컴퓨터 등에 IP 주소를 설정하려면, 누군가(주로 서버 시스
템)가 IP 주소를 컴퓨터에 배급, 할당해 줘야 한다.
 고정 IP 주소는 사용자가 직접 IP 주소를 입력해 주소를 설정하는 방식을 말한다.
③ 할당 방식에 따른 구분
 유동 IP 주소
 IP 주소를 할당하는 특정 서버
가 보내 주는 정보 그대로 컴
퓨터에 자동 설정되는 방식이
다.
 ‘DHCP(Dynamic Host
Configuration Protocol)' 서
비스를 통해 컴퓨터가 부팅하
면 DHCP 서버에 IP 주소 할
당을 요청하고, 이를 수신한
DHCP 서버가 해당 컴퓨터에
IP 주소 등의 네트워크 정보를
전달하면, 컴퓨터에서는 이를
자동으로 등록, 설정하게 된다.
④ IP 주소 확인 방법
 자신의 컴퓨터에 설치된 운영체계가 MS 윈도우 XP, 비스타, 7이라면, '시작' - '실
행' - 'cmd' 입력하고 엔터를 치면 '명령 프롬프트' 창이 나타난다.
 'ipconfig /all' 명령을 실행하면 현재 IP 주소 등을 비롯한 각종 네트워크 정보를
확인할 수 있다.
(2) MAC Address(하드웨어 주소)
 랜카드의 ‘주민등록번호’ – MAC 주소
 상의 모든 랜카드에는 고유의 식별 코드가 들어 있는데, 이를 MAC 주소
(MAC-Media Access Control Address)라 한다.
 사람으로 치면 주민등록번호에 해당되는 MAC 주소 때문에 네트워크를
통해 데이터가 출발지에서 목적지까지 정확하게 도착할 수 있다.
① MAC 주소의 구조
 MAC 주소는 두 자리의 영문자+숫자가 여섯 쌍으로 이뤄진다.
 ‘E0-68-92-65-BC-61’과 같은 식(12자, 총 48비트)이다. 이 중 왼쪽에서 3쌍,
즉 ‘E0-68-92’는 랜카드(정확히는 랜 칩셋 제조사를 의미하는 고유 코드다.
 랜 칩셋의 주요 제조사로는 인텔(intel), 리얼텍(Realtek) 등이 있다. 한편 오른쪽에
서 3쌍, 즉 ’65-BC-61’은 해당 랜카드의 고유 번호가 된다.
 랜카드의 MAC 주소는 MS 윈도우 운영체계의 명령 프롬프트에서 ‘ipconfig /all’
명령을 수행하여 확인할 수 있다.
② 기본적인 랜카드 설정 및 점검법
 PC에 설치된 랜카드에 문제가 발생하면 PC 부팅 및 기본 사용에는 지장이 없으나
인터넷 접속은 불가능해 진다.
 이런 경우 인터넷 상태의 문제인지 PC의 랜카드 또는 랜케이블과의 연결 문제인
지를 우선 파악하는 것이 중요하다.
 랜카드의 연결 상태(Link) LED가 점등되어 있는지 확인한다. 꺼져 있다면 랜케이
블을 뽑았다 끼워 점등 상태를 다시 확인한다.
 점등되지 않는다면 랜케이블의 단선 또는 인터넷 서비스 제공사 측의 이상으로 판
단할 수 있다.
 ‘ping localhost’ 또는 ‘ping 127.0.0.1’라 입력하여, 정상적인 ping 응답 결과가
나타나는지 확인한다. 정상이라면 적어도 랜카드 설정 및 구성(드라이버 설치 상
태 등)에는 문제가 없는 것으로 판단할 수 있다.
(3) 도메인 네임
 도메인 네임(Domain Name)은 사용자의 입장에서 쉽게 이용할 수 있도
록, 숫자로 표현된 인터넷 주소 대신에 문자열(알파벳, 숫자, -)로 나열된
주소를 말한다.
 도메인이름은 계층적 구조로 구성되는데, 최상위 계층(제일 우측)에 따라 .com, .net, .org
와 같은 '일반최상위도메인'과 .kr, .jp같은 '국가최상위도메인'으로 나뉜다.
 일반 최상위 도메인 중 edu, gov, mil은 미국내에 있는 기관만이 등록하여 사용
가능하며, int는 유엔 등 국제기구가 등록하여 사용한다.
 한국의 경우 "kr",일본은 "jp"가 최상위도메인이다.
 국가 도메인은 국가명을 표시하는 kr(한국), jp(일본) 등의 1단계와 기관의 성격을 분류한
co(기업 기관) ac(교육기관) go(정부기관) or(비영리기관과 단체) ne(네트워크) pe(개인)등
의 2단계, 상호명과 상표명 등을 영문약자로 자유롭게 표현한 3단계로 구분된다.
① 도메인 네임 확인 방법
 nslookup은 도메인 이름과 IP 주소를 확인하는 기능을 가진 네트워크 관리 툴 중
에 하나이다.
(1) 활성 데이터 수집
 휘발성 정보는 시스템에서도 쉽게 사라지는 경우가 많기 때문에 확인한
증거는 바로바로 화면캡쳐 등을 통해 남겨야 한다.
 증거의 신빙성을 높이기 위해 증거 수집 과정을 카메라로 녹화하기도 한
다.
① 현재 해커의 세션 확인
 현재 해커의 세션이 시스템에 남아있는 지를 확인한다. 윈도우에서
NetBios로 현재 세션이 형성되어 있는 사용자를 확인하는 명령은 net
session이다.
 다음 화면에서는 IP가 192.168.0.146인 시스템에서 관리자 계정 권한으
로 현재 시스템에 세션을 형성하고 있음을 확인할 수 있다.
② PSLOGGEDON 툴 살펴보기
 현재 로그인되어 있는 세션을 알아보는 다른 툴로는 psloggedon이 있다.
이 툴은 현재 로컬로 로그인되어 있는 계정에 대한 정보도 함께 보여준다.
 관리자가 원격에 있으며, 로컬로 로그인한 사용자에 대한 정보가 피룡할
때 유용하다.
③ 시스템에 남겨진 캐시 정보 확인
 nbtstat -c 명령으로는 시스템의 캐시에 남겨진 정보를 볼 수 있다. 즉,
최근에 로컬 시스템에서 원격시스템에 접속한 기록을 볼 수 있다.
 공격자가 자신의 시스템을 징검다리 삼아 공격했을 때에 이에 대한 정보
를 추적할 수 있다.
 이 정보는 시스템을 재부팅해도 일정기간동안 사라지지 않는다.
④ 원격접속서비스 사용자 확인
 터미널 서비스 관리자에서는 윈도우의 터미널 서비스를 통해 현재 시스
템에 접속한 사용자를 다음과 같이 확인할 수 있다.
⑤ 명령어 실행 결과 확인
 doskey /history 명령을 이용해 명령창에서 마지막으로 내린 명령을 살펴
볼 수 있다.
 하지만 같은 계정을 이용해 로그인해도 현재 실행 중인 명령창에 대해서
만 동작하기 때문에 그다지 강력한 기능은 아니다.
⑥ 응용프로그램 네트워크 실행 내역 확인
 윈도우 시스템의 경우 작업관리자에서 실행되는 응용프로그램 중에 네트
워크를 사용하는 프로그램을 찾기 어렵다.
 특히, 좀비PC나 백도어 프로그램의 경우 현재 동작중인 어떤 프로세스가
트래픽을 유발하지는 찾아야 한다.
 이런경우 사용하는 프로그램으로 tcpview가 있다.
 http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx에서
다운받을 수 있다.
 MS사에서 제공하는 프로세스 추적기로 의심이 되는 프로세스를 클릭해
서 설치된 경로와 종료 등을 할 수 있다.
(2) 네트워크 데이터 분석
 인터넷 IP주소, 도메인 네임, MacAddress 주소등으로 해당 시스템을 찾
는 방법을 알아본다.
① 네트워크 상태 알아보기
 Ping이라는 명령어를 통해서 상대 IP주소의 접속상태를 간단하게 알 수 있다.
 그러나 Win-XP SP3 이후부터는 자체 방화벽이 켜져있는 경우 Ping 에
대한 응답을 의도적으로 회피 할 수 있어 신뢰성은 떨어진다.
 야후코리아 도메인으로 ping 패킷을 보내 확인한 것이다.
 일반적인 옵션을 사용하지 않을 경우 4번의 응답 후 작업을 종료한다.
 ping 명령어를 통해서 야후코리아 도메인의 IP주소를 확인 할 수 있다.
② 네트워크 경로 확인하기
 tracert 명령어를 통해서 특정 IP주소까지의 경로를 파악할 수 있다.
 네트워크에서 경로를 파악하는 것은 IP주소의 위치 및 해당 네트워크의
구성 환경 등을 추적할 수 있어 증거수집에 있어서 많이 사용한다.
③ 국내 도메인 네임 및 IP주소의 정보 분석
 도메인 네임의 소유 및 운영 정보와 IP주소의 지리적 위치 등을 검색하는
홈페이지가 있다.
 국내의 경우 whois.nic.or.kr 을 통하여 국내에서 허가한 도메인 네임 정
보와 국내에 배정된 IP주소의 상세 정보를 확인할 수 있다.
④ 해외 및 숨겨진 도메인 네임 정보 검색
 앞서 설명한 whois.nic.or.kr이 경우 국내 허가한 정보만 검색이 가능하다.
 인터넷을 통해 해외 접속자 추적 및 정보확인의 경우
www.domaintools.com 을 많이 사용한다.
⑤ MAC주소를 통한 시스템 찾기
 로컬네트워크에 해당하는 방법으로 대학교나 대형 네트워크의 경우 MAC
주소를 알고 있지만, 장비를 찾을 수 없는 경우가 있다.
 이런 경우 해당 시스템의 제조사와 기타 하드웨어 정보를 검색할 경우 사
용하는 방법으로 standards.ieee.org/develop/regauth/oui/oui.txt
에 가면 현재하는 지구상의 모든 시스템 제조사의 MAC 주소를 찾을 수
있다.
⑥ 패킷캡쳐하기
 시스템에서 네트워크 트래픽을 바로 수집할 필요가 있다. 이런 경우 패킷
캡쳐 프로그램을 사용하여 트래픽 데이터를 원시데이터로 수집한다.
 윈도우용 패킷캡쳐프로그래으로 wireshark 프로그램
(www.wireshark.org)을 많이 사용한다.
 wireshark 프로그램은 GPL2라이센스를 따르는 오픈라이센스 프로그램으
로 누구나 자유롭게 사용 할 수 있다.
강의 자료 및 참고자료
http://blog.naver.com/hanulhope
http://www.ine.co.kr