패킷 분석을 하다보면, IP 에 대해서 추적을 해 볼 필요가 있다. 그럼 보통 하는 작업이, WHOIS 를 통해
해당 IP 에 대해 기본정보를 알아본다. WHOIS 를 통해 이 IP 블럭이 누구의 소유인지 알 수 있고,
어느 국가에 할당된 것인지 알 수 있으므로 대략적으로 추정이 가능해 진다.
WHOIS 외에 해당 IP 의 연관관계를 추적하여 볼 수 있는 것을 소개해 보고자 한다.
http://www.robtex.com/ip/ 에 가서 IP 를 입력해 보면
- DNS 기반으로 연결된 곳
- 그래프로 비주얼 하게 연결관계 표시
- 후이즈(whois) 정보
등을 보여준다. (정확히 말하면 Reverse DNS 정보를 기준으로 찾아본다)
아래 예는, packetinside.com 의 IP 주소인데, 또 다른 관련한 도메인 주소들이 나온다.
즉, 텍스트큐브에서 운영중인 곳이다. 211.245.16.0/20 블럭은 AS9318 로 라우팅이
흘러가는데, 하나로 텔레콤이 소유중인 블럭이다. 추정해 보면 텍스크큐브에서 운영하는
장비들이 놓여있는 곳은 ? ^.^
IP 의 후이즈 정보 뿐만 아니라, DNS 와 연관된 추가 정보까지 보여주니
분석시에는 더욱 유용하다. 이렇게 IP 주소 하나만으로도 얻을 수 있는 정보는 많다.
나오는 정보에 따라 그 관계를 계속 찾고 찾아 들어가면 여러분이 찾고자 하는 정보를 얻을 수 있을지 모른다.
분석의 작업은 때로는 끝이없는 미로를 찾아들어가는 것과도 같다 :-)
아래의 이미지는 그래프 탭을 선택하여 본 화면으로 비주얼 하게 좀더 쉽게 볼 수 있도록 만들어 준다.
댓글 없음:
댓글 쓰기