IP 주소 추적 (IP Address trace)

- TCP/IP 프로토콜에 따라 통신을 하기위해 IP 주소를 이용하는데 IP 주소는 출발지 주소와 목적지 주소를 패킷에 명시한다.

- IP 주소를 추적하기 위해서 패킷에 명시되어 있는 출발지 주소를 알아내야 한다.

IP 주소 추적의 한계

- 결론부터 말하자면, IP 주소 추적을 성공하여 출발지 IP주소를 알아내었다고 해도 그것이 실제 출발지 주소인지 확신할 수 없다.

- 해커가 자신을 은폐하고 다른 사람으로 변장하기 위해, 백도어(Backdoor)를 이용하거나 ISP 업체를 이용하는 경우 동적으로

   바뀌는 경우가 있다.

- 더불어, IP주소를 NAT(Network Address Translation)를 이용하여 사설 IP를 사용하는 경우에도 출발지 주소가 바뀌게 된다.

- 그럼에도 불구하고 최소한이라도 정보 수집을 하기위해 추적의 과정을 거쳐야 하므로 필요하다.

IP 주소 추적 - 메일 (Mail)

- 메일을 상대방과 주고 받을 경우 확장자가 .eml 형태이고 MIME(Multipurpose Internet Mail Extensions) 형식으로 주고 

  받는다.

- 내용중 "received by" 부분을 확인하여 출발지 IP 주소를 확인하도록 한다.

- 포털사이트의 메일을 사용하는 경우에는 발신자의 IP 주소가 아닌 포털사이트의 IP 주소가 명시된다

IP 주소 추적 - 파일전송 (P2P)

- 파일 전송의 경우, 빠른 전송을 위해 TCP가 아닌 UDP 프로토콜로 전송한다.

- netstat 명령어를 이용하면 TCP 정보는 확인할 수 있으나 UDP 관련 정보는 확인할 수 없다.

- WireShark 프로그램을 이용하면 UDP에 대한 패킷 정보를 볼수 있다.

IP 주소추적 - 웹사이트(Web site)

- 해커가 웹 해킹을 한 것을 추적하기 위하여 웹서버에 남게되는 로그(Log)파일을 분석하여 확인하도록 한다.

IP 주소 추적 - traceroute

- 패킷이 목적지까지 도달하는 동안 거치는 라우터의 IP를 확인하는 유틸리티이다.

- Windows 운영체제에서는 tracert 명령어를 이용하여 확인하도록 한다.(리눅스의 경우 traceroute)

- 라우터의 IP가 명시되지 않는 구간은 방화벽이나 라우터필터링에 의해 보여지지 않는것이다.

    (방화벽이 설치되있는것을 확인할수 있다.)

- VisualRoute (GUI 제품)

http://www.myiptest.com -> ip 주소 추적등 유용 사이트