IP 주소 추적하기

흔히 중고거래 사기꾼들에게 '내가 너 IP 주소 추적해서 찾아낼거야' 라고 하는 경우가 많다. 근데 실제 추적이 되는지, 경찰에 의뢰를 해야 사이버수사대 사람들이 추적해 주는지, 항상 의문이 있다. 

그렇다면 과연 IP 추적은 가능한가? 그렇다! 

1. 메일을 이용하여 IP 주소 추적하기

메일은 형식이 MIME (Multipurpose Internet Mail Executions)이다.

메일은 제목, 보낸 사람, 본문, 시각, 첨부 파일 등으로 구성된 것 처럼 보이지만

보낸 사람의 IP 주소를 추적할 수 있는 근거가 포함되어 있다.

[메일의 구조]

Date : 보낸 날짜와 시간

From : 발신인

Date : 송신 일시

To : 주 수신인

CC(Carbon Copy) : 부 수신인

BCC(Blind Carbon Copy) : 주, 부 수신인에게 알리지 않은 수신인

received by : 경유한 시스템 이름과 IP 주소

* 포털의 메일 서버 IP주소는 mslookup을 통해 쉽게 확인할 수 있어서 이미 공개된 것이나 마찬가지

-> 같은 메일 아이디로 위장한 메일을 보내는 공격자의 ip 추적에 유용함! 

2. P2P 서비스를 이용한 IP 주소 추적

P2P의 스비스 특성 때문에 IP 정보가 노출된다. 하지만 서버를 통해 텍스트 교환이 이루어졌을 경우에는 예외이다.

파일을 전송하는 경우에는, 패킷을 분석하여 상대방의 IP를 쉽게 확인할 수 있다. 자신의 IP주소 역시 노출될 수 있다.

3. 웹 게시판을 이용한 IP 주소 추적

로그 파일 분석, 서비스의 로그 분석으로 IP를 확인할 수 있다. 

4. traceroute를 이용한 IP 주소 추적

tracecroute : 패킷이 목적지까지 도달하는 동안 거치는 라우터의 IP를 확인할 수 있는 툴

traceroute의 동작 순서 : (a.a.a.a)에서 b.b.b.b.까지 traceroute가정) 

1. traceroute 툴이 TTL 값을 1로 설정하고 33435번 포트로 UDP 패킷을 세 개씩 보냄

2. 첫 번째 라우터는 1로 설정된 UDP 패킷의 TTL 값을 0으로 줄이고, 출발지 주소로 ICMP Time Exceeded 메시지를 보냄

3. a.a.a.a에서는 패킷을 통해 첫 번째 라우터까지의 시간을 알아낼 수 있음

4. 두 번째 라우터까지는 UDP 패킷의 TTL 값을 다시 2로 설정하여 보내면, 두 번째 라우터도 첫 번째 라우터와 같은 과정을 거침

5. 앞의 과정을 반복해 목적지 시스템에 도달하면 출발지에 ICMP Port Unreachale 패킷이 돌아오고 모든 과정이 끝남

traceroute는 상대방의 IP 주소를 알고 있는 상태에서 상대방에게 인터넷 서비스를 제공하고 있는 회사를 알아내는데 사용할 수 있다. 이를 통해 상대방이 특정 네트워크에 속해 있다면 해당 네트워크에 침투하여 다른 시스템을 통해 침투하는 것이 직접 침투하는 것보다 훨씬 쉽다.

*역추적 주의!!

* traceroute 명령으로 경로를 알아볼 때 값이 항상 일치하지 않는 이유?

--> 역추적 당할 위험이 있기 때문에 실행할 때 마다 경로를 다르게 함!