Whois 와 DNS 조사

정보를 수집할 수 있는 방법

whois사용, dns서버사용하는 방법 배울 것 입니다.

 

 

whois서버란?

 

도메인과 관련된 기관, 사람, 주소, 언제생성, 위치까지 알 수 있습니다.

 

 

whois 서버 목록

whois서버라는게 곳곳에 존재하고 정보를 얻을 수 있습니다.

전체 세계 도메인 정보를 제공해주는 whois.internic.net이라는 곳이 있습니다.

 

아시아에 포함되어있는 whois정보를 검색할 수 있습니다.

 

실습 3-1

아시아에 있기 때문에 아시아에 whois서버에 가봅시다.

 

검색하는 내용자체를 선택할 수 있습니다.

 

POC - 연락처를 기본으로 검색

 

NETwork

 

ASN - 라우팅때 배운 것입니다.

네트워크가 라우팅하기 커서 ASN로 자체 구역을 나눠서 그 안에서 라우팅, ASN간에 라우팅 ,ECP로 나뉩니다.

 

Organization - 조직이름으로도 할 수 있습니다.

 

customer - 고객 이름으로도 할 수 있습니다.

 

delegation - 대리자 이름으로도 할 수 있습니다.

 

 

검색해보면

많은 도메인 이름이 나옵니다.

그중에 하나를 클릭해 보면 

whois에서 알 수 있는 정보를 찾아 볼 수 있습니다.

 

google이라는 도메인이 어디에 위치해 잇는지 알 수 있습니다.

언제 등록되고 언제 업데이트 되었는지 알 수 있습니다.

 

어디서 부터 어디까지 주소를 사용하는지 주소의 범위를 알 수 있습니다.

 

poc로 john이름을 검색할 수 있습니다.

john이라는 도메인이 많습니다.

 

 

한국의 whois

학교 서버를 도메인을 검색해서 알 수 있습니다.

 

ip로 검색해보기

알고싶은 ip를 알고 싶다면

nslookup 주소이름 

쓰면 연결된 도메인 서버가 응답해서 ip를 알려줄것 입니다.

 

학교 주소는 한국교육전산망 협의에 의해 할당되었습니다.

국립대기 때문에 한국교육전산망에서 주소를 할당받았습니다.

 

 

 

Hosts 파일이란?

host들의 내용을 저장하는 파일입니다.

 

예전부터 존재하던 파일입니다.

 

host파일은 각자가 임의로 정한 별명을 사용합니다.

dns처럼 ip와 도메인이름에서 각자 시스템에서 하는것과 같습니다.

 

dns는 많은 ip를 가질 수 없기 때문에 대표적으로 많이 사용하는 dns관련된 도메인이름을 관리하는 것 입니다.

 

호스트를 메모장으로 열어보면 

#은 어떻게 사용하는지, 이 파일이 뭔지 알려줍니다.

 

ip를 적고 매핑 내용을 적어놨습니다.

 

필요한 경우 ip와 도메인네임을 매핑해서 쓰면 내 시스템에서 이름을 가지고 접속 할 수 있습니다.

dns에 먼저 묻지 않고 host파일부터 찾아서 ip를 가져옵니다.

 

내가 많이 쓰는 시스템의 ip를 알아다가 host파일에 쓰면 dns요청 안하더라도 떠 빨리 서버에 접속할 수 있습니다.

이름이 길면 짧게 줄여서 요청할 수 있습니다.

 

해당 사이트가 서버를 다른 기계에 이관하면서 ip가 바뀔 수가 있습니다.

그럼 또 파일을 수정해야 합니다.

 

 

ip를 적고 띄고 도메인 이름을 적습니다.

 

host 파일을 먼저 살펴보고 DNS서버를 찾아봅니다.

 

dns서버가 작동하지 않으면 웹 서버가 안되는 것 처럼 볼 수 있습니다.

ip를 알아야 ip패킷에 목적지 주소를 채워서 보낼 수 있습니다.(이 때 dns가 사용됩니다.)

하지만 목적지 주소를 모르니 ip 패킷을 못만듭니다.

 

별도의 네트워크로 구성해서 그 안에 있는 서버를 어떤 이름으로 지정하고 임의로 사용할 때 별도의 DNS 서버처럼 사용할 수 있습니다.

 

여러대의 서버가 같은 일을 하도록 클러스터링 되있을 경우 특정 서버에 접속하고자 할 때도 해당 서버에 접속할 수 있습니다.

 

 

실습 3-2 

도메인을 등록하기 위해 ip를 알아야 합니다.

ip를 알아야 host파일을 작성할 수 있겠죠?

 

ping이라는 것은

ICMP이 요청을 보내고 응답을 받을 때 ip의 헤더에 붙힙니다. ip헤더의 목적지 주소를 알기 위해서 ping을 씁니다.

ping을 해서 도메인 네임을 적으면 ip를 알아옵니다.

 

whois에서 nslookup을 통해 알아올 수 있습니다.

 

host파일에 추가할 수 있습니다.

 

도메인 네임을 여러개 적어도 됩니다.

도메인 네임을 사용하면 해당 ip가 검색이되서 해당 서버로 접속하게 됩니다.

 

그러고 나서 ping hanbit을 사용해서 동일한 ip를 받을 수 있습니다.

host파일을 저장할 때 수정해서 저장하면 머신에서 안티바이러스 프로그램이 돌아갑니다.

공격이다 생각해서 알람을 줄 것입니다.

 

host파일은 굉장히 위험합니다.

공격자가 수정해서 가짜서버 (은행 도메인네임)로 접속하게 할 수 있습니다.

 

ip를 치면 name이 나오는지 확인도 해봐야 합니다.

 

다른 도메인도 등록해봅시다

잘못된 주소를 host파일에 저장하면 

당연히 ip패킷을 목적지 200.200.200.200으로 만들기 때문에 없는 서버로 요청하는 꼴입니다.