정보수집. Whois서버와 DNS서버로 조사하기

 

Whois서버와 DNS서버로 조사하기

✔ Whois서버가 무엇인지 알고 사용하기

✔ DNS서버의 구조와 동작원리 이해

✔ DNS서버의 취약점 이해 및 이를 이용해 정보 획득

 

Whois서버

           - 도메인 확인, 도메인과 관련된 사람 및 인터넷 자원을 찾아 보기 위한 프로토콜

 

Whois서버로 얻을 수 있는 정보

             - 도메인 등록 및 관련 기관 정보

             - 도메인 이름과 관련된 인터넷 자원 정보

             - 목표 사이트의 네트워크 주소와 IP주소

             - 등록자, 관리자, 기술 관리자의 이름, 연락처, 이메일 계정

             - 레코드의 생성 시기와 갱신 시기

             - 주 DNS서버와 보조 DNS서버

             - IP주소의 할당지역 위치

 

Host파일

# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # #      102.54.94.97     rhino.acme.com          # source server #       38.25.63.10     x.acme.com              # x client host   # localhost name resolution is handled within DNS itself. #           127.0.0.1       localhost #           ::1             localhost   'ip주소 도메인명 [별칭]'으로 등록이 가능하다.

 

※ip주소와 도메인명을 다르게 입력해두면 해당 사이트에 들어가지 못하거나, 가짜 사이트로 접속하게 된다. (피싱)

 

 

 

호스트 파일의 구조

IP주소	도메인 이름 또는 임의의 명칭

  

             - 보통 호스트 파일을 비어있음

             - 특정 서버에 접속하고자 할 때 유용

 

218.38.58.195      hanbit.cp.kr          hanbit

을 등록시 cmd에서 ping명령어로 도메인명을 전부 입력하지 않고 ‘ping 별칭’으로 도 가능하다.

 

             ※ 잘못된 주소를 등록하여 사이트 접속 차단하기

                           200.200.200.200    www.hanbit.co.kr

                           위와 같이 host에 등록 후 접속 시도 시 사이트에 연결할 수 없다는 화면이 뜬다.

 

 

 

DNS : 숫자로 구성된 IP주소를 사람이 이해하기 쉬운 명칭인 도메인 이름으로 상호 매칭 시켜주는 것

                

DNS의 계층구조

                 - 가장 상위 개체 ‘.’(root)

                 - 두번째 개체는 국가와 조직체의 특성

                 - 보통 맨 앞은 서버의 특징 같은 www, ftp등 서버의 이름이 옴

항목	내용	항목	내용
com	영리 기관	mil	군사 기관
net	네트워크 기관	edu	교육 기관
org	비영리 기관	int	국제 기관
gov	정부 기관	kr, jp, nz 등등	국가 이름

 

운영체제별 DNS서버 등록

                 168.126.63.1~2 : KT,      8.8.8.8 : Google

                 - 리눅스 : /etc/resolv.conf 파일에 DNS서버 입력

                 - 윈도우 : 인터넷 프로토콜 등록 정보에서 DNS서버 두개까지 입력 가능

                                        <고급> 버튼 클릭시 세부설정도 가능

 

현재 운영 중인 DNS서버 확인 : cmd에서 ipconfig /all입력

 

시스템에 캐시된 DNS정보 확인 / 삭제

             - 정보 확인 : ipconfig /displaydns

             - 정보 삭제 : ipconfig /flushdns

 

DNS 서버의 구분

             - 주 DNS서버 : 도메인의 중심 DNS서버

             - 부 DNS서버 : 주 DNS서버의 백업 서버

             - 캐시 DNS서버 : 주서버와 부서버에 대한 접속이 불가능 할 때를 대비한 임시 DNS서버

 

DNS 레코드의 종류

종류	내용
A(Address)	호스트 이름 하나에 이름IP 주소가 여러 개 있을 수 있고, IP주소 하나에 호스트 이름이 여러 개 있을 수 있다. 이를 정의하는 레코드 유형이 A
PTR(Pointer)	A레코드와는 반대로 A레코드는 도메인에 IP를 부여하지만 PTR레코드는 IP주소에 도메인을 매핑함
NS(Name Server)	DNS서버, 각 도메인에 적어도 한 개 이상 있어야 함
MX(Mail Exchanger)	도메인 이름으로 보낸 메일을 받은 호스트
CNAME(canonical Name)	호스트의 별칭
SOA(Start Of Authority)	도메인에 대한 권한이 있는 서버
HINFO(Hardware Info)	해당 호스트의 하드웨어 사양 표시
ANY(ALL)	DNS레코드 모두 표시