whois.cymru.com 활용, IP 정보 조회하기

어떤 특정 IP 주소의 ASN 정보, 할당국가 정보, 할당단위 prefix 정보 등이 필요할 때가 있다.
특히 알 수 없는 IP 주소로부터 보안공격이 의심되는 접속이 들어오고 있는 것이 로그에서 발견될 때 이러한 정보가 필요하다.
인터넷에서 검색을 통해 이러한 정보를 파악하는 것은 귀찮고 시간이 많이 소요될 수 있다.
간편하게 전반적인 정보를 조회하는 방법은 없을까?

인터넷에 연결되어 있는 환경이라 가정하고, 원하는 IP주소의 관련정보를  쉽게  파악할 수 있는 방법을 정리해 본다.

• 필요한 유틸리티 : whois, netcat
  windows 환경인 경우, whois와 netcat 유틸리티를 구하는 방법은 아래 맽끝에 소개되어 있다.
  linux/unix 경우는 각 시스템에서 제공하는 패키지 설치 방법에 따라 설치한다.

 

whois.cymru.com -- "Team Cymru"의 'IP to ASN Mapping' whois 서비스  

Team Cymru라는 사이트에서 'IP to ASN Mapping' 서비스를 제공하고 있다.
whois를 사용하여 IP주소 --> (ASN 번호, 할당 Prefix, 할당국가, ASN 기관명 등)의 정보를  조회하는 것이 가능하다.

• Team Cymru, IP to ASN Mapping 서비스 소개 웹 페이지

Whois 서버 whois.cymru.com를 사용한 IP 주소정보 조회방법을 주로 사용용도를 중심으로 간략하게 정리한다.

다음은 whois.cymru.com 서버에 접속하여 사용할 수 있는 옵션/명령이다. (핵심사항만 정리, 세부 출력정보 제어사항은 웹 페이지 참조)

whois 유틸 사용 경우의 옵션	Netcat 사용 경우의 명령	동작
	begin	(netcat only) 배치조회 모드 시작
-v	verbose	모든 정보 출력 (ASN, prefix, 국가코드, 할당기관 등)
	end	(netcat only) 배치조회 모드 종료
-h	help	사용 도움말 출력

서버에 접속하는 수단에는 2가지가 있는데, 첫째는 whois 유틸리티를 사용하여 접속하는 방법, 두번째 netcat(nc) 유틸리티를 사용 접속하는 방법이 그것이다.


Whois 유틸을 사용한 IP주소 --> ASN 정보조회

사용 도움말 출력 :
→ 사용법 전반에 대한 도움말이 출력된다.

$ whois -h whois.cymru.com help

IP주소 --> 국가정보를 포함한 ASN 정보조회 :
→ 이 IP주소가 사용되고 있는 AS 정보, 할당단위 Prefix 정보, 국가정보, 대륙별 주소할당기관(RIR) 정보, 할당일자, AS 기관정보가 구분자로 구분 출력된다.

$ dig www.tistory.com +short

110.45.229.152

$ whois -h whois.cymru.com " -v 110.45.229.152"

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name

3786    | 110.45.229.152   | 110.45.128.0/17     | KR | apnic    | 2009-03-18 | LGDACOM LG DACOM Corporation

$ whois -h whois.cymru.com " -v `dig www.tistory.com +short`"

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name

3786    | 110.45.229.152   | 110.45.128.0/17     | KR | apnic    | 2009-03-18 | LGDACOM LG DACOM Corporation

whois 옵션 -h server_address : whois 서버 주소를 server_address에 지정한다. (IP주소 또는 도메인네임)

대상 whois 서버(whois.cymru.com)에 전달하는 문자열 포맷 : " -v ip_address"

• 전달하는 문자열은 ""을 사용하여 표기한다. (""을 사용하지 않는 경우, whois 유틸의 자체 옵션과 충돌하여 동작오류를 발생시킨다) 

• -v 옵션 : verbose 옵션으로, 최대한 모든 정보를 출력하도록 한다. (국가정보 포함) 

• ip_address : 조회대상 IP주소 (IPv4 주소 또는 IPv6 주소)

출력은 구분자 '|'로 구분되어 고정된 필드 길이를 사용하여 출력된다.
'-v' 옵션으로 출력되는 필드의 순서는 다음과 같다.

AS              : AS번호(ASN)
IP              : 조회대상 IP 주소
BGP Prefix      : 조회대상 IP 주소가 포함된 prefix (BGP 라우팅 prefix)
CC              : 국가코드(country code), 참조= 2자리 국가코드 리스트
Registry        : 대륙별 IP 주소할당 기관코드(북미대륙 ARIN, 아시아태평양 APNIC, 유럽 RIPE, 남미 LACNIC, 아프리카 AFRINIC)
Allocated       : 주소할당 일자
AS Name         : ASN 소유기관 이름 

IPv6 주소 --> AS 정보 출력 예시 

$ dig ipv6.google.com aaaa +short

ipv6.l.google.com.

2404:6800:8005::69

$ whois -h whois.cymru.com " -v 2404:6800:8005::69"

AS      | IP                                       | BGP Prefix          | CC | Registry | Allocated  | AS Name

15169   | 2404:6800:8005::69                       | 2404:6800::/32      | AU | apnic    | 2008-09-30 | GOOGLE - Google Inc.
$

AS번호 --> 정보출력 조회 문자열 포맷 :  " -v AS번호" 

예시: AS번호 15169

$ whois -h whois.cymru.com " -v AS15169"

AS      | CC | Registry | Allocated  | AS Name

15169   | US | arin     | 2000-03-30 | GOOGLE - Google Inc.

$

다수 IP주소/AS번호에 대한 배치 조회 작업

whois 프로토콜을 사용하는 whois 유틸로는 한번에 하나의 조회만이 가능하다.
이는 whois 프로토콜이 가지는 한계이다.

여러 개의 조회항목을 한꺼번에 조회처리하는 것이 필요한 경우에는 아래와 같이 nc 유틸을 사용하여 배치처리할 수 있다.

nc(netcat) 사용, 배치모드의 조회 예시:

아래와 같이 begin/end 사이에, verbose 옵션과 조회대상 IP 주소 및 AS번호 항목을 지정하여 텍스트 파일로 저장한다.

begin

verbose

110.45.229.152

74.125.71.105

8.8.8.8

2404:6800:8005::69
AS15169 

end

아래와 같이, 배치명령 내용을 whois.cymru.com 서버에 입력하여 조회결과를 얻는다.

$ cat batch.txt

begin

verbose

110.45.229.152

74.125.71.105

8.8.8.8

2404:6800:8005::69

AS15169

end

$ cat batch.txt | nc whois.cymru.com 43

Bulk mode; whois.cymru.com [2012-01-08 06:14:01 +0000]

3786    | 110.45.229.152   | 110.45.128.0/17     | KR | apnic    | 2009-03-18 | LGDACOM LG DACOM Corporation

15169   | 74.125.71.105    | 74.125.70.0/23      | US | arin     | 2007-03-13 | GOOGLE - Google Inc.

15169   | 8.8.8.8          | 8.8.8.0/24          | US | arin     | 1992-12-01 | GOOGLE - Google Inc.

15169   | 2404:6800:8005::69                       | 2404:6800::/32      | AU | apnic    | 2008-09-30 | GOOGLE - Google Inc.

15169   | US | arin     | 2000-03-30 | GOOGLE - Google Inc.

$

장/단점

장점으로는

• 구분자를 사용한 필드포맷의 출력을 얻을 수 있다. 문자열 파싱처리를 사용한 자동화 처리가 용이하다. 

• 별도의 데이터를 관리할 필요없이 인터넷 서비스를 이용하여 필요한 정보를 얻을 수 있다. (whois 유틸과 nc 유틸만 준비) 

단점/한계점으로는

• 인터넷 연결환경에서 국한하여 활용 가능한다.

• IP주소를 실제 사용하는 기관정보까지는 파악할 수 없다. ISP 정보, AS번호를 사용하는 기관정보까지만 파악 가능하다.
  (IP 주소를 할당받아 사용하는 현시점의 최종 사용자 정보를 정확하게 파악할 수 있는 보편적 방법은 현재로써는 없는 것으로 보인다.)

Windows용 whois 유틸 설치하기

windows에는 whois 유틸이 기본적으로 설치되어 있지 않다.
windows용 whois 유틸로는 GNU의 jwhois의 windows용 port 버전을 사용할 수 있다.

• GNU jwhois for Windows

위 사이트에서, 2개의 파일을 다운로드 받아 압축을 풀어 사용한다.

• Binaries Zip 파일 : 다운로드 하여 압축을 푼다. 

• Dependencies Zip 파일 : 위 Binaries Zip 파일을 풀어놓은 디렉토리의 bin 디렉토리에 이 압축파일에 포함된 DLL 파일들을 저장한다.

C:\Downloads\jwhois-3.2.3-bin\bin>jwhois -h whois.cymru.com " -v 110.45.229.152"

[Querying whois.cymru.com]

[whois.cymru.com]

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name

3786    | 110.45.229.152   | 110.45.128.0/17     | KR | apnic    | 2009-03-18 | LGDACOM LG DACOM Corporation

C:\Downloads\jwhois-3.2.3-bin\bin >

Windows용 Netcat 설치하기

Netcat의 Windows용 port 바이너리 파일은 아래 사이트에서 구할 수 있다.

• netcat (windows)

위 사이트에서 압축파일을 다운로드하여 압축풀기를 하여 설치할 수 있다.

C:\Downloads\nc111nt>nc whois.cymru.com 43

begin

Bulk mode; whois.cymru.com [2012-01-08 06:47:41 +0000]

verbose

110.45.229.152

3786    | 110.45.229.152   | 110.45.128.0/17     | KR | apnic    | 2009-03-18 | LGDACOM LG DACOM Corporation

end

^C

C:\Downloads\nc111nt>