인터넷 상에 있는 대다수의 도메인과 IP 주소는 Whois라는 정보를 가지고 있는데 Whois란 도메인 이름, IP 주소, 자율 시스템 등 인터넷 자원의 소유자와 범위 등의 정보를 의미한다. 만약 본인이 사이버 공격을 당했다면 Whois 정보를 가지고 어디에서 공격을 해왔는지 대략적으로 파악할 수 있으며, 실제로 국내외 디지털 포렌식에도 많이 사용되고 있다. Criminal IP는 Whois에 포함된 정보 중 하나인 AS 이름을 활용해 기업 IP 주소를 검색해볼 수 있는 “as_name” 필터를 제공하고 있다.

 

as_name 필터를 통한 기관/기업의 IP 주소 탐지 방법

Criminal IP Asset Search에서 as_name 필터를 사용하여 특정 기업이 소유하고 있는 IP 주소를 조회하기 위해선 정확한 소유자 명을 입력해야 한다. 예를 들어, 단순히 as_name: google 이라고 검색하면 Google Fiber와 같이 google이라는 이름이 포함된 자회사까지 검색이 되기 때문에 구글 본사에 대해서 만 알고 싶다면 as_name: google llc 라고 검색해야 한다. 아래는 as_name 필터를 사용하여 GOOGLE과 GOOGLE LLC를 검색한 결과이다.

as_name:google

Criminal IP Asset Search에서 as_name:google을 검색한 결과. 자회사인 Google Fiber Inc도 같이 나온다.

Criminal IP Asset Search에서 as_name:google을 검색한 결과. 자회사인 Google Fiber Inc도 같이 나온다.

as_name:google llc

Criminal IP Asset Search에서 as_name:google llc을 검색한 결과

Criminal IP Asset Search에서 as_name:google llc을 검색한 결과

해당 IP 주소의 상세 검색 페이지에 들어가면 Whois 정보 섹션에서도 as_name: 필터 검색이 가능하다.

Whois 정보 섹션에서의 as_name 필터 검색 기능

같은 방식으로, 학교의 IP주소 리스트를 얻고 싶으면 university 또는 school 키워드를 써볼 수 있다.

as_name:university

as_name:school

Criminal IP Asset Search에서 as_name:university를 검색한 결과

Criminal IP Asset Search에서 as_name:university를 검색한 결과

또한 클라우드 서버는 cloud 라는 문자열이 포함되어 있는 경우가 많다. 이 키워드로 검색해보면 전 세계의 다양한 클라우드 서버의 IP주소를 얻을 수 있다. 중국의 텐센트 클라우드, 그리고 오라클의 클라우드 등도 확인할 수 있다.

as_name:cloud

그 외에 OVH SAS 호스팅 회사의 IP주소를 얻거나, MOACK의 정보도 확인할 수 있다.

as_name:ovh

as_name:moack

추가로 다른 필터와도 중복 사용이 가능하다. 예를 들어서 특정 국가 또는 지역에 있는 회사의 IP 주소를 알아내고 싶다면, country 또는 city 필터를 추가하여 검색 범위를 좁힐 수 있다. 아래는 as_name: google llc city: seattle 필터를 사용한 검색 결과이다.

as_name: google llc city: seattle

Criminal IP Asset Search에서 as_name: google llc city: seattle를 검색한 결과

Criminal IP Asset Search에서 as_name: google llc city: seattle를 검색한 결과


데이터 출처 : Criminal IP