크롬브라우저로 SLR 클럽에 접속할때 주소창에 주소대신 view-source:http://www.slrclub.com/
처럼 입력하였다. 이렇게 하면 해당사이트의 웹페이지 소스가 뜨게된다.
그러자 정상적인 소스대신 아래와 같은 소스가 출력되었다.
ㄷㄷㄷ 뭐지? 이건...
참고로 일반적인 소스는 최소 몇페이지 이상 분량으로 꽤 많다.
아래 소스는 굉장히 적다. 저게 전부.
<meta http-equiv="refresh"content="2;url=http://www.slrclub.com/?"/>
<iframe id="f"frameborder="0"style="width:1;height:1"></iframe>
<script>document.getElementById("f").src="http://210.117.120.178:8080/tm/?a=CR&
b=WIN&c=5902103410582&d=32&e=2101&f=d3d3LnNscmNsdWIuY29t
&g=1525243466529&h="+Date.now()+"&y=0&z=0&x=1&w=2018-04-30
&in=2101_00012593&id=20180502"</script>
하나씩 분석해 보기로 하자. 소스는 보기편하게 줄바꿈 하였다.
<meta http-equiv="refresh"content="2;url=http://www.slrclub.com/?"/>
위 태그는 2초 후에 http://www.slrclub.com 로 이동하라는 코드이다.
왜 2초후에 이동하게 할까? 2초동안 무엇인가를 하기 위함이다.
내 소중한 2초를 빼앗아 가는것도 모자라 뭘 하고 있다.
그럼 다음 소스를 분석해 보자.
<iframe id="f"frameborder="0"style="width:1;height:1"></iframe>
아이프레임이 하나 설정되어있다. 아이프레임에는 다른 웹페이지를 호출할 수 있다.
만약 현재 보고있는 페이지에서 아이프레임안에 로그를 분석하는 사이트를 호출한다면
그게 작동한다. 즉 내가 방문하려는 페이지가 기록될 수 있다는것.
width:1;height:1 이 부분은 사이즈 설정이다. 가로 세로 높이를 1px로 해라 라는 의미.
1 이라는 수치로 작게 만들어서 안보이게 하려고 한것 같다.
그럼 다음 코드분석.
<script>document.getElementById("f").src="http://210.117.120.178:8080/tm/?a=CR&
b=WIN&c=5902103410582&d=32&e=2101&f=d3d3LnNscmNsdWIuY29t
&g=1525243466529&h="+Date.now()+"&y=0&z=0&x=1&w=2018-04-30
&in=2101_00012593&id=20180502"</script>
제일 복잡해 보이는 코드로 자바스크립트 이다. 하나씩 뜯어보자.
저 스크립트가 하는 역할은 위 아이프레임에 어떤 주소를 호출하도록 되어있다.
즉 아이프레임에 특정한 사이트가 뜨는것이다.
물론 보이지않고 2초정도면 안보게될 화면이라 인식하기는 어려울 것이다.
하지만 2초면 뭔가를 하기에 충분한 시간이다... ㄷㄷㄷ
우선 위 소스는 http://210.117.120.178:8080 이곳으로 뭔가를 보내고 있다.
IP는 아래 글에서 분석해 보기로 한다.
암호문 같지만 하나씩 보기로 하자. 추측 가능한 것만 보겠다.
아래 내용들은 자바스크립트와는 상관없는 도메인주소 관련이다. 파라미터라는 것이다. 값을 담아서 전송할 수 있다.
b=WIN b라는 키에 WIN 이라는 값 설정. 윈도우를 의미하는걸까? 현재 내컴은 윈도우.
c=5902103410582 c라는 키에 5902103410582 값 설정. 새로고침시 계속 변하며 시간 관련된 것을 의미하는것 같다.
f=d3d3LnNscmNsdWIuY29t f라는 키에 d3d3LnNscmNsdWIuY29t 값 설정
뭔가를 암호화 한듯한 문자열이다. 과연 무엇일까. 그동안의 짬밥(?)으로 간단히 풀어보았다.
바로 BASE64 라는 방식이다. 특정 문자열을 인코딩 디코딩 할 수 있다. 암호화 복호화라고 보면 되지만.
목적이 암호화는 아니다. 그래서 인코딩 디코딩 이라고 한다. 누구나 풀수 있다면 암호화는 아니기 때문.
저걸 디코딩 하면 www.slrclub.com 이란 값이 나옴다. (소름)
h="+Date.now()+" 이건 자바스크립트와 약간 썪여있다. Date.now() 는 사용중인 PC의 현재 시각이 숫자 형태로 나온다.
즉 PC의 시각까지도 데이터로 넘기는것이다.
뭐 이정도만 분석해도 될 것 같다.
결론은 내가 접속하려는 사이트와 시각을 특정 웹페이지로 넘기고 있는것이다.
그리고 그 정보를 받아서 로그를 쌓으려고 하는듯하다.
안녕하세요. 검색하다 저와 같은 경우라서 댓글 달아 봅니다.
SK 브로드밴드에서 인터넷 회선에서 PC이용 댓수를 체크하기 위한 IP로 보입니다.
PC의 갯수가 많을 경우 정상 페이지가 아니라 가입유도 페이지로 리다이렉트 됩니다.
여기만 그런것은 아니었군요.
집에 PC는 1대이고 한달에 한번 켤까말까한 노트북 한대 있습니다.
그런데 그 체크 방법 자체가 불법적 요소가 있어 보인다는 생각이 듭니다.
사용자의 인터넷 데이터를 조작하기 때문이죠 ARP 스푸핑 처럼요.
글 감사드립니다 ^^*
좋은글 감사합니다.
서울공돌이 님 말씀이 맞다면 보통 공유기 장비단에서 PC 이용 댓수를 검사하는 방법을 쓰는 통신사가 많은걸로 아는데
SK 브로드 밴드는 나름 불법적인? 기술을 쓰네요..... 뭐 이것도 근데 통신사 약관 아주 자세히 읽어보면 써있는 내용이긴 할텐데 뭔가 찜찜하긴 하네요...
네 확실히 공유기에서 발생하는 문제가 아니었습니다.
요즘 트래픽은 와이파이로 연결된 모바일이 더 많이 발생시키고 있을텐데요.
엄한 PC만 하나만 걸려라 식으로 잡아내고 있다는 생각이 듭니다.
해당 방법이 악의적인 공격에도 사용되는 기법이므로 진짜 찜찜합니다..
한가지 알아낸 방법이 .. 요즘 핫한 ... goodbyedpi 를 켜니 이것도 우회가 되더군요 ...
네이버는 서버정보가 NWS로 뜨던데 이건 검색해보니 미국 기상청? 이라는것 같은데 뭘까요??
글쎄요 네이버 관련해서는 잘 모르겠습니다. ㅠㅠ..
답글 기능을 어떻게 사용하는지는 모르겠다만..
goodbyedpi 로 우회되는거 보면 어딘가 장비에서 SK 브로드 밴드 IP 대역대만 작동하도록 설정되어있나보네요
근데 실시간 이용 댓수 감시가 목적이라면 24시간 365일 감시가 맞는건데 왜 평일 오전만 하고 오후나 주말은 감시가 없는건지.... 흠 이해가 안가네여
직원 출근시간에 맞추어 시스템을 끄고 키는 방식일듯 하네여...
그리고 엄한 PC만 잡는 개인적인 생각은 사실 인터넷 트래픽은 그렇게 통신사 입장에서 중요한것이 아닙니다. LTE 라면 트래픽에 제한을 걸어서 망 안정화를 해야할수도 있겠지만 일반 인터넷 망이라면 한곳에 트래픽이 몰려도 장애는 발생하지 않을정도로 구축이 되어있기때문에 그런것 같습니다 따라서 통신사 입장에서는 PC 가입자수 별로 제한을 걸어서 돈을 조금더 뽑아먹기만 하려고 하는것 같습니다.
만약 PC 대수 제한이 없다면 요금이 싼 개인 사용자로 가입해 PC방 을 차려서 스위치로 분배시켜 써버려도 인터넷은 전부 작동은 할것이기 때문에 (속도는 보장못함)그래서 비싼 PC방이나 회사 요금제가 따로 있는것이구요
글 감사드립니다 !! 여기 답글 기능은 아직은 개발자이고 관리자인 저만 가능합니다. ^^;;;;;
PC 대수 제한에 대한건 가정용으로만 생각을 했었는데 스위치를 이용한 대량 분배를 할 수도 있군요. ㄷㄷㄷ
이렇게 생각하면 이해가 갑니다.
그리고 요즘 며칠 봤는데 다시 이 방법이 작동하고 있지 않습니다.
전에도 한동안 휴식기(?)가 있던거 같았는데 지금도 그런게 아닐까 하네요.
그리고 진짜로 공휴일, 평일 오후, 주말은 작동하지 않습니다.
어찌보면 이 시간대가 컴을 더 많이 쓸텐데요 .. 더 잡아내기 좋은 시간인데..
출근 시간에만 관리를 하는걸까요.. ㅎㅎ
여러모로 혼란스럽기는 한데 방법 자체는 잘못되었다는 생각이 듭니다.
제가 어제 게임하다가 ip가 따였는지 디도스 공격 ? ip 어택 ? 그런걸 당해서 인터넷이 한동안 끊겨있었습니다. 공유기의 Mac주소도 바꾸다가 안되었습니다. 그러다가 지금은 돌아온 상태인데 ip로도 인터넷 기록같은게 추적이 된다는 얘기이신가요 ? 만약에 그렇다면 어떻게 막아야 할까요 ㅜㅜ
인터넷 사용시 IP가 부여되는데요.
이게.. 해당 통신사에 문의하면 해당 시간에 누가 사용했는지 알 수 있습니다.
그리고 인터넷 접속 기록은 해당 PC를 직접 뒤져야 알 수 있습니다.
만약 통신사에서 IP가 어디로 접속하는지 까지 기록하지 않는다면요.
이런건 물론 법적인 절차를 걸쳐서 진행되겠죠. 정상적 이라면요.
만약 우연히(?) 상대가 내 IP를 알게 되면 디도스 공격이 가능해 질수도 있지만
보통은 IP가 고정이 아니므로 바뀌길 기다리거나 ... 공격이 끝나길 기다려야 겠죠 ㅠㅠ
일단 인터넷상에서는 착하게 살아야 됩니다. ^^;
그리고 글 감사드립니다 ㅠㅠ~
아닙니다 !! 제가 완전 컴맹이라 아무것도 몰랐는데 관리맨님 댓글 달아주신거 보고 디도스공격을 한 상대가 인터넷기록까진 추적 하진 못하는구나 라는걸 알게되었네요 .. 이제야 좀 안심이 되어 인터넷 자유롭게 할 수 있겠네요 ㅎㅎ
댓글 쓰기