그냥 일상

210.117.120.178 IP로 이상한 방법으로 인터넷 접속 기록이 전송되고 있다 !?

전체 사진 날짜계산 기타
등록일 :
이 글은 접속 되는 상황을 기록하기 위한 게시물 입니다.
아래는 이 현상과 관련된 글 정리입니다.

상황 : 중간자공격기법으로 210.117.120.178 IP로 접속하려는 사이트를 기록하고 있음.
의심 : 공용 인터넷 설비 어딘가가 아닐까 추측. (확인 할 수 없음, 의심만)
환경 : 아파트, ISP SK브로드밴드

추가된 내용 :
인터넷 제공 업체에서 PC대수를 체크를 하는데 (PC가 많으면 돈 을 더내라 이런것)
아래 현상은 공유기 사용을 잡아내기가 어려우니 고안된 방법같습니다.
사실 집에서 트래픽의 대부분은 이제 모바일 일텐데요 ..
유튜브만 봐도 트래픽이 어마어마 한데 .. PC만 왜..아직도 이러는지.

발생하는 데이터변조현상 기록.

접속 하려는 홈페이지 원래의 내용 대신 변조된 내용이 뜨고 있는 기록입니다.

210.117.120.178 으로 내 접속 정보가 전달되고 있습니다.
윈도우 방화벽으로 210.117.120.178 로 접근을 차단해서 정보가 전달되는것은 막아둔 상태.

이런식의 소스 변조를 ARP스푸핑(중간자곡격) 이라고 합니다.
PC에 아무 이상이 없는데 발생하는 현상이죠.

아래 관련 링크에 제가 겪은 현상을 정리해 두었습니다.

PC 사용중 계속 확인 하고 있습니다.
오늘은 한번도 발생하지 않았네요.

다시 발생중

며칠 잠잠 하더니 다시 발생중 입니다.

의도적인 기록일지지 해킹당한 컴퓨터의 소행일지 모르겠군요.

발생중

알아 낸 것.

일단 일반적인 http 접속에는 위 처럼 나오지만 (https 는 안나옴)
도메인 뒤에 /? 를 붙이면 abcd.com/? 이런식으로. 작동하지 않는다.
나름 필터링은 있는듯하다.

이건 분명 시스템이 갖춰진 중간자기법을 이용한 로그기록인데 ...
언제까지 이러나 지켜보겠다.

발생중

어제는 한번도 발생하지 않다가 오늘 다시 발생중.
정체가 무엇일까?

알아낸건 도메인 뒤에 /? 를 추가하면 발생하지 않는다.
www.gmarket.co.kr/? 이런식으로

확실히 뭔가가 어디서 시스템적으로 돌고 있는것 같다.
해킹 같은거라면 로그 기록 보다는
취약점을 노린 공격을 할텐데 그런건 없다.

발생중

일반적인 상황

크롬 확장기능으로 로그 회피

크롬 확장기능으로 브라우저가 서버로 보내는 기본 정보를
윈도우가 아닌 우분투라는 걸로 속였다.
그럼 발생하지 않는다. 확실히 뭔가가 시스템적으로
사용자 정보를 체크하여 로그를 기록하고 있다.
모바일일때도 작동하지 않는다.

늦은 시간에는 잠적

저녁시간에는 작동하지 않는다. 시간대 봐가면서 하는건가 ...

오전 시간대에 주로 작동

역시 오전 시간대만 열심히 로그 수집중
※ 운영중인 개인 사이트
등록된 댓글이 없습니다.

댓글 쓰기

이름 : 패스워드 :

브라우저를 윈도우가 아닌것으로 속이면 작동안함

크롬 확장 기능으로 사용자 정보를 윈도우가 아닌것으로 설정하면
작동하지 않는다. 확실히 시스템적으로 로그를 수집중.

※ 아래 스크린샷 주소표시줄 오른쪽 파란색 ON 부분이 확장기능 활성화 상태
등록된 댓글이 없습니다.

댓글 쓰기

이름 : 패스워드 :

현재 진행형 ...

새로고침시 높은 확률로 발생

브라우저의 정보를 PC가 아닌것으로 속이면 100% 발생안함.

거의 확실한것
평일오전에 주로발생 오후에는 발생하지 않음.
주말에도 거의 발생하지 않는거 같음.

왜 평일 오전에 주로 인터넷 접속 로그를 기록하는 것인가...

※ 기존 인터넷 라인 대신 모바일 테더링으로 접속하면 100% 발생 안함. (즉 PC 문제는 아님)

현재 진행형.

발생하지 않는 조건 확인 사항

사용자 PC 정보를 활용한 것 외에..

토요일, 일요일, 공휴일, 평일 늦은 시각에는 발생하지 않는 것을 확인됩니다.
오늘기준 토요일 오전에는 아무리 눌러 봐도 멀쩡합니다.

평일 오전 부터 오후 까지 로그를 기록하고.. 할꺼면 다하던지.
그리고 주말은 왜 안하는지... 걸릴까 봐서? 인가 라고 추측해 봅니다.

기록은 계속됩니다.
추가.

요즘은 발생하지 않는다

꾸준히 발생하던 현상이
오늘 확인해 보니 발생하지 않는걸로 보인다.
일시적인 건지 언제부터 그랬던건지 확인은 어렵지만
꾸준히 지켜보겠다.

기록

해당 현상이 오래도록 나타나지 않습니다.

기준
해당 현상이 발생하지 않습니다.

집에 PC나 인터넷 환경은
변한것 없이 그대로 입니다.

왜? 라는 의문점만 남기고 조용해 졌네요.
그래도 계속 지켜보겠습니다.

다시 활동 하기 시작 함. 정확한 시작일은 모르나 오늘 확인.

기록 추가. 평일 오전 계속 작동. 오후에는 작동 안함.

중간자 공격기법 불법 로그는 평일 오전 꾸준히 발생중 입니다. (주말에는 작동 안함)

오늘 확인한 특이사항 으로는 추적하는 소스(html태그)가 변경이 되었다는 점입니다.

기존 소스는 안보이는 아이프레임을 만들고 2초안에 기록한다 였는데.
이 방법은 2초를 넘어서면 기록이 되지 않는다는 단점(?)이 있습니다.

새로 바뀐 소스는 아예 100% 영역으로 아이프레임을 만들고 그 안에다가
이동하려는 사이트를 띄우고 있습니다.
이렇게 하면 2초 제한없이 로그를 기록할 수 있게됩니다.

이때 문제는 전체화면 아이프레임에 해당 사이트를 보게 되는데
상황에 따라 사이트가 오작동 할 수 있다는 점입니다.
로그 기록하려고 멋대로 군요. 계속 기록해 보겠습니다.

오늘도 열일중인 로거.
저 IP는 윈도우 방화벽에 차단으로 등록해 놔서
실제 접속은 이루어 지지 않음.

역시나 계속.. 진행중임.
집에 PC가 몇대 인지 체크하기위해서 라는 말이 있네요.
그렇다고 이런짓을(?)

집에 인터넷쓰는 기기는 사실 모바일이 더 많은데 ..
PC대수 체크라니.. 수익창출을 위한 것인가.
이제 모바일도 체크해서 수익 창출을 하는건 아닌가 모르겠군요.

새로 확인한 정보 : goodbyedpi 사용시 회피가능

요즘 여러가지로 핫(!)한 goodbyedpi 입니다. 이걸 사용하니 위 상황에 회피가 되네요. 켜두면 iframe 방식 추적 기능이 작동하지 않네요.

공유기를 사용하면 PC가 여러대인지 파악하기가 어려워 이런 iframe 방식으로 파악을 하며 걸린(?)경우 과금유도 페이지가 보인다고 합니다.

문제는 요즘 PC보다는 모바일(와이파이사용)이나 IPTV 가 트래픽의 대부분을 차지할텐데요.. 여기엔 과금 하기 어려우니 더욱더 열심히 PC가 여러대인지 체크하는게 아닌가 하는 생각을 해봅니다. 다 돈이죠. 혹시 하나만 걸려라 이런거 아닐까요? ...

실제로 대부분의 트래픽은 모바일이 발생시키지만 "넌 PC가 두대이상" 이니 돈 더 내렴..
이런 상황이면 억울하겠죠? 사실 그 PC로 인터넷이나 게임, 문서 작업 정도 한다면요 ...
이건 생각보다 억울한 상황인거 같습니다. 물론 헤비유저는 제외하도록 합니다. ^^;

추가된 내용입니다.
등록된 댓글이 없습니다.

댓글 쓰기

이름 : 패스워드 :
이 글은 접속 되는 상황을 기록하기 위한 게시물 입니다.
아래는 이 현상과 관련된 글 정리입니다.

상황 : 중간자공격기법으로 210.117.120.178 IP로 접속하려는 사이트를 기록하고 있음.
의심 : 공용 인터넷 설비 어딘가가 아닐까 추측. (확인 할 수 없음, 의심만)
환경 : 아파트, ISP SK브로드밴드

추가된 내용 :
인터넷 제공 업체에서 PC대수를 체크를 하는데 (PC가 많으면 돈 을 더내라 이런것)
아래 현상은 공유기 사용을 잡아내기가 어려우니 고안된 방법같습니다.
사실 집에서 트래픽의 대부분은 이제 모바일 일텐데요 ..
유튜브만 봐도 트래픽이 어마어마 한데 .. PC만 왜..아직도 이러는지.