이건 먼저 블루아카갤에서 올라온 전산쪽 대표가 썼던 글에서 더 자세하게 알아보기 위해 쓴 글이야
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
다들 알다시피 해연갤은 클라우드플레어 프록시를 이용해서 본 서버의 아이피를 찾기가 어려워
하지만 그와 관련된 다른 도메인의 아이피를 알아낸다면 해연갤의 원본 서버를 특정할 수 있는데,
해연갤과 투디갤, 투디갤 이미지서버의 도메인 세개를 가지고 체크를 해가며 서버의 아이피를 특정해볼거야
먼저 hygall.com과 tdgall.com, gall-img.com이 동일한 사람이 갖고있는지를 체크해봐야겠지?
이건 클라우드플레어의 사용자별 네임서버 배정방식을 통해 확인 할 수 있어
클라우드플레어의 네임서버는 사용자별로 2개의 네임서버를 배정해주는데, 이게 모든 사용자마다 조합이 다 달라
나에게 배정된 서버의 경우에는 ADEL, TREY가 배정되어있고,
승희한테는 ROBIN, ZOD가, 꺼무위키에는 DARA, NILE이 배정되어있기 때문에 네임서버만 가지고는 누구라고 특정할 순 없지만
동일한 네임서버라면 같은사람이라는건 확인할 수 있지
자 그러면 해연갤과 투디갤, 이미지서버의 네임서버를 비교해보자
해연갤의 네임서버는 ANDY, VAL 로 설정되어있어
Tech Fax Ext:
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=hygall.com
Name Server: ANDY.NS.CLOUDFLARE.COM
Name Server: VAL.NS.CLOUDFLARE.COM
DNSSEC: unsigned
투디갤의 네임서버도 ANDY, VAL 로 설정되어있네
Tech Fax Ext:
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=tdgall.com
Name Server: ANDY.NS.CLOUDFLARE.COM
Name Server: VAL.NS.CLOUDFLARE.COM
DNSSEC: unsigned
마지막으로 이미지서버의 네임서버는?
Tech Fax Ext:
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=gall-img.com
Name Server: ANDY.NS.CLOUDFLARE.COM
Name Server: VAL.NS.CLOUDFLARE.COM
DNSSEC: unsigned
역시 동일한 ANDY, VAL로 세 도메인은 모두 동일한 소유자가 소유중이라는걸 알 수 있어
그렇다면 이제는 해연갤이 실제로 돌아가는 원본서버의 IP를 찾아봐야겠지
각 도메인에 대해 설정된 IP값들을 모두 체크해보자
해연갤에 설정된 도메인들의 IP를 보면 7개의 도메인에 대해 IP가 등록되어있지만 모두 클라우드플레어를 향하고 있음을 확인할 수 있어
투디갤의 경우에도 4개의 도메인 모두 클라우드플레어를 향하고 있는걸 볼 수 있네
마지막으로 이미지서버의 경우에는 어떨까?
이미지서버중에 단 한 도메인만 WebNX라는 업체를 이용하고 있는것을 확인할 수 있어
그 도메인은 2달 전에 104.237.63.90으로 바꿨다는 기록이 나와
그렇다면 이 아이피가 진짜 해연갤의 원본아이피일지 확인해보자고
먼저 그냥 해연갤로 들어갔을 때 화면이야
오른쪽 개발자도구의 원격 주소 를 보면 104.16.210.29로 클라우드플레어의 아이피를 확인할 수 있어.
그렇다면 아까 확인한 아이피로 들어가면 어떻게 나올까?
403 오류가 나타나고 있어. 그렇다면 이제 이 아이피와 해연갤의 도메인을 결합시켜봤을때, 즉 도메인의 IP를 104.237.63.90으로 바꿨을 때 어떻게 나올까?
먼저 도메인에 대한 IP 변경이 필요하겠지
윈도우 사용자는 C:\Windows\System32\drivers\etc\hosts 파일을 수정해주면 되고
리눅스, 맥 사용자는 /etc/hosts 파일을 수정해주면 되는데,
단순히 파일 밑에 104.237.63.90 hygall.com www.hygall.com을 추가해주면 돼
그러고 나서 다시 해연갤을 접속한다면, 위 403 오류가 아닌 해연갤 페이지가 나타나게 돼
똑같아 보이지만 오른쪽 개발자도구의 원격 주소는 바뀐게 보이지?
이게 바로 클라우드플레어를 거치지 않은 원본 주소가 되는거야
이로써 해연갤의 원본서버 특정하기 끝.
| 제목 | 글쓴이 | 추천 수 | 날짜 |
|---|---|---|---|
| ㅆㄷ) 144.4cm 중딩의 소원 manhwa 27 | 세미 | 23 | 16 분 전 |
| 닭털 다 뽑혀버린 토트넘 근황 30 | 형님이새끼웃는데요 | 20 | 31 분 전 |
| 1970년대 일본의 1등석 기내서비스 수준.jpg 21 | 털달린바퀴벌레 | 31 | 1 시간 전 |
| 콘돔 모델 고말숙 24 | 일토준지 | 32 | 1 시간 전 |
| 원피스 작가가 디자인을 갈아엎은 여캐.jpg 23 | 카이부츠와다레다 | 30 | 1 시간 전 |
| 드디어 고장나버린 헬다이버즈2 CEO 36 | 미켈란젤로 | 37 | 1 시간 전 |
| 남미 커뮤에서 만난 꼰대 댓글로 후두려 팬 빠니보틀 33 | 엄복동 | 45 | 1 시간 전 |
| 무언가 깨달아버린 딸 manhwa 12 | 세미 | 37 | 1 시간 전 |
| 거짓말을 해야 열리는 문 manhwa 32 | 세미 | 51 | 1 시간 전 |
| 사펑, 스포) 만약 데이비드가 1년만 존버를 탔으면 어떻게 됐... 50 | 원숭이손 | 55 | 2 시간 전 |
| 냉혹한 전염병의 세계.jpg 32 | 엄복동 | 36 | 2 시간 전 |
| 비트코인을 공식 도입하면 벌어지는 일.jpg 35 | 엄복동 | 45 | 2 시간 전 |
| "sns도 끊었다" 정용진 회장 ㄷㄷ 66 | 라온힐조 | 57 | 2 시간 전 |
| 한블리에 나온 주차 중 아이의 충격적인 장난 69 | 레모투스 | 69 | 2 시간 전 |
| 가난한 친구를 깔보며 우월감을 느끼는 금수저.manhwa 52 | 일토준지 | 71 | 2 시간 전 |
| 9억 들여 명태 살리기 하는데 자꾸 명태가 사라짐 28 | 일토준지 | 61 | 2 시간 전 |
| 나라별 가난한 음식의 상징.jpg 65 | 아일릿 | 53 | 2 시간 전 |
| 요즘 MZ세대에서 논란이라는 문제 29 | 김츼 | 40 | 2 시간 전 |
| 영국 언론에서 말하는 민희진 40 | 황야의마법사 | 96 | 2 시간 전 |
| EBS 올타임 레전드 58 | 일토준지 | 70 | 2 시간 전 |
주둥이척수반사
ㅇㅋ 완벽하게 이해했음
폴피닉스
비나비
C플플
원글내용이 이해가 안갔었는데 이 글을 보니 이해가 안됐읍니다 감사합니다
니컴퓨터안고쳐줌
헛점을 남겼구나ㅋㅋ
TQQQ61층오우너
WebNX 라는 도메인이 노출된게 실수라고 보면 되는거야? 잘 숨기려면 저 도메인도 노출되지 않고 클라우드 플래어로 나왔다면 저 방법으론 서버를 특정할수 없었겠네?
그럼 저 도매인이 노출된건 클라우드 플레어쪽의 실슈야 아니면 해연갤 거버 관리자의 실수야?
니컴퓨터안고쳐줌
물론 후자
TQQQ61층오우너
다른거 다 잘 꽁꽁 숨겨놨는데 저거 하나를 실수했누
ESrevER
실수인지 의도인지는 정확하게 알수는 없는데
1. 원격기능이나 파일전송같은 관리차원에서 의도적으로 저 도메인에 실제 아이피를 노출시켰을 가능성
2. 실수로 해당 도메인에 클라우드플레어 경유기능을 끈 경우
두가지로 볼 수 있어
그리고 WebNX는 호스팅업체 이름이야
니컴퓨터안고쳐줌
이름이 1, 2로 된거 보면 아마도 클라우드플레어 측에 장애가 일어났을 경우에 서버 헬스체크용 또는 이중화 용도 등으로 뚫어둔 거일수도
ESrevER
만약 저 도메인마저도 클라우드플레어로 경유시켰다면 알기 더 힘들어졌겠지
자 이내여야 합니다
ㄴㄴㄴ 클플해도 다 찾을 수 있음
단지 조금 귀찮을 뿐
멀라
검은후드브라운
빙구미이
아이묭
뭐요??
땅땅치킨
ㅋㅋ처음에 블아 민원넣은애 존나 원망스러울듯
촐랑까마귀
궁금한게 있는데 클라우드플레어도 결국 서비스 잖아? 미국 fbi에서 수사 협조 요청하면 당연히 원 사이트 아이피 알게 되는거 맞지? 수사 요청을 못하나?
ESrevER
클라우드플레어의 투명성 보고서에 따르면 미국 법원의 요청이 있다면 제공할 수 있다고 나와있는것같아
촐랑까마귀
킹냥이
캐럿
딜레탕트
해연갤이 뭔지 모르는데 그냥 모르고있는게 낫겠지?
초록달
메갈의 조상님 정도라는데
딜레탕트
해충연합갤러리였구나
니컴퓨터안고쳐줌
우리가 웹 사이트에 접속할 때 사용하는 HTTP 프로토콜의 특징 중 하나는 전세계적으로 인터넷 상에서 공인된 도메인과 아이피를 매칭한 DNS서버가 존재함에도 불구하고 브라우저가 서버로 요청을 보낼 때는 요청 헤더에 사용자가 주소창에 적은 도메인 (이 경우엔 hygall.com)을 한 번 더 담아서 보낸다는 것임.
이를 통해 한 개의 물리 서버에 여러 도메인을 할당해 운영하더라도 서버가 알아서 알맞은 서비스로 연결해 줄 수 있다는 장점도 있는데, 굳이 이렇게 하는 또 다른 이유는 http 프로토콜 상에는 출발지 아이피와 도착지 아이피를 적는 공간이 없다는 점임.
즉 서버는 받은 요청을 실제로 누가 보냈는지 알 수 없고 클라이언트(사용자) 도 이 요청이 실제로 어디에 있는 서버로 가는지 알 수 없음.
이 특징 때문에 해연갤의 실제 서버 아이피를 특정하는 게 어려웠던 건데, 해연갤 관리자가 이미지 서버의 실제 아이피주소를 노출하는 실수를 저질렀고 본문의 내용은 이를 역이용해서 해당 이미지 서버 아이피가 해연갤 본 서버 아이피와 동일하다는 것을 검증하는 과정임.
hosts 파일을 수정함으로서 DNS 서버의 설정을 덮어써서 hygall.com이 매핑된 아이피를 강제로 지정해 준 것인데, 앞서 말했듯이 해연갤의 서버는 hygall.com을 로딩하고 싶어하는 요청이 클라우드플레어를 거쳐서 들어온 것인지, 직접 들어온 것인지 구별할 수 없음. 그렇기 때문에 정상 요청으로 생각하고 응답한것.
ESrevER
약간 잘못알고있는것같은데, HTTP의 경우에는 TCP위에서 통신되는 프로토콜이라서 헤더에 송신지 수신지 아이피가 포함되서 나가게 되어있어
실제로 HTTP에서 웹페이지에 접근하는 순서는 도메인에 대한 네임서버를 먼저 확인한 후 해당 아이피로 전달하는 플로우를 갖고있는데
도메인에 대한 아이피를 찾기 위한 플로우가 먼저 진행되는데 해연갤 기준으로 보자면
1. "hosts 파일"에서 hygall.com의 아이피를 조회
2. "Root 네임서버"에서 com에 대한 네임서버를 조회
3. "com 네임서버"에서 hygall.com의 아이피를 조회
4. "com 네임서버"에서 hygall.com에 대한 네임서버를 조회
5. "hygall.com 네임서버(클라우드플레어)"에서 hygall.com의 아이피를 조회
하는 방식이야.
하지만 맨 처음 해연갤에 접속할때는 저 플로우를 모두 처리했지만 /etc/hosts에 해연갤에 대한 아이피를 등록한 이후에는 1번항목만 처리하고 HTTP를 이용해 접속데이터를 보내는거라서 송신지와 수신지 모두를 다 프로토콜에 담고있어
물론 서버에서도 클라우드플레어를 통해 접속했는지 아닌지 확인할 수 있는 방법 또한 있지 특히 해연갤에서 쓰고있는 nginx같은 경우에는 아예 컨피그가 내장되어있을 정도니까
니컴퓨터안고쳐줌
아 맞네 순간 착각했음ㅋㅋ 써놓고 이상해서 수정하려고보니 답글 달려있네
ESrevER
멋지다 너 나랑 같이 일하자
니컴퓨터안고쳐줌
출발지 도착지 정보가 없다(x)
(클라이언트 입장)내가 요청보내는 곳이 진짜 애플리케이션 서버인지, (서버 입장) 요청을 보낸 주소가 진짜 클라이언트 주소인지 알 수 없다 (o)
예를 들어 클라이언트 주소가 223.62.10.11 인데 121.39.41.7에 접속한다면, 해당 아이피는 보통은 실제 서버의 주소가 아닌 로드 밸런서 등의 주소일 거고... 실제로 요청을 처리하는 애플리케이션 서버는 송신자 주소가 로드 밸런서의 내부 사설 IP인 10.21.100.12 따위로 된 요청을 받게 되어서 별도로 외부망에서 들어온 요청을 앞단에서 로깅하지 않았다면 애플리케이션 서버 자체는 요청의 실제 송신자를 특정불가함. 옛날에 배울 때 이런 정보 넘겨주기 위해 헤더값으로 넣거나 이런것도 해봤던거 같은데 가물가물 하다...
ESrevER
실제 요청을 보내고 받는 아이피를 정확하게 알 수는 없지 네 말마따나 방화벽이 있거나 라우터나 공유기단에서 NAT시키는경우나 로드밸런서가 있다면. 거기에 로깅까지 안하면 답 없는거지 뭐.
하지만 그래도 그 중 최종적으로 요청하는 아이피는 나타나니까 거기서 데이터를 갈아엎던 하면 뭔가 나오지 않을까..........
민트초코붕어
뭔지 모르지만 ㅊㅊ
ESrevER
"Root 네임서버"는 전 세계에 있는 com, kr, net, us 등등 도메인주소 맨 끝 단어(?)에 대한 네임서버를 저장해놓은 데이터베이스인데
"Root 네임서버"한테 "얘 아냐?" 하고 물어보면 "ㄴㄴ 나는 모르고 'com 네임서버'가 알거야" 하고 알려주는거지
그럼 똑같이 "com 네임서버"한테 "얘 아냐?"하고 물어보고 "모르는데, 'hygall.com 네임서버(클라우드플레어)'는 알거야"라고,
클라우드플레어한테 또 "너는 얘 아냐?" 물어보면 "ㅇㅇ 얘 앎 뫄뫄로 가면 만날 수 있어" 하고 답해주는게 네임서버 플로우고
그 과정을 건너뛰게 하는게 /etc/hosts 파일인거지
니컴퓨터안고쳐줌
문체부에서 게등위에 민원 떠넘기듯이 이렇게 밑으로 계속 떠넘겨서 정보를 뱉어내는 거임
ESrevER
와 시발 한방에 이해했다
우리집고양이츄르를싫어해
되게 잘안다
부가 설명으로 루트 네임서버는 “.”임
우리가 보는 url엔 생략되어 있는데dogdrip.net. << 마지막 .
. 아래에 com, net 등등 NS가 등록 되어 있는 거
ESrevER
맞아 실제로 네임서버 레코드 등록할때 마지막에 . 찍어서 마무리 찍는 이유도 루트네임서버를 따르라는 뜻에서 하는거였던거같기도하고
니컴퓨터안고쳐줌
hosts 파일이 무조건 우선인 이유는 인터넷의 역사와 관련이 있는데 전세계 대학과 연구기관 등만 연결되어있던 인터넷 초창기엔 DNS 서버가 없어서 각 기관의 도메인 정보를 담은 커다란 하나의 hosts 파일을 서로 돌려가며 쓰곤 했었음. 우리 업데이트 했어요 하고 FTP에 올리고 나면 이미 다른 사람들이 자기 도메인 적어 업뎃해놓은거랑 충돌나고, 서로 버전이 안맞아 접속 안되고... 이러다가 이거 좀 자동화되면 안됨? 해서 DNS가 탄생. 이때의 흔적으로 지금도 hosts 파일의 내용이 무조건 최우선임
심보고약한놈
저 아이피에 클라우드플레어처럼 요청 Host에 url을 넣어주니까 바로 뜨네 이게 Webnx에서 쓰는 정책인가?
어그로학교수
Virtualhost 설정해둔듯
심보고약한놈
이제 모든게 설명되네
ESrevER
한 서버에 한개의 홈페이지만 운영하는건 자원낭비라 대부분 저런 개인이 운영하는 것 같은 홈페이지는 한 서버를 vhost로 나눠서 사용하지
생체공학다리
똘추
하나도 모르는 입장에서 보니까 존나 멋있당
강군친구
도메인은 아이피 외우기 너무 힘드니 이걸 이름으로 바꿔서 저장하자는 취지로 생성된거고
이런 도메인들을 저장하고 있는 서버를 도메인 네임서버 dns라 캄. 대충 이정도 배경만 있으면 어렴풋이 이해가능
ㄹㅇㄹ3
원본서버 아이피가 노출됐고, 403 이 떳었을때 그냥 도망간줄알았는데
디도스 안내 페이지까지 꾸며서 올린거보니까 디도스와서 아이피옮기는작업 + 증거인멸?작업중이겠단 생각이 드네
ESrevER
그와중에 한명은 누굴까? ㅋㅋ
니컴퓨터안고쳐줌
비추 실명제
닉네임변경41
주 회선에 보조 회선 붙여놓듯이 cdn서비스도 클라우드플레어를 주로 하고 클라우드플레어 서비스 fail을 대비 webnx를 서브 서버로 등록해놓은건가?
ESrevER
클플의 타겟서버가 webnx인 것으로 추측되고있어
webnx는 단순히 호스팅업체니까