아놔, 하나로 DNS 이따위로 장난칠래여?

By | 2008년 09월 04일

집에서 일을(ㅠㅠ) 하다보면 nslookup을 실행시킬 일이 생각보다 많습니다. 특히 뭐 메일 발송 서버를 대충이라도 알아보려고 하면 nslookup > set type=txt > SPF 레코드 있으면 땡큐 > 없으면 set type=mx > 보통 mx 레코드는 받는 쪽만 반영하지만 대강 대역대가 어떻게 되니까.. 이 IP 대역 차단 해제하면 어떻게든 들어오겠군. 대충 이런 프로세스로 진행하고 있지요.

집에서 한참 안하고 있다가, 오늘 확인해볼 것이 있어 시작 > 실행 > cmd > nslookup을 실행시켰습니다.

시험삼아 widelake.net을 넣어보지요. nslookup 실행하자마자 초기값은 A레코드 조회입니다. widelake.net 은 티스토리 내에 있으니까, 211.172.252.15가 나와야합니다.

얼라? widelake.net이 나와야하는 Name 필드에는 rs.local이 나오고, 211.172.252.15가 나와야하는 Address 필드에는 61.110.21.159가 나오네요. 설정하지도 않은 Aliases는 widelake.net.local이라는 괴이한 내용이 나오고.

저 61.110.21.159라는 아이피는 뭔 녀석인가 싶어 ipwhois를 때려봤습니다.

query: 61.110.21.159
# KOREAN
조회결과는 아래와 같으며, 실제 정보와 상이할 수 있습니다.
IPv4주소 : 61.110.0.0-61.110.31.255
네트워크 이름 : SHINBIRO-LLINE-ICOLS
연결 ISP명 : SHINBIRO
할당내역 등록일 : 20041011
할당정보 공개여부 : Y

[ IPv4주소 사용 기관 정보 ]
기관고유번호 : ORG416024
기관명 : 아이콜스
주소 : 서울 강남구 대치동
상세주소 : 949-1
우편번호 : 135-280

[ 네트워크 담당자 인물 정보 ]
이름 : 이우현
기관명 : 아이콜스
주소 : 서울 강남구 대치동
상세주소 : 949-1
우편번호 : 135-280
전화번호 : +82-2-3011-6734
전자우편 : whyun@icols.co.kr

아이콜스라는 전혀 듣보잡 회사 이름이 나옵니다. 구글에서 아이콜스를 검색해봤습니다. 검색 결과를 몇개 디벼보니 SI 업체 같습니다. 구글 블로그 검색에는 이런 글도 있군요.

저 포스트에는 날짜가 없어서 헷갈렸는데, 해당 뉴스를 검색해보니 이렇게 되어있네요. 2005년 9월 기사입니다.

아이콜스는 KT에 인터넷 트래픽 특성분석 시스템을 구축키로 계약을 체결했다고 1일 발표했다. 시스템 구축 비용은 6억6천800만원(VAT 별도)이고 계약기간은 내년 9월말까지 이다.

그렇다면 저 시스템이 아직도 계약이 유지되고 있다는 것? 물론 전 하나로텔레콤을 사용합니다만, KLDP의 글을 보니 KT와 하나로텔레콤 모두 53번 포트를 통해 DNS 질의를 하면 거의 같은 값을 뱉어냅니다.

위의 IPWHOIS 결과에도 나와있듯 아이콜스에서 61.110.0.0 ~ 61.110.31.255 사이의 32개의 C클래스 대역을 가지고 있으니 같은 곳이죠.

자, 그렇다면 이렇게 53포트를 통한 DNS 질의를 후킹해가면서 저렇게 왜곡하는 이유는 무엇일까요?

위의 기사에서 저 아이피의 주인인 아이콜스가 “인터넷 트래픽 특성분석 시스템을 구축“했다고 나와있습니다. 말이 좋아 트래픽 특성분석이지, 기분은 뭔가 감시 당한다는 느낌이 강하군요. 왜 나는 하나로텔레콤과 계약해서 하나로텔레콤의 DNS를 이용하고 있는데, 전혀 정체도 알 수 없는 회사의, 무슨 목적일지도 명확하지 않은 장비에 내 의지와 관계없이 내 트래픽에 대해 보고를 하고 있어야만 하는거죠?

또, 기업 회선에는 저런 게 없는 상태에서, 가정 회선에서만 저런 게 발견되었다는 것에 대해, 이 빌어먹을 ISP들이 “트래픽 특성분석 시스템”으로 포장한 “공유기 검출 시스템”을 대놓고 운용하고 있다는 생각 밖에 안듭니다. 예의 “상위 5%가 트래픽 95%를 차지한다”라는 주장을 내세우면서 말이죠. 그 근거를 마련하고 계신가 봅니다. 지금까지는 근거 눈꼽만치도 없이 앵무새마냥 떠들어대더니. 키득.

nslookup이 무력화된 건, 뭐 아닌 말로 제 호스팅 서버에 접속해서 이용하면 됩니다. 조금 더 귀찮으면 되긴 하는데, 뭔가 기분이 상당히 더러운 느낌이 있군요. 일단 제가 뭐라 한다 해서 쉬 바뀌진 않겠지만, 하나로텔레콤 106 고객센터에 간만에 전화 좀 걸어야겠습니다. 한 몇년 전화 안했는데, 스트레스 좀 풀어볼까나요. ⓣ

Author: 너른호수

2004년부터 모 포털 사이트 알바로 시작한, 취미로 하던 웹질을 직업으로 만든 일을 굉장히 후회하고 있는 이메일 서비스 운영-기획자 출신 앱 PM(?)-SI 사업PM. 메일쟁이로 지낸 15년에 치여 여전히 이메일이라면 일단 관심이 갑니다. 버팔로이자 소원이자 드팩민이고, 혼자 여행 좋아하는 방랑자. 개발자 아님, 절대 아님, 아니라고!

16 thoughts on “아놔, 하나로 DNS 이따위로 장난칠래여?

  1. 지나가던이

    저도 rs.local이 궁금해서 왔는데
    분명 rs.local은 공인도메인을 아닐테고 61.110.21.159도 공인IP는 아닌거같습니다.
    그리고 대형ISP에서 rs.local을 사용하는이유는 검색해보니 아마도
    한글인터넷주소 (예를들어 인터넷주소창에 옥션 이라고치면 바로가는거)를 이용하기위해
    사용하는거 같습니다.
    그리고 리눅스의 nslookup을 사용하면 주소그대로 처도 올바른질의를 받구요
    윈도우에있는 nslookup을 사용하려면 주소끝에 .를 붙이면됩니다.
    (ex = naver.com.)

    Reply
    1. 너른호수 Post author

      61.110.21.159 는 일단 공인IP입니다. 공인이 아니였다면 아이피 룩업단계에서 사설이라고 뱉었겠죠.
      이유 중에 한글인터넷주소가 있군요. 도움도 안되고 쓸모도 없는 기능에 대해 취사선택권이 없으니 번거롭군요. 윈도 nslookup에서 . 붙이는 팁은 감사합니다. 🙂

      Reply
  2. 지나가던이

    오늘 61.110.21.159 이 아이피가 제 컴퓨터 공유 폴더에 접근하길래 차단했놓고
    정체가 궁금해서 검색해봤는데.. KT 관련 업체라…
    전 SK브로드앤 쓰는데 왜 KT가 타 업체 사용자의 컴퓨터 공유폴더에 까지 접근하는걸까요?
    참 기분 나쁘네요…

    Reply
    1. 너른호수 Post author

      영 기분도 찝찝하고 그렇죠…
      암튼 그냥 DNS 본연의 기능에나 충실할 것을 쓸데없는 짓에 너무 열심인 듯 해서 한국 ISP들이 그닥 좋아보이지 않습니다. 킁.

      Reply
  3. 저도 지나가다

    저도 오늘 케이블 모뎀을 바꾸고 nslookup을 해보니 잘 되지 않아서, 검색하다 여기까지 오게 되었습니다. 위에 분들 말씀 해주신 것을 듣고 아이디어가 떠올라서 DNS suffix를 . 으로 설정하였더니 정상 작동하네요.
    하나로에서 dns suffix를 home.local을 붙이게 하고 해당 dns를 자기네 쪽으로 유도하는 듯합니다.
    윈도우즈 TCIP/IP 설정 -> 고급 -> DNS 탭에서 기본 suffix 대신 “.”을 등록해서 사용하도록 하니 잘 되는것 같습니다.

    Reply
    1. 지나가던사람

      DNS 접미사? suffix를 “.” (.) 점 한개로 바꾸니까
      nslookup이 똑바로 되네요.
      그리고 suffix를 .으로 안바꾸고
      nslookup http://www.xxxx.com. 뒤에 . 한개 더 붙이니까 또
      똑바로 되네요.. 뭐죠..

      Reply
    2. 너른호수 Post author

      같은 겁니다. 🙂
      DNS Suffix를 수정해주는 건 아예 TCP/IP 설정에서 DNS 쿼리할 경우에 대해 별도 작업없이 자동으로 . 을 붙여주는거구요, suffix 변경없이 nslookup 할때마다 . 붙여주는 건 그때그때 해주는거구요.. 결과값은 같습니다. 🙂

      Reply
  4. 그렇군요.

    저도 nslookup 때문에 오게되었는데요
    DNS텝에서 suffix를 “.”으로 바꾸어서 하니까 후킹이 없어는거 같은데요.
    “.”으로 하고 사용해도 뭐 보안에는 지장이 없겠죠??

    Reply
  5. astraea

    덕분에 저도 해결했네요;;
    저는 모든 주소가 nslookup 날리면
    뒤에 .local 이 붙고
    127.0.0.1 이 나오는 어처구니 없는 상태였;;;

    Reply

ㅂㄹ에 답글 남기기 응답 취소

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다