Microsoft Word - whchang-9-whois-lookingglass.doc

이글은 2001년4월경에작성된것입니다. 따라서현재의상황과다른것이있을수있으며, 교정을보지않아오류가있을수있음을미리알려드립니다. 다른사람들에게도움이될수도있을것같아제홈페이지 http://www.whchang.com에등록을합니다. Feb 15, 2002 장우현 whchang@whchang.com

WHOIS 와 Looking Glass 인터넷의 IP address 혹은라우팅과관계된정보를얻으려면 WHOIS와 Looking Glass를잘이용해야합니다. WHOIS는원래단어가의미하듯이인명정보를제공해주는서비스로 TCP wellknown port 43으로서비스를제공합니다. $ grep whois /etc/services whois 43/tcp nicname 그러나 WHOIS는인명정보를제공하는용도로도쓰이지만, 실질적으로는다양한용도로쓰이고있습니다. 대표적인예가인터넷에서 domain name에대한등록정보를제공하는서비스, IP address의할당정보서비스, 그리고어떠한 AS번호를가지고라우팅정보가전달되는가에대한서비스등의목적으로이용되고있습니다. Looking Glass는 BGP 라우팅정보와 ping, traceroute 등의기능을제공해주는서비스를의미하는것으로, 그 Looking glass를이용하여다양하게네트웍의상태나라우팅정보등을파악할수있습니다. Looking Glass는주요 ISP들마다개별적으로서비스되므로그러한것들의목록을정리해두면 Looking Glass를제공하는 ISP 네트웍의관점에서라우팅정보나네트웍상태를파악할수있어매우큰도움을얻을수있습니다. WHOIS 서버 이글에서다룰 WHOIS 서버들은 IP address에대한정보를제공한것, AS번호에대한정보를제공하는것, BGP 라우팅정보를제공하는것, 그리고 domain name에대한정보를제공하는것으로한정하여설명을하도록하겠습니다. 이러한정보를제공하는 WHOIS 서버목록은다음과같습니다. whois.krnic.net whois.apnic.net whois.arin.net whois.ra.net WHOIS.KRNIC.NET 은국내에할당되는 AS번호, IP address, ISP 연락처, domain name 등에대한정보를제공하는 WHOIS 서버입니다. KRNIC은.kr 의하위 domain name을신청을받아등록을해주는기능과, 하위 domain name에대한 DNS 서버목록을유지하는역할을담당하고있습니다. 그리고 IP address를 APNIC으로부터큰규모단위 (block 단위 ) 로전달받아그것을국내 ISP들에게할당하는역할도함께하고있습니다. 또한 BGP 라우팅운영에필요한 AS번호도 IP address와같은방법으로 APNIC으로부터일정영역을

전달받아국내의기업에할당하고있습니다. 따라서 KRNIC은이러한정보들을다른사람들이참조할수있도록 KRNIC이운영하고있는 WHOIS 서버에등록을해서비스를제공하고있습니다. 따라서국내인터넷과관계된정보를얻을때 KRNIC의 WHOIS 서버인 whois.krnic.net을참조하면많은도움을얻을수있습니다. 그러나한가지유의할것은, KRNIC에등록된정보들은 100% 신뢰할수없다는것을알고있어야합니다. 그이유는관련정보과관계된 ISP 혹은기업, 개인들이관련정보가현재의실제상태와동일하게유지될수있도록 KRNIC에통보하여갱신을요청해야하나그렇게하는곳들이많지않기때문입니다. 신뢰도가높은정보는 domain name이어느기업의것이고, 어느 IP addresss 가어느 ISP에의해서서비스되며, 어느 AS번호가어느기관에할당되었는가에대한것들입니다. 반면에 KRNIC WHOIS 서버는물론세계에있는대부분의 WHOIS 서버들에서신뢰도가가장낮은정보는인명정보입니다. 그이유는담당자가일정한시간이지나면변경되는경우가많은데그정보에대한갱신요청을거의하지않기때문입니다. 따라서어떤 IP address로부터포트스캐닝 (port scanning) 과같은보안침해시도같은것이발생했을때그 IP address와관계된담당자를알아내어연락을시도할때담당자정보가갱신되어있지않아연락이되지않는경우가많습니다. 일반기업은물론이고 ISP들도그런경우가많습니다. 따라서 KRNIC WHOIS 서버에있는정보를참고할때다른정보들과교차점검 (cross check) 하여볼필요가있습니다. [ 주의 ] 국내의 ISP나어떤기업이사용하는 IP address라도할지라도그것에대한 IP address 정보를 WHOIS.KRNIC.NET에조회해도결과가없는경우가있습니다. 그이유는각 NIC의 WHOIS 서버는대개자신이직접할당한 IP address에대한정보만을제공해주기때문입니다. 대표적으로국내의몇몇 ISP는 KRNIC에서 IP address를할당받지않고 APNIC에서직접할당을받는데그 IP address에대한정보는 KRNIC에서조회되지않습니다. 아래의예는데이콤보라넷에서이용하는 61.32.0.0/13에대한정보를 KRNIC에서조회했으나결과가없고 APNIC에서조회했을때관련정보가나오는예입니다. [whchang@home /tmp]$ whois 61.32.0.0@whois.krnic.net [whois.krnic.net] Korea Internet Information Service V1.0 ( created by KRNIC, 1999.6 ) query: 61.32.0.0 * 한글기관명에대한 whois 조회는웹 (http://whois.nic.or.kr) 에서 하시기바랍니다. 조회하신해당 IP 주소는국내 (KRNIC) 에배정된주소가아닙니다. http://www.apnic.net(apnic) 또는 http://www.arin.net(arin) 에서조회해주십시오. (UNIX: whois -h whois.apnic.net [IP주소] 또는 whois -h whois.arin.net [IP주소]) * 참고로전세계 IP 주소배당절차는 http://www.nic.or.kr - "IP 주소할당절차 " 에서 보실수있으며, 국내에배정된 IP 주소는한국인터넷정보센터 (KRNIC) 가 KRNIC 회원

ISP기관 (www.nic.or.kr - " 국내인터넷서비스제공기관목록 " 참조 ) 에게다시배정- 할당관리하며회원 ISP기관은 IP주소를고객 (End-User) 에게할당하고할당내역을한국인터넷정보센터에게통보해줍니다. 그통보된내역으로 Whois 서비스를제공하는것입니다. - 한국인터넷정보센터 (Korea Network Information Center) hostmaster@nic.or.kr [whchang@home /tmp]$ whois 61.32.0.0@whois.apnic.net [whois3.apnic.net] % Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html inetnum: 61.32.0.0-61.43.255.255 netname: BORANET-1 descr: DACOM Corp. descr: Facility-based Telecommunication Service Provider descr: providing Internet leased-ine, on-line service, BLL etc. country: KR admin-c: DB50-AP tech-c: DB50-AP mnt-by: APNIC-HM mnt-lower: MAINT-KR-DACOM changed: hostmaster@apnic.net 20000918 source: APNIC role: DACOM BORANET address: DACOM Bldg., 706-1, Yoeksam-dong, Kangnam-ku, Seoul phone: +82-2-6220-7755 fax-no: +82-2-6220-0312 e-mail: ipadm@nic.bora.net admin-c: SK91-AP tech-c: TH45-AP tech-c: CJS3-AP tech-c: PHS1-AP tech-c: WSH3-AP tech-c: HEK1-AP nic-hdl: DB50-AP remarks: IP address administrator group of NIC team, DACOM Corp. notify: ipadm@nic.bora.net mnt-by: MAINT-KR-DACOM changed: ipadm@nic.bora.net 20001106 source: APNIC WHOIS.APNIC.NET 은아태지역에할당되는 AS번호, IP address 등에대한정보를제공하는 WHOIS 서버입니다. KRNIC은국내에할당되는 IP address를 APNIC에서큰단위로받아국내 ISP나기업에재할당하므로, 국내에할당된 IP address에대한정보도 APNIC의 WHOIS서버에서조회가가능합니다. 그러나 KRNIC에서제공하는정보만큼상세하지않고관련정보가갱신되어있지않은경우가있습니다. 아래의예는 210.124.0.0에대한정보를 WHOIS.APNIC.NET과 WHOIS.KRNIC.NET에서조회한경우입니다. KRNIC의 WHOIS 서버에서제공하는

것이보다많고정확합니다. [whchang@home /tmp]$ whois 210.124.0.0@whois.apnic.net [whois3.apnic.net] % Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html inetnum: 210.124.0.0-210.124.255.255 netname: BORANET descr: DACOM CO. descr: Sungji Bldg. 40-712 3-Ga Hangnag-Ro Yongsan-Ku descr: Seoul Korea descr: 140-013 country: KR admin-c: SJ1-AP tech-c: SL11-AP remarks: ISP in Korea changed: hostmast@rs.krnic.net 980707 source: APNIC person: Sanggyu Jang address: DACOM CO. address: Sungji Bldg. 40-712 3-Ga Hangnag-Ro Yongsan-Ku address: Seoul Korea phone: +82 2 220 5202 fax-no: +82 2 220 0751 country: KR e-mail: mgr@bora.net nic-hdl: SJ1-AP mnt-by: MAINT-NULL changed: hostmast@rs.krnic.net 19980702 source: APNIC person: Sangjo Lee address: DACOM CO. address: Sungji Bldg. 40-712 3-Ga Hangnag-Ro Yongsan-Ku address: Seoul Korea phone: +82 2 220 5206 fax-no: +82 2 220 0751 country: KR e-mail: ip@bora.net nic-hdl: SL11-AP mnt-by: MAINT-NULL changed: hostmast@rs.krnic.net 19980702 source: APNIC [whchang@home /tmp]$ whois 210.124.0.0@whois.krnic.net [whois.krnic.net] Korea Internet Information Service V1.0 ( created by KRNIC, 1999.6 ) query: 210.124.0.0

* 한글기관명에대한 whois 조회는웹 (http://whois.nic.or.kr) 에서 하시기바랍니다. 조회하신해당 IP 주소는아래의가입기관에할당된블럭입니다. # ENGLISH IP Address : 210.124.0.0-210.124.1.255 Connect ISP Name : BORANET Connect Date : 19961110 Registration Date : 20000601 Network Name : BORANETUSERSERIAL [ Organization Information ] Orgnization ID : ORG91351 Name : DACOM State : SEOUL Address : 706-1 Yeoksam-dong Kangnam-gu Zip Code : 135-610 [ Admin Contact Information] Name : Taeseon Ha Org Name : DACOM State : SEOUL Address : 706-1 Yeoksam-dong Kangnam-gu Zip Code : 135-610 Phone : +82-2-6220-7755 Fax : +82-2-6220-0312 E-Mail : ipadm@bora.net [ Technical Contact Information ] Name : Taeseon Ha Org Name : DACOM Address : 706-1 Yeoksam-dong Kangnam-gu Zip Code : 135-610 Phone : +82-2-6220-7755 Fax : +82-2-6220-0312 E-Mail : ipadm@bora.net # KOREAN IP 주소 : 210.124.0.0-210.124.1.255 연결 ISP명 : BORANET ISP 연결날짜 : 19961110 할당내역등록일 : 20000601 네트워크이름 : BORANETUSERSERIAL [ IP 사용기관정보 ] 기관고유번호 : ORG91351 기관명 : 데이콤 시도명 : 서울 주소 : 강남구역삼동 706-1

WHOIS.ARIN.NET 은북남미지역에할당되는 AS번호, IP address 등에대한정보를제공하는 WHOIS 서버입니다. 그리고대륙별혹은국가별 NIC이없던시절에할당된 IP address에대한정보도갖고있는데, 시간이많이경과하여그런정보들의세부정보가정확하지않은경우가많습니다. 또한 ARIN은커다란 IP address 영역을대륙혹은지역별 NIC에할당하는역할도하고있어각 IP address 영역이어떤 NIC에할당되었는지에대한정보도갖고있습니다. 따라서그런정보들을근거로하여지역별 NIC의 WHOIS 서버에접근하여정보를조회하면정확한정보를얻을수있습니다. 아래는 203.248.0.0에대한정보를조회한것입니다. 결과를보면이영역이 APNIC에할당되었다는것을알수있습니다. 그리고 APNIC에서정보를조회해보면 203.248.0.0/17이 INET ( 현재는 PSINet KR) 에할당되었고 203.248.128.0/17은데이콤보라넷에할당되었다는것을알수있습니다. 더상세한정보는 KRNIC WHOIS 서버에서조회할수있습니다. [whchang@home /tmp]$ whois 203.248.0.0@whois.arin.net [whois.arin.net] Asia Pacific Network Information Center (APNIC2) These addresses have been further assigned to Asia-Pacific users. Contact information can be found in the APNIC database, at WHOIS.APNIC.NET or http://www.apnic.net/ Please do not send spam complaints to APNIC. Netname: APNIC-CIDR-BLK Netblock: 202.0.0.0-203.255.255.255 Maintainer: AP Coordinator: Administrator, System (SA90-ARIN) sysadm@apnic.net +61-7-3367-0490 Domain System inverse mapping provided by: SVC00.APNIC.NET 202.12.28.131 NS.APNIC.NET 203.37.255.97 NS.TELSTRA.NET 203.50.0.137 NS.RIPE.NET 193.0.0.193 Regional Internet Registry for the Asia-Pacific Region. *** Use whois -h whois.apnic.net <object> *** *** or see http://www.apnic.net/db/ for database assistance *** Record last updated on 18-Jun-1999. Database last updated on 19-Jan-2001 07:40:06 EDT. The ARIN Registration Services Host contains ONLY Internet Network Information: Networks, ASN's, and related POC's. Please use the whois server at rs.internic.net for DOMAIN related

Information and whois.nic.mil for NIPRNET Information. [whchang@home /tmp]$ whois 203.248.0.0@whois.apnic.net [whois3.apnic.net] % Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html inetnum: 203.248.0.0-203.248.127.255 netname: INET descr: Inet INC. descr: Inet Bldg., 738-37, Yoksam-dong, Kangnam-gu, Seoul descr: 135-080 country: KR admin-c: JR1-AP tech-c: SL91-AP mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr 20000122 source: APNIC person: Jaejun Ryu address: Inet INC. address: Inet Bldg., 738-37, Yoksam-dong, Kangnam-gu, Seoul address: 135-080 phone: +82 2 531 7931 fax-no: +82 2 555 8127 country: KR e-mail: mgr@nuri.net nic-hdl: JR1-AP mnt-by: MAINT-NULL changed: hostmast@rs.krnic.net 19980702 source: APNIC person: Soojeong LEE address: Inet INC. address: Inet Bldg., 738-37, Yoksam-dong, Kangnam-gu, Seoul address: 135-080 phone: +82-2-531-7932 fax-no: +82-2-555-8127 country: KR e-mail: ip@nuri.net nic-hdl: SL91-AP mnt-by: MAINT-NULL changed: hostmaster@apnic.net 19990103 source: APNIC [whchang@home /tmp]$ whois 203.248.128.0@whois.apnic.net [whois3.apnic.net] % Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html inetnum: 203.248.128.0-203.248.255.255 netname: BORANET descr: DACOM CO.

descr: Sungji Bldg. 40-712 3-Ga Hangnag-Ro Yongsan-Ku descr: Seoul Korea descr: 140-013 country: KR admin-c: SJ1-AP tech-c: SL11-AP remarks: ISP in Korea changed: hostmast@rs.krnic.net 980707 source: APNIC person: Sanggyu Jang address: DACOM CO. address: Sungji Bldg. 40-712 3-Ga Hangnag-Ro Yongsan-Ku address: Seoul Korea phone: +82 2 220 5202 fax-no: +82 2 220 0751 country: KR e-mail: mgr@bora.net nic-hdl: SJ1-AP mnt-by: MAINT-NULL changed: hostmast@rs.krnic.net 19980702 source: APNIC person: Sangjo Lee address: DACOM CO. address: Sungji Bldg. 40-712 3-Ga Hangnag-Ro Yongsan-Ku address: Seoul Korea phone: +82 2 220 5206 fax-no: +82 2 220 0751 country: KR e-mail: ip@bora.net nic-hdl: SL11-AP mnt-by: MAINT-NULL changed: hostmast@rs.krnic.net 19980702 source: APNIC WHOIS.RA.NET 은인터넷라우팅을담당하는사람이라면꼭알아야할 WHOIS 서버중의하나입니다. WHOIS.RA.NET에는인터넷라우팅정보에서볼수있는 IP Network address 정보, AS번호정보가등록되어있습니다. IP Network address 정보는 BGP 라우팅정보에서볼수있는영역단위 ( 블록단위 ) 로등록이되어있으며, 그 IP Network address 정보가어떤 AS번호에서사용되고있는가에대한정보도제공합니다. WHOIS.RA.NET에서제공되는정보를잘이해하기위해서는 BGP 라우팅을알아야합니다만해당 address가어떤 AS번호에서이용되고있는가에대한정보만으로도우리들은많은도움을얻을수있습니다. 그리고 WHOIS.RA.NET의정보와 Looking-glass를통해얻을수있는정보를조합하면보다정확한정보를얻을수있습니다. 그러나주의할것은어떤 NIC의서버나제공되는정보들이모두정확하지는않다는것입니다. 앞에서설명한 NIC들의 WHOIS 서버는 NIC이운영하나 WHOIS.RA.NET 서버는 NIC에서운영하지않습니다. WHOIS.RA.NET은 Merit에서운영을하며, WHOIS.RA.NET의운영목적은 BGP 라우팅과관계된정보를제공하기위해서입니

다. WHOIS.RA.NET에등록된정보들은실제미국내중요인터넷교환점 (IX 혹은 NAP) 에서운영되고있는 ROUTE SERVER의운영정보에반영되는것들입니다. WHOIS.RA.NET을이용해다양한방법으로활용할수있습니다만, 여기에서는어떤 IP address가어느 ISP에의해서비스되는지를알아내는것을설명해보도록하겠습니다. 가령 192.132.247.0에포함된 IP address에서내서버에불법적인접근을시도했다고가정해보시기바랍니다. 그경우 192.132.247.0가어디에있는것인지부터확인해야합니다. 192.132.247.0에대한정보를 whois.krnic.net, whois.apnic.net에조회를하면등록되어있지않다는결과를받게되며, whois.arin.net에조회를하면 192.132.247.0는충남대에할당이된것이며, 연락처가 Steve Jones이고, 해당정보는 1992년에마지막으로수정되었다는것을보게됩니다. [whchang@home whchang]$ whois 192.132.247.0@whois.arin.net [whois.arin.net] ChungNam National University (NET-CNU-NET1) 220 Kung-Dong,Youseong-Ku,Taejeon 305-764,KOREA Netname: CNU-NET1 Netblock: 192.132.247.0-192.132.247.255 Coordinator: Jones, Steve (SJ104-ARIN) sjones@cortech.com 303-657-8020 Record last updated on 29-Jan-1992. Database last updated on 19-Jan-2001 19:30:25 EDT. The ARIN Registration Services Host contains ONLY Internet Network Information: Networks, ASN's, and related POC's. Please use the whois server at rs.internic.net for DOMAIN related Information and whois.nic.mil for NIPRNET Information. 위정보는 192.132.247.0이충남대에할당되었다는것을제외하고나머지는모두부정확한정보입니다. 이런경우대개이런기업 / 학교 ( 여기에서는충남대 ) 에게인터넷서비스를제공해주는 ISP에게연락을할수밖에없습니다. 이럴때 WHOIS.RA.NET을활용할수있습니다. WHOIS.RA.NET에 IP Network address에대해정보를조회하는방법은 NIC의 WHOIS 서버에게조회하는방법과동일합니다. [whchang@network ~]$ whois 192.132.247.0@whois.ra.net [whois.radb.net] route: 192.132.247.0/24 descr: contact noc@bora.net if necessary origin: AS3786 mnt-by: MAINT-AS3786 changed: ysjeon7@bora.net 20000410 source: RADB

route: 192.132.247.0/24 descr: KORnet operation Center origin: AS4766 mnt-by: MAINT-AS4766 changed: jyoungk@streamwk.kix.net 20000415 source: RADB route: 192.132.247.0/24 descr: KORnet operation Center(Korea Telecom) origin: AS4766 mnt-by: ASN-KOREA-TELECOM changed: jyoungk@streamwk.kix.net 20000414 source: CW 192.132.247.0에대한조회결과가 3개가나왔습니다. 각각을 route object라고말하며, 여기에서는 3개의 route object가출력되었습니다. 그이유는 192.132.247.0에대한정보를여러곳에서등록하는경우 ( 이예에서는데이콤보라넷과한국통신코넷에서등록함 ) 도있고, 등록하는방법을잘몰라중복해서등록하는경우 ( 이예에서는코넷에서 CW에만등록하면되는데 RADB에도등록했음 ), 혹은필요없는것을지우지않아서발생하는경우도있습니다. Route object에서주의깊게보아야할부분은 route: 필드와 origin: 필드입니다. 즉어떤 IP network address가어떤 ISP에의해서서비스되는가는 origin: 필드를보면됩니다. 192.132.247.0 에대해서는 origin이 AS3786 과 AS4766으로나타나며 AS3786은데이콤보라넷의 AS번호, AS4766은한국통신코넷의 AS번호입니다. 실제로, 뒤에설명할 Looking-glass를활용하면 192.132.247.0가보라넷에접속되어있는지코넷에접속되어서비스되고있는지보다정확히확인할수있습니다. 확인결과 192.132.247.0는보라넷과코넷에모두접속이되어있습니다 (2001/1/20 기준 ). 그리고각 ISP의연락처는 maint-by: 필드에나타난것을 WHOIS.RA.NET에서다시검색하면알아낼수있습니다. 아래는 MAINT-AS3786, MAINT-AS4766, ASN-KOREA-TELECOM 모두에대해조회한결과입니다. [whchang@network ~]$ whois MAINT-AS3786@whois.ra.net [whois.radb.net] mntner: MAINT-AS3786 descr: Maintainer for AS 3786 admin-c: Raejoon Jung admin-c: Jin-seob Park admin-c: Youngseo Jeon upd-to: peering@bora.net upd-to: ipeng@bora.net auth: CRYPT-PW BZCdKw4N6cKOs mnt-by: MAINT-AS3786 changed: ysjeon7@bora.net 20000701 source: RADB [whchang@network ~]$ whois MAINT-AS4766@whois.ra.net [whois.radb.net]

mntner: MAINT-AS4766 descr: Maintainer for AS 4766 KORNET NOC Powered By Korea Telecom. Seoul Korea admin-c: Kwangsuk Cho tech-c: Won Kang tech-c: Junyoung Kwon upd-to: noc@kornet.net mnt-nfy: noc@kornet.net auth: MAIL-FROM kscho@streamwk.kix.net auth: MAIL-FROM pioneer@streamwk.kix.net auth: MAIL-FROM jyoungk@streamwk.kix.net auth: MAIL-FROM hongji@streamwk.kix.net auth: MAIL-FROM chiyh@soback.kornet.net remarks: KOREA Telecom IP Sevice Division notify: nets@soback.kornet.net mnt-by: MAINT-AS4766 changed: db-admin@radb.net 20010102 source: RADB [whchang@network ~]$ whois ASN-KOREA-TELECOM@whois.ra.net [whois.radb.net] mntner: ASN-KOREA-TELECOM descr: AS4766/KOREA-TELECOM admin-c: Kwangsuk Cho tech-c: Junyoung Kwon upd-to: kscho@streamwk.kix.net mnt-nfy: nets@soback.kornet.net auth: MAIL-FROM kscho@streamwk.kix.net auth: MAIL-FROM jyoungk@streamwk.kix.net auth: MAIL-FROM pioneer@streamwk.kix.net auth: MAIL-FROM hongji@streamwk.kix.net auth: MAIL-FROM chiyh@soback.kornet.net notify: nets@soback.kornet.net mnt-by: ASN-KOREA-TELECOM changed: kscho@streamwk.kix.net 20010102 source: CW

Looking-glass Looking-glass라는것은인터넷의라우팅정보나네트웍상태를정보를제공해주는서버를말합니다. 우리들은그것을웹브라우져를이용해접속해이용할수도있고 telnet 을이용해접속해이용할수도있습니다. Looking-glass를설명하는이유는인터넷의라우팅정보혹은네트웍상태를 ping, traceroute, whois server 그리고이들과 Looking-glass를이용하면보다정확하게파악하고이해할수있기때문입니다. Looking-glass는일반적으로다음과같은것들을기본적으로제공하는데필자가주로이용하는것은 bgp, ping, trace 입니다. bgp dampened-paths ping trace 그러나, 일반적인 Looking-glass는위와같은것들을일반적으로제공하지만, traceroute ( 혹은 trace), ping 중어느 1가지기능만을제공하는서버들도있습니다. 이것들은보통 traceroute 서버, ping 서버라고하는데필자는이런것들도 Looking-glass의범주에넣고이곳에서설명을하려고합니다. 그이유는그런서버들도내입장이아니라, 그서버가위치한곳의입장에서내가있는곳까지의네트웍상태나다른목적지까지의네트웍상태및기타정보를제공하는동일한역할을하기때문입니다. 다만 ping 서버, traceroute 서버에서는 bgp 라우팅정보를확인할수없습니다. Looking-glass 서버를이용하려면우선 Looking-glass 서버가어디에있는지알아야합니다. Looking-glass 서버에대한 URL을알아내는방법은웹검색엔진등에서검색을하는방법도있지만, Looking-glass 서버들의목록을정리해놓은서버를알아두면편리합니다. 그목록에는대부분국가별 /ISP별로정리가되어있습니다. 필자가권하는그러한목록을가진서버에대한 URL을다음의순서와같습니다. http://www.traceroute.org/ http://www.above.net/html/traceroute.html http://labcerro.addr.com/bw/ http://neptune.dti.ad.jp/ 특히 http://www.traceroute.org/ 는 traceroute 서버와 looking-glass 서버, route 서버에대한목록도함께제공하고있습니다. 따라서기억해두면좋습니다. 국내의 Looking-glass 서버 국내의 Looking-glass 서버는현재 (2001년1월기준 ) 많지않은상태입니다. 필자는그이유를 Looking-glass 서버에대한인식부족도하나의원인이지만,

더큰이유는인터넷서비스를제공하는사업자 (ISP) 가자기네트웍의상태를보여주길꺼려하기때문이라고생각을하고있습니다. Looking-glass를통해네트웍의중요정보는보여주지않는다고하더라도네트웍의상태를제3자가어느정도파악을할수있기때문에자기네트웍의상태에대해자신이없는 ISP는 Looking-glass를제공하려고하지않습니다. 그러나다행스럽게도국내 ISP에서큰축을이루고있는한국통신및데이콤은 Looking-glass 서버를제공하고있습니다. 2000년말까지만교육전산망 (KREN) 에서도 Looking-glass 서버를제공했습니다만, 현재제공되지않고있습니다. 한국통신 KORNET Looking-glass (http://kix.net/looking-glass/) 데이콤 BORANet Looking-glass (http://looking-glass.bora.net/) 해외의 Looking-glass 서버 Looking-glass의서버를이용할때자주이용하게되는서버는일반적으로중요 ISP의것이거나, 다른 ISP들과연결이많이되어있는기업의것입니다. 따라서중요 ISP의 Looking-glass나 IX에있는 Looking-glass 서버를알아두면좋습니다. 그리고주요국가별로 1개씩은기억해두는것이좋습니다. 기억해둘만한것들은다음과같은것들이있습니다. Abovenet (http://lg.above.net/) 미국및전세계주요 NAP에있는정보를볼수있음. Intermedia DIGEX (http://nitrous.digex.net/) 미국내중요 NAP에있는정보를제공. 국내많은네트워커들이이용하고있음. Oregon Exchange (telnet://route-views.oregon-ix.net) CERFNet (telnet://route-server.cerf.net) Genuity AS1 Route Monitor (telnet://ner-routes.bbnplanet.net) Exodus Communications (telnet://route-server.exodus.net) Exodus사에서제공하는것으로미국내정보를볼수있음. Exodus Communications (telnet://route-server-eu.exodus.net) Exodus사에서제공하는것으로유럽지역의정보를볼수있음. Global Crossing (telnet://route-server.gblx.net) EBONE (http://www.ebone.net/looking-glass/) 유럽의네트웍에대한정보를파악할수있음. Dream Train Internet (http://neptune.dti.ad.jp/ixp2-lg.html) 일본의네트웍에대한정보를파악할수있음. Looking-glass 를활용하는방법 Looking-glass 는다음과같은때활용할수있습니다. 되돌아오는경로 (return path) 를파악할때 경로의상태 (delay, error 등 ) 를파악할때 특정한 IP address에대한경로가차단되어있는지확인할때 최적경로 (best path) 가어떤것이선택되는지파악할때

자신의네트웍정보가 Looking-glass 서버를제공하는사업자까지전달되는지확인할때 어떤네트웍정보가 BGP에의해차단되어있는지파악할때 (dampened-paths) 되돌아오는경로파악 traceroute를설명할때 traceroute는목적지까지가는경로에대한정보를제공할뿐이지, 되돌아오는경로에대한정보를제공하지않는다고설명했었습니다. 특히인터넷에서여러 ISP들을거쳐가야만하는목적지인경우그런확률은더욱높습니다. 한가지예를들어설명해보도록하겠습니다. Source address 와 destination address 가아래와같은경우 Source address 210.207.9.166 (anyaba9-s10-1-2-c.rt.bora.net) Destiantion address 203.181.71.196 (neptune.dti.ad.jp) Source에서 destination 까지 traceroute를해보면나오는결과는다음과같습니다. router#trace neptune.dti.ad.jp Type escape sequence to abort. Tracing the route to neptune.dti.ad.jp (203.181.71.196) 1 anyaba9-s10-1-2.rt.bora.net (210.207.9.165) 8 msec 8 msec 4 msec 2 anybbb185-fe6-0-0.rt.bora.net (210.120.193.4) 8 msec 4 msec 4 msec 3 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 8 msec 4 msec 8 msec 4 ysng12bb1-pos8-0.rt.bora.net (210.120.192.113) 4 msec 4 msec 4 msec 5 210.120.192.4 8 msec 4 msec 8 msec 6 158.205.226.57 60 msec 60 msec 60 msec 7 FastEthernet9-1-0.tok2.idc.ad.jp (158.205.224.185) 64 msec 60 msec 60 msec 8 POS1-1.tokg1.idc.ad.jp (158.205.224.237) 60 msec 64 msec 60 msec 9 POS1-0-0.otm1.idc.ad.jp (158.205.224.78) 60 msec 64 msec 60 msec 10 DTI-main.DTI.idc.ad.jp (158.205.227.10) 144 msec 148 msec 148 msec 11 core1.otemachi.dti.ad.jp (203.181.69.1) 164 msec 168 msec 168 msec 12 atm-otemachi-gate-1.akasaka.dti.ad.jp (202.216.225.221) 152 msec 156 msec 148 msec 13 plan.akasaka.dti.ad.jp (210.170.128.27) 152 msec 148 msec 152 msec 14 neptune.dti.ad.jp (203.181.71.196) 148 msec 148 msec 152 msec router# 우리는결과에서데이콤보라넷을경유한후일본의 IDC를경유하고다음에 DTI 의네트웍을경유하여목적지인 neptune.dti.ad.jp까지도달하는것을볼수있습니다. 그런데한가지의문을가질수있는것은 RTT입니다. 일반적으로국내와일본간에통신을할때가는경로와되돌아오는경로가동일할경우 delay(rtt) 는 100msec 이내입니다. 그러나위결과에서는 150msec입니다. 만약 DTI 네트웍에서발생하는지연때문이라고생각할수있습니다만우리는그것즉, 되돌아오는경로를확인해보아야할필요가있습니다. 되돌아오는경로를파악하기위해서는목적지 (Destination address) 가있는네트웍에 Looking-glass가있어야합니다. 만약 Looking-glass가그곳에없다면목적지이전의 ISP ( 위에서는일본의 IDC) 의 Looking-glass에서확인을

간접적으로할수있습니다만정확하지는않습니다. 위의예에서도실제확인을해보면 DTI에서 source로되돌아오는경로와 IDC에서 source로되돌아오는경로는틀립니다. 따라서위예에서는반드시 DTI에있는 looking-glass를이용해야되돌아오는경로를정확히파악할수있습니다. 만약 DTI에 lookingglass가없다면 DTI에전화를걸어되돌아오는경로를파악할수밖에없습니다. <img src alt= dacom-idc-dti-abovenet 연결그림 > 그러나다행스럽게도 DTI에서는 Looking-glass를제공하므로그것을이용하면됩니다. DTI의 looking-glass 서버의 URL은 http://neptune.dti.ad.jp/ixp2-lg.html 입니다. 그곳에서 Query는 trace, address는 source인 210.207.9.166로지정을하고 Submit 버튼을누릅니다. 그러면잠시후결과과나오는데그결과는아래와같습니다. 한가지주의할점은아래결과가지금글을쓰고있는현재시점 (2001-1-27) 과독자가보는시점에서로다를수있다는것이며, 그이유는 DTI의 BGP 라우팅정책에의해 210.207.9.166로오는최적경로 (best path) 가변경될수있기때문입니다. DTI Looking Glass Results Query: trace Addr: 210.207.9.166 traceroute 210.207.9.166 Type escape sequence to abort. Tracing the route to anyaba9-s10-1-2-c.rt.bora.net (210.207.9.166) 1 above-dti.nrt.above.net (208.185.175.169) [AS 6461] 0 msec 0 msec 0 msec 2 sea1-nrt2-stm1.sea1.above.net (208.185.175.85) [AS 6461] 100 msec 84 msec 84 msec 3 core3-core1-oc48.sea1.above.net (208.185.175.182) [AS 6461] 84 msec 84 msec 88 msec 4 sjc2-sea1-oc48-2.sjc2.above.net (208.184.102.177) [AS 6461] 100 msec 100 msec 104 msec 5 pao1-sjc2-oc48-2.pao1.above.net (208.185.175.162) [AS 6461] 100 msec 104 msec 100 msec 6 core1-core2-oc48.pao1.above.net (208.185.175.141) [AS 6461] 104 msec 100 msec 104 msec 7 abovenet.paix.bora.net (209.133.31.36) [AS 6461] 100 msec 104 msec 104 msec 8 p4.bora.net (203.255.234.44) [AS 3786] 100 msec 100 msec 104 msec 9 gw1.bora.net (203.255.234.181) [AS 3786] 268 msec 268 msec 268 msec 10 ysng12bb1-ge2-0.rt.bora.net (210.120.192.131) [AS 3786] 244 msec ysng12bb1-ge3-0.rt.bora.net (210.120.192.1) [AS 3786] 248 msec 244 msec 11 anyg12bb1-pos8-0.rt.bora.net (210.120.192.114) [AS 3786] 248 msec anyg12bb2-pos8-0.rt.bora.net (210.120.192.118) [AS 3786] 248 msec anyg12bb1-pos8-0.rt.bora.net (210.120.192.114) [AS 3786] 244 msec 12 anybbb185-p1.rt.bora.net (210.120.193.137) [AS 3786] 248 msec 272 msec anybbb185-ge1-0-0.rt.bora.net (210.120.193.147) [AS 3786] 360 msec 13 anyaba9.rt.bora.net (210.120.193.9) [AS 3786] 248 msec 248 msec 248 msec 14 anyaba9-s10-1-2-c.rt.bora.net (210.207.9.166) [AS 3786] 252 msec * 252 msec 결과를보면 DTI에서는 source 210.207.9.166로올때미국의 Abovenet을거쳐데이콤보라넷을경유해오는것을알수있습니다. 국내와미국간 delay(rtt) 는 120msec에서 200msec 사이이며, 일본과미국간도마찬가지입니

다. 위결과를보고결론지을수있는것은 Source 210.207.9.166에서 Destination 203.181.71.196간에는비대칭 (Asymmetric Routing) 형태로경로가구성되며, source로되돌아올때미국을경유하므로 delay(rtt) 가 100msec 이상이발생한다는것입니다. 또한한가지더확정적으로유추할수있는것은 IDC에서 source 210.207.9.166로올때미국을경유하지않는다는사실입니다. 그이유는 source 210.207.9.166에서 IDC에있는임의의목적지 POS1-1.tokg1.idc.ad.jp (158.205.224.237) 에대해 RTT가 60msec 이며, 미국을경유한다면 100msec 이하의 delay (RTT) 는발생할수없기때문입니다. 비대칭형태로경로가설정되는또다른예는아래와같습니다. Source에서는 destination으로갈때데이콤보라넷을경유, 한국통신코넷을경유합니다. Destination에서 source로되돌아올때는데이콤보라넷을경유하지않습니다. Source address 210.182.173.129 Destination address 168.126.3.3(soback.kornet21.net) 아래결과는 Source 에서 destination 으로 traceroute 를한결과입니다. router#tr Protocol [ip]: Target IP address: soback.kornet21.net Source address: 210.182.173.129 Numeric display [n]: Timeout in seconds [3]: Probe count [3]: Minimum Time to Live [1]: Maximum Time to Live [30]: Port Number [33434]: Loose, Strict, Record, Timestamp, Verbose[none]: Type escape sequence to abort. Tracing the route to soback.kornet21.net (168.126.3.3) 1 anyaba9-s10-1-2.rt.bora.net (210.207.9.165) 4 msec 8 msec 8 msec 2 anybbb185-fe6-0-0.rt.bora.net (210.120.193.4) 4 msec 8 msec 8 msec 3 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 4 msec 4 msec 8 msec 4 ysng12bb1-pos8-0.rt.bora.net (210.120.192.113) 8 msec 4 msec 8 msec 5 ysng12kix4-ge5-0.rt.bora.net (210.120.248.23) 4 msec 4 msec 8 msec 6 128.134.40.137 276 msec 268 msec 264 msec 7 sv1-ge6.kornet.net (211.217.32.201) 252 msec 260 msec 260 msec 8 soback.kornet21.net (168.126.3.3) 244 msec * 260 msec router# 아래결과는 Destination 이있는네트웍의 Looking-glass 서버인 http://streamwk.kix.net/looking-glass/ 에서 traceroute 를한결과입니다. KORNET Looking Glass Results Query: trace Addr: 210.182.173.129

Type escape sequence to abort. Tracing the route to 210.182.173.129 1 hh-c2-ge1.kornet.net (211.192.46.2) [AS 170] 0 msec hh-c2-ge2.kornet.net (211.192.46.132) [AS 170] 0 msec hh-c2-ge1.kornet.net (211.192.46.2) [AS 170] 0 msec 2 youngdong1-center2-2500m.kornet.net (168.126.109.6) [AS 170] 0 msec 211.196.155.6 [AS 110] 4 msec youngdong1-center2-2500m.kornet.net (168.126.109.6) [AS 170] 0 msec 3 168.126.0.41 [AS 140] 0 msec 0 msec 0 msec 4 210.182.173.190 [AS 10054] 4 msec 4 msec 4 msec 5 210.182.173.129 [AS 10054] 200 msec * 432 msec 경로의상태 (delay, error 등 ) 를파악할때 source 210.182.173.129에서 soback.kornet.net으로가는경로가보라넷을거쳐코넷으로가고코넷에서는직접되돌아오는것을위에서보았습니다. 그런데보라넷에서경유되는지점들까지의 delay (RTT) 는 10msec 이내로양호한데코넷에서경유되는지점들까지의 delay(rtt) 가 100msec 이상으로상대적으로매우높은것을볼수있습니다. 이때일반인들이코넷에문제가있다고쉽게결론을짓는데그것은틀린결론입니다. 그결론이틀리다는것은코넷 looking-glass에서 source 210.182.173.129로 traceroute를했을때코넷과 source 210.182.173.129가있는네트웍을연결하는지점 (210.182.173.190) 까지의 delay(rtt) 가 4msec 으로양호하기때문입니다. 현재까지의정보로결론지을수있는것은 source와한국통신코넷간, source 와데이콤보라넷간에는상태가양호하다는사실입니다. 따라서조금더살펴보아야할사항은한국통신코넷과데이콤보라넷사이의상태입니다. router#tr Protocol [ip]: Target IP address: soback.kornet21.net Source address: 210.182.173.129 Numeric display [n]: Timeout in seconds [3]: Probe count [3]: Minimum Time to Live [1]: Maximum Time to Live [30]: Port Number [33434]: Loose, Strict, Record, Timestamp, Verbose[none]: Type escape sequence to abort. Tracing the route to soback.kornet21.net (168.126.3.3) 1 anyaba9-s10-1-2.rt.bora.net (210.207.9.165) 4 msec 8 msec 8 msec 2 anybbb185-fe6-0-0.rt.bora.net (210.120.193.4) 4 msec 8 msec 8 msec 3 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 4 msec 4 msec 8 msec 4 ysng12bb1-pos8-0.rt.bora.net (210.120.192.113) 8 msec 4 msec 8 msec 5 ysng12kix4-ge5-0.rt.bora.net (210.120.248.23) 4 msec 4 msec 8 msec 6 128.134.40.137 276 msec 268 msec 264 msec 7 sv1-ge6.kornet.net (211.217.32.201) 252 msec 260 msec 260 msec 8 soback.kornet21.net (168.126.3.3) 244 msec * 260 msec router#

KORNET Looking Glass Results Query: trace Addr: 210.182.173.129 Type escape sequence to abort. Tracing the route to 210.182.173.129 1 hh-c2-ge1.kornet.net (211.192.46.2) [AS 170] 0 msec hh-c2-ge2.kornet.net (211.192.46.132) [AS 170] 0 msec hh-c2-ge1.kornet.net (211.192.46.2) [AS 170] 0 msec 2 youngdong1-center2-2500m.kornet.net (168.126.109.6) [AS 170] 0 msec 211.196.155.6 [AS 110] 4 msec youngdong1-center2-2500m.kornet.net (168.126.109.6) [AS 170] 0 msec 3 168.126.0.41 [AS 140] 0 msec 0 msec 0 msec 4 210.182.173.190 [AS 10054] 4 msec 4 msec 4 msec 5 210.182.173.129 [AS 10054] 200 msec * 432 msec 한국통신코넷과데이콤보라넷간의상태를파악할수있는방법은두 ISP에있는 Looking-glass를활용하여상대 ISP에있는시스템을대상으로 ping 혹은 traceroute를해보는것입니다. 아래결과는한국통신코넷에서데이콤보라넷에있는웹서버 www.bora.net에대해 traceroute를해본것입니다. KORNET Looking Glass Results Query: trace Addr: www.bora.net Translating "www.bora.net"...domain server (168.126.63.1) [OK] Type escape sequence to abort. Tracing the route to www.bora.net (164.124.107.17) 1 hh-k4-ge2.kornet.net (211.192.46.144) [AS 170] 0 msec hh-k4-ge1.kornet.net (211.192.46.14) [AS 170] 0 msec hh-k4-ge2.kornet.net (211.192.46.144) [AS 170] 0 msec 2 128.134.40.74 [AS 110] 4 msec 0 msec 0 msec 3 kidcg5-ge6-0.rt.bora.net (210.92.194.41) [AS 3786] 0 msec 4 msec 0 msec 4 idcg12bb1-ge8-0.rt.bora.net (210.92.194.213) [AS 3786] 164 msec 236 msec 168 msec 5 ysng12bb2-pos9-0.rt.bora.net (210.120.192.197) [AS 3786] 228 msec 164 msec 224 msec 6 ysnbbb245-ge4-0-0.rt.bora.net (210.120.248.152) [AS 3786] 228 msec ysnbbb241-p1.rt.bora.net (210.120.248.151) [AS 3786] 212 msec ysnbbb245-ge4-0-0.rt.bora.net (210.120.248.152) [AS 3786] 212 msec 7 ysnaba4.rt.bora.net (210.120.246.4) [AS 3786] 220 msec ysnaba4-fe4-1-0.rt.bora.net (210.120.246.24) [AS 3786] 172 msec ysnaba4.rt.bora.net (210.120.246.4) [AS 3786] 232 msec 8 203.248.246.85 [AS 3786] 232 msec 196 msec 220 msec 9 www.bora.net (164.124.107.17) [AS 3786] 224 msec * * 결과를보면 idcg12bb1-ge8-0.rt.bora.net (210.92.194.213) 에서갑자가 delay (RTT) 가증가하는것을볼수있는데이결과만을보고 idcg12bb1-ge8-0.rt.bora.net (210.92.194.213) 에문제가있다고판단을하면안됩니다. 위결과는코넷 Looking-glass 입장에서의 delay(rtt) 이므로되돌아오는경로 (traceroute 에서는볼수없음 ) 에서 delay(rtt) 때문에위와같은결과가나올수있습니다. 즉 kidcg5-ge6-0.rt.bora.net (210.92.194.41) 에서코넷 looking-glass로되돌아가는경로와 idcg12bb1-ge8-0.rt.bora.net (210.92.194.213) 에서코넷 looking-

glass로되돌아가는경로가틀릴수있기때문입니다 ( 현재시점 (2001-1-27) 에실제로되돌아가는경로가틀립니다 ). 따라서위정보만으로결론을내릴수있는것은한국통신코넷과데이콤보라넷간에연결된많은회선중에어딘가에병목현상 (bottleneck) 이있다는것뿐입니다. 그러나 128.134.40.74와 kidcg5-ge6-0.rt.bora.net (210.92.194.41) 사이의병목은아니라는것은짐작할수있습니다. 이제마지막으로보라넷의 Looking-glass에서코넷에있는서버 soback.kornet21.net 에 traceroute를시도해원인을추측해볼차례입니다. Traceroute 결과는아래와같습니다. BORANET Looking Glass Results Query: trace Addr: soback.kornet21.net Type escape sequence to abort. Tracing the route to soback.kornet21.net (168.126.3.3) 1 ysnbbb245-fe5-1-0.rt.bora.net (210.120.246.18) 0 msec ysnbbb245-fe5-0-0.rt.bora.net (210.120.246.13) 0 msec ysnbbb241-fe1-0-0.rt.bora.net (210.120.246.17) 4 msec 2 ysng12bb2-ge4-0.rt.bora.net (210.120.248.150) 0 msec 0 msec 0 msec 3 ysng12kix4-ge5-0.rt.bora.net (210.120.248.23) 0 msec ysng12kix4-ge3-0.rt.bora.net (210.120.192.85) 4 msec ysng12kix4-ge5-0.rt.bora.net (210.120.248.23) 0 msec 4 128.134.40.197 [AS 4766] 284 msec 260 msec 248 msec 5 sv1-ge1.kornet.net (211.192.46.71) [AS 4766] 252 msec sv2-ge5.kornet.net (211.217.32.72) [AS 4766] 256 msec sv1-ge1.kornet.net (211.192.46.71) [AS 4766] 276 msec 6 soback.kornet21.net (168.126.3.3) [AS 4766] 284 msec * 288 msec 위결과를보면보라넷과코넷을연결하는구간 128.134.40.197에서갑자기 delay가증가합니다. 위결과와앞에서얻은결과들을종합하여다음과같은결론을내릴수있습니다. 한국통신코넷내부와데이콤보라넷내부에서는병목구간이없다고가정한다. 대개사업자내부에서병목현상이발생하는경우는매우적다. 그리고한국통신코넷과데이콤보라넷을연결하는구간에여러개의회선이있다. 그런데 traceroute 결과나타나는 2개의회선 (128.134.40.74과 128.134.40.197) 중에서 128.134.40.74에는병목현상이없다는것을코넷에서 www.bora.net으로 traceroute 했을때알았다. 따라서 128.134.40.197 와관계된회선에병목현상이있을가능성이높다. 위와같은결론을내리고데이콤보라넷에서라우팅과관계된사람과통화를하여위결론이맞다는것을확인하였습니다. 특정한 IP address에대한경로가차단되어있는지확인할때전세계적으로스팸메일을중계하는메일서버에대해서는 ISP들이그메일서버에대한경로를차단하는것이일반적입니다. 그리고그러한경로차단은 ISP간에협력을통해조직적으로이루어지고있으며, 그중심역할을담당하는것이 MAPS

(mail abuse prevention system) 입니다. MAPS는스패메일을발송하거나중계하는메일서버들을등록해관리하고있으며, ISP들은그정보를참조하여스팸메일을발송하는메일계정, 메일서버들에대한서비스를차단하고있습니다. [ 참고 ] MAPS 에대한정보는 http://mail-abuse.org/ 에서얻을수있습니다. 스팸메일중계서버와관계된내용은 http://mail-abuse.org/rbl+/ 에서얻을수있습니다. 국내에서는데이콤보라넷에서스팸메일중계서버에대해서비스를차단하고있는데, 그이유는다음과같습니다. 첫번째, 스팸메일중계서버에대해서비스를차단하는것이일반화되어가고있고, ISP가그런중심적인역할을하여야하기때문입니다. 두번째, ISP가관리하는 IP address 영역에포함되는고객의스팸메일중계서버로인해스팸메일이많이발송될경우해당 ISP가다른 ISP로부터비난을받기때문입니다. 세번째, 스팸메일중계서버는다른 ISP에서서비스가차단될수있는데그런서버가다른 ISP에의해서차단되기이전에해당 ISP가먼저서비스차단을하여, 스팸메일중계기능을차단하도록압력을주기위해서입니다. 네번째, 다른 ISP에의해서고객의서버에대한서비스가차단될경우그것을해제하게끔하는것이매우번거롭기때문에, 해당 ISP 자신이먼저그서버에대한서비스차단을하여다른 ISP에의해차단되는것을방지하고, 스팸메일중계기능이차단될경우서비스차단조치를즉시해제해주기위해서입니다. 스팸메일중계서버에대한서비스차단조치는메일서비스만차단하는것이아니라일반적으로모든통신서비스를이용할수없게하며, 그방법은다양하겠지만일반적으로 ip route null0 (cisco IOS 기준 ) 를이용합니다. 따라서스팸메일중계로인해어떤 ISP에의해통신이차단되는서버는그 ISP를경유한통신서비스가이루어지지않습니다. 이런경우그것을확인하는방법은그 ISP의담당자에게전화를걸어서확인하거나아니면그 ISP 네트웍에있는 Looking-glass에서 trace를이용해확인하는방법이있습니다. 데이콤보라넷에의해차단된스팸중계메일서버는다음과같이확인할수있습니다. 데이콤보라넷의 Looking-glass에접속을한후 Qeury는 trace, address는통신이되지않는서버의 IP address를입력한후 Submit 버튼을누릅니다. 일례로아래첫번째결과는통신이차단된 211.171.255.25에대해서 trace를한것이며, 그결과를보면보라넷의어떠한조치에의해목적지까지정상적으로도달하지못하고특정한곳에서 Loop현상이발생하는것을볼수있습니다. 그러나아래두번째결과는통신이차단되지않은 211.171.255.26에대해서 trace를한것인데목적지까지정상적으로도달하는것을볼수있습니다.

http://looking-glass.bora.net/ Query: trace Addr: 211.171.255.25 Type escape sequence to abort. Tracing the route to 211.171.255.25 1 ysnbbb241-fe5-0-0.rt.bora.net (210.120.246.12) 0 msec ysnbbb241-fe1-0-0.rt.bora.net (210.120.246.17) 0 msec ysnbbb245-fe5-0-0.rt.bora.net (210.120.246.13) 4 msec 2 ysng12bb2-ge4-0.rt.bora.net (210.120.248.150) 0 msec 0 msec 0 msec 3 anyg12bb2-pos8-0.rt.bora.net (210.120.192.118) 4 msec 4 msec 0 msec 4 210.120.193.158 0 msec 4 msec 0 msec 5 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 0 msec 0 msec 4 msec 6 210.120.193.129 0 msec 0 msec 4 msec 7 203.248.246.5 0 msec 4 msec 0 msec 8 203.248.246.3 4 msec 4 msec 0 msec 9 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 4 msec 0 msec 4 msec 10 210.120.193.129 0 msec 0 msec 4 msec 11 203.248.246.5 0 msec 0 msec 4 msec 12 203.248.246.3 0 msec 0 msec 4 msec 13 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 0 msec 0 msec 0 msec 14 210.120.193.129 4 msec 4 msec 0 msec 15 203.248.246.5 4 msec 0 msec 4 msec 16 203.248.246.3 4 msec 4 msec 4 msec 17 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 0 msec 4 msec 4 msec 18 210.120.193.129 0 msec 0 msec 0 msec 19 * 203.248.246.5 0 msec 0 msec 20 203.248.246.3 4 msec 4 msec 0 msec 21 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 4 msec 4 msec 0 msec 22 210.120.193.129 4 msec 0 msec 4 msec 23 203.248.246.5 0 msec 4 msec 0 msec 24 203.248.246.3 4 msec 0 msec 4 msec 25 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 0 msec 4 msec 0 msec 26 210.120.193.129 0 msec 0 msec 4 msec 27 * 203.248.246.5 0 msec 4 msec 28 203.248.246.3 0 msec 4 msec 0 msec 29 anyg12bb1-ge2-0.rt.bora.net (210.120.193.135) 4 msec 4 msec 4 msec 30 210.120.193.129 0 msec 4 msec 0 msec http://looking-glass.bora.net/ Query: trace Addr: 211.171.255.26 Type escape sequence to abort. Tracing the route to 211.171.255.26 1 ysnbbb245-fe5-0-0.rt.bora.net (210.120.246.13) 0 msec ysnbbb245-fe5-1-0.rt.bora.net (210.120.246.18) 0 msec ysnbbb241-fe5-0-0.rt.bora.net (210.120.246.12) 4 msec 2 ysng12bb2-ge4-0.rt.bora.net (210.120.248.150) 0 msec 0 msec 4 msec 3 idcg12bb1-pos1-0.rt.bora.net (210.120.192.198) 0 msec 0 msec 0 msec

4 kidcg6-ge8-0.rt.bora.net (210.92.194.238) 0 msec 0 msec 0 msec 5 211.169.248.254 0 msec 0 msec 0 msec 6 211.169.248.194 0 msec 0 msec 4 msec 7 211.171.255.26 0 msec 0 msec 4 msec 한가지유의할사항은 211.171.255.25가다른 ISP로가는경로가있다면데이콤보라넷에의해통신이차단되어있다고하더라도 211.171.255.25는다른 ISP들을경유하여통신을할수있다는사실입니다. 다만데이콤보라넷을경유한통신만이차단될뿐입니다. 그러나다른 ISP로가는경로가데이콤보라넷이외에다른것이없다면실질적으로모든서비스가차단됩니다. 최적경로 (best path) 가어떤것이선택되는지파악할때 한국증권전산같은경우에는한국통신코넷과데이콤보라넷에모두연결되어있으며, 이들로부터국내및해외라우팅서비스를동시에제공받고있습니다. 이런상황에서 한국증권전산의통신회선이용량이한국통신코넷과연결된회선에편중되며, 그원인이해외에서전달되어오는트래픽때문이라고가정해봅시다. 이경우해외에서발생된트래픽이한국통신코넷과데이콤보라넷중어느쪽으로편중되어전달되는지알아볼필요가있습니다. 이경우그이유를해외 ISP에있는 Looking-glass를보고어느정도확인할수있습니다. 여기에서는 Oregon Exchange의 Looking-glass를이용해확인해보도록하겠으며, Oregon Exchange Looking-glass를선택한이유는이곳이다른 Looking-glass들보다한국통신코넷과데이콤보라넷과관계되어최적경로를선택할때중립적인위치라고할수있기때문입니다. Oregon Exchange Looking-glass 서버에접속하여정보를조회하면아래와같은결과를얻습니다. 결과에서중요하지않은것들은삭제하였습니다. 그리고정보조회명령어는 BGP as-path 조회 부분에서상세하게다루며, 여기에서는간단하게설명하도록하겠습니다. route-views.oregon-ix.net>sh ip bgp regexp (3786_ 4766_)+9526$ BGP table version is 13408373, local router ID is 198.32.162.100 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * 128.134.148.0/24 205.158.2.126 0 2828 209 4766 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 128.134.149.0/24 205.158.2.126 0 2828 209 4766 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 128.134.150.0/24 205.158.2.126 0 2828 209 4766 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 210.108.26.0 205.158.2.126 0 2828 3786 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 210.108.27.0 205.158.2.126 0 2828 3786 9526 i * 203.62.248.4 0 1221 3786 9526 i * 157.22.9.7 0 715 3786 9526 i * 204.70.4.89 0 3561 4766 9526 i * 203.62.252.21 0 1221 3786 9526 i

* 207.45.223.244 0 6453 4766 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 210.108.137.0 205.158.2.126 0 2828 3786 9526 i * 157.22.9.7 0 715 3786 9526 i * 204.70.4.89 0 3561 4766 9526 i * 203.62.252.21 0 1221 3786 9526 i * 207.45.223.244 0 6453 4766 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 210.123.14.0 193.140.0.1 * 203.62.248.4 0 1221 3786 9526 i * 157.22.9.7 0 715 3786 9526 i * 207.45.223.244 0 6453 4766 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i * 211.169.225.0 205.158.2.126 0 2828 3786 9526 i * 203.62.248.4 0 1221 3786 9526 i * 157.22.9.7 0 715 3786 9526 i * 203.62.252.21 0 1221 3786 9526 i * 207.45.223.244 0 6453 3786 9526 i *> 144.228.241.81 6 0 1239 4766 9526 i 한국증권전산의 BGP AS번호는 9526이며, 한국통신코넷의 AS번호는 4766, 데이콤보라넷의 AS번호는 3786입니다. 따라서 Oregon Exchange Lookingglass에서는다음곽같은의미로정보를조회하였습니다. sh ip bgp regexp AS path 정보를가지고정보를조회하겠다는뜻입니다. (3786_ 4766_)+ AS path 중간에 3786이나 4766이 1번이상나타나는것을조회하겠다는뜻입니다. 즉 9526에포함되네트웍정보가 3786 혹은 4766을경유해서전달된것을조회합니다. 9526$ AS path 가 9526으로끝이나는경우를조회하겠다는뜻입니다. 즉, 한국증권전산에포함된네트웍정보를조회하게됩니다. 즉위조회명령어는 한국증권전산에서발생된네트웍정보중한국통신코넷이나데이콤보라넷을경유해서전달되는것들을보여달라 라는뜻입니다. 위조회결과를해석하는방법에대해설명하겠습니다. 주의해서봐야할 Column은 Network, Next-hop, Path, 그리고 Network앞에표시되는 * 및 > 입니다. 한국증권전산의 AS번호 9526에서전달되어오는 Network 정보는 128.134.148.0/24 128.134.149.0/24 128.134.150.0/24 210.108.26.0 210.108.27.0 210.108.137.0

210.123.14.0 211.169.225.0 들입니다. 128.134.148.0/24에대한정보는 2개의경로가있으며, 첫번째것은 Next-hop이 205.158.2.126, AS-path (2828 209 4766 9526) 이며, 두번째것은 Next-hop이 144.228.241.81, AS-path (1239 4766 9526) 입니다. 첫번째것에대한해석은 네트웍정보 128.134.148.0/24는 AS번호 9526 을가진기관에서발생하였으며, AS번호 4766을가진기업 /ISP, AS번호 209를가진기업 /ISP, AS번호 2828을가진기업 /ISP를차례대로경유하여전달되어왔으며 (AS번호 4개를경유해왔으며, 이것을 AS-path 길이가 4라고표현함 ), 이경로가최적경로로선택이될경우 packet을 Next-hop 205.158.2.126으로전달한다 라고할수있습니다. 두번째것에대한해석도동일하며, 차이는두번째것에서는해당정보가 AS번호 3개를경유 (AS-path 길이가 3) 해왔다는사실입니다. BGP 라우팅정보를가지고최적의경로를선택할때, 특별한설정이없는한 ASpath 길이가짧은것이최적경로로선택됩니다. 만약 AS-path 길이가동일하면 Metric 및위에표시되지않은 BGP Router-ID에의해선택됩니다. 위예에서는 128.134.148.0/24에대해 AS-path 길이가 4보다작은 3을가진 Nexthop 144.228.241.81이최적경로로선택됩니다. 그리고최적경로는 *> 가 Network 앞에표시됩니다. 따라서위조회결과를보면 한국증권전산의모든네트웍에대해 Oregon Exchange에서는최적의경로를데이콤보라넷 (3786) 을경유하는것보다한국통신코넷 (4766) 을경유한것들을선택하고있습니다. 따라서해외에서 한국증권전산으로전달되어오는트래픽이한국통신코넷회선으로주로집중되는현상이발생하는것이라고판단할수있습니다. 그리고이러한현상은 BGP 라우팅정보를조절하여트래픽이편중되어전달되어오는것을어느정도해소될수있습니다. 여기에서한가지주의할점은 Oregon Exchange에서만라우팅정보를살펴볼것이아니라다른중요한 Looking-glass에서도조회해야보다정확한상황을파악할수있으므로위결과만으로쉽게결론을지어서는안된다는사실입니다. [ 참고 ] BGP 라우팅에서최적경로선택방법, 라우팅정보조절을통한트래픽조절, BGP 라우팅정보조회방법등에대해서는 BGP 라우팅및 BGP 라우팅에서의트래픽조절 에서상세하게다루도록하겠습니다. 자신의네트웍정보가 Looking-glass 서버를제공하는사업자까지전달되는지확인할때 Looking-glass에서는 network address를입력해그것에대한결과가출력되는지확인할수있습니다. 만약결과가출력되지않으면그 looking-glass 서버까지그 network address 정보가전달되지않는다는뜻이며, 출력결과가나올경우그 network address 정보가전달된다는뜻입니다. 아래는 3곳의 looking-glass에서 210.182.173.128 에대해차례대로조회한결과입니다. route-views.oregon-ix.net 에서는 210.182.173.128에대한 next-hop이 2개 (203.62.248.4, 203.62.252.21 ) 이며, 최적경로 (best) 는

203.62.252.21이선택되었다는것을알수있습니다. 그것에대한 AS-path는 1221 3786 10054입니다. at telnet://route-views.oregon-ix.net ------------------------------------- route-views.oregon-ix.net>sh ip bgp 210.182.173.128 BGP routing table entry for 210.182.173.128/26, version 11245544 Paths: (2 available, best #2) Not advertised to any peer 1221 3786 10054 203.62.248.4 from 203.62.248.4 (203.62.248.4) Origin IGP, localpref 100, valid, external 1221 3786 10054 203.62.252.21 from 203.62.252.21 (203.62.252.21) Origin IGP, localpref 100, valid, external, best neptune.dti.ad.jp/ixp2-lg.html 에서는 210.182.173.128에대한 nexthop이 1개 (203.181.70.236) 이며, 최적경로 (best) 는 203.181.70.236 이선택되었다는것을알수있습니다. 그것에대한 AS-path는 4694 3786 10054입니다. at http://neptune.dti.ad.jp/ixp2-lg.html ---------------------------------------- Query: bgp Addr: 210.182.173.128 show ip bgp 210.182.173.128 BGP routing table entry for 210.182.173.128/26, version 19704750 Paths: (1 available, best #1) Not advertised to any peer 4694 3786 10054 203.181.70.236 (metric 1) from 203.181.70.236 (203.181.70.236) Origin IGP, localpref 200, valid, internal, best ner-routes.bbnplanet.net 에서는 210.182.173.128에대한정보는나오지않고, 210.182.173.128에대한 supernet 210.182.0.0/16에대한정보만출력이됩니다. 그리고 210.182.173.128이 AS 10054에서발생되었다는정보도나타나지않고있습니다. 즉이조회결과는 210.182.173.128에대한정보가 ner-routes.bbnplanet.net까지는전달되지않았다는것을말해주고있습니다. at telnet://ner-routes.bbnplanet.net ------------------------------------ ner-routes>sh ip bgp 210.182.173.128 BGP routing table entry for 210.182.0.0/16, version 0 Paths: (1 available, best #1) 2828 3786 4.24.146.14 from 4.0.4.20 (4.24.0.106) Origin IGP, metric 1000, localpref 50, valid, internal, best Community: 1:666 Originator : 4.24.0.106, Cluster list: 4.0.4.20 그러나 ner-routes.bbnplanet.net 에서 210.182.173.128/26 에포함되는

host 210.182.173.129에대해접근가능합니다. 그이유는 supernet 정보에따라데이콤보라넷 (AS 3786) 까지 packet이전달되고, 데이콤보라넷에서는 210.182.173.128/26에대한정보가있기때문에최종적으로 host 210.182.173.129까지 packet이전달되기때문입니다. at telnet://ner-routes.bbnplanet.net ------------------------------------ ner-routes>ping 210.182.173.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 210.182.173.129, timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 212/212/216 ms ner-routes>trace 210.182.173.129 Type escape sequence to abort. Tracing the route to 210.182.173.129 1 e0-1-5.burlma1-ops1.bbnplanet.net (4.2.34.162) 4 msec 4 msec 0 msec 2 s7-0-4.bstnma1-cr7.bbnplanet.net (4.0.3.181) 0 msec 4 msec 0 msec 3 p5-0.bstnma1-ba2.bbnplanet.net (4.24.4.225) 4 msec 0 msec 0 msec 4 p7-0.bstnma1-br2.bbnplanet.net (4.24.7.121) 0 msec 4 msec 4 msec 5 p2-0.bstnma1-br1.bbnplanet.net (4.24.7.113) 0 msec 0 msec 0 msec 6 p3-0.chcgil2-cr11.bbnplanet.net (4.24.6.85) 24 msec 24 msec 28 msec 7 so-3-1-0.chcgil2-br1.bbnplanet.net (4.24.6.21) 24 msec 24 msec 24 msec 8 p6-0.chcgil1-br1.bbnplanet.net (4.24.9.70) 24 msec 24 msec 20 msec 9 aads-atm-gtei.concentric.net (4.24.146.14) 24 msec 24 msec 24 msec 10 a1-0-0d7.core2.scl-ca.us.xo.com (207.88.0.189) 80 msec 80 msec 84 msec 11 ge9-0.tran1.scl-ca.us.xo.com (64.220.0.49) 80 msec 84 msec 84 msec 12 p0-0.tran1.pal-ca.us.xo.com (64.0.0.2) 84 msec 88 msec 84 msec 13 ge0-0.dist1.pal-ca.us.xo.com (64.220.0.19) 84 msec 84 msec 84 msec 14 ge2-0.access1.pal-ca.us.xo.com (64.220.2.20) 84 msec 84 msec 84 msec 15 207.88.240.102 88 msec 88 msec 84 msec 16 p5.bora.net (203.255.234.55) 84 msec 84 msec 84 msec 17 p4.bora.net (203.255.234.44) 84 msec 84 msec 203.255.234.197 228 msec 18 ysng12bb2-ge2-0.rt.bora.net (210.120.192.132) 228 msec p5.bora.net (203.255.234.55) 84 msec ysng12bb2-ge3-0.rt.bora.net (210.120.192.2) 208 msec 19 203.255.234.197 228 msec 228 msec p4.bora.net (203.255.234.44) 84 msec 20 ysng12bb2-ge3-0.rt.bora.net (210.120.192.2) 208 msec anybbb181-ge1-0-0.rt.bora.net (210.120.193.136) 208 msec 208 msec 21 anyaba9.rt.bora.net (210.120.193.9) 208 msec 208 msec anyg12bb2-pos8-0.rt.bora.net (210.120.192.118) 212 msec 22 anybbb181-p1.rt.bora.net (210.120.193.146) 232 msec anyaba9-s10-1-2-c.rt.bora.net (210.207.9.166) 212 msec anybbb181-ge1-0-0.rt.bora.net (210.120.193.136) 208 msec ner-routes> at http://looking-glass.bora.net/ ----------------------------------- Query: bgp

Addr: 210.182.173.128 BGP routing table entry for 210.182.173.128/26, version 643361 Paths: (2 available, best #1, advertised over EBGP) 10054 172.30.34.9 (metric 241) from 172.30.2.71 (210.120.193.177) Origin IGP, metric 0, localpref 100, valid, internal, best Community: 3786:11 Originator: 210.120.193.177, Cluster list: 0.0.0.20, 0.0.0.3, 0.0.0.10, 0.0.0.30 10054 172.30.34.9 (metric 241) from 172.30.2.72 (210.120.193.177) Origin IGP, metric 0, localpref 100, valid, internal Community: 3786:11 Originator: 210.120.193.177, Cluster list: 0.0.0.20, 0.0.0.3, 0.0.0.10, 0.0.0.30 [ 참고 ] looking-glass에서사용할수있는명령어가모두허용되어있는경우가제한되어있는경우가있습니다. 어떤 looking-glass 에서는 sh ip bgp regexp 가지원되는반면그렇지않은곳도있으며, 단지 sh ip bgp net.net.net.net 만지원되는경우도있습니다.