더욱 교묘해진 공유기 감지법
이 글이나 이 글에서와 같이, 이미 대형 인터넷 ISP에서는 개인의 사설 공유기 사용을 탐지하고 있습니다.
탐지 결과 공유기에 PC가 어느 정도 이상 물려 있다면 한대에는 임의로 접속을 차단(이라기보다는 웹 페이지 임의 리다이렉트)를 시켜 버리죠.
한동안은 자바 애플릿을 사용하여 인터넷 익스플로러가 아니라면 뜨지도, 볼 필요도 없던 화면이, 최근에는 크롬 등 최신 브라우저에서도 뜹니다. 뭔가 방법이 바뀌었겠죠? 분석해 봅시다.
일단 네이버 등의 사이트를 접속합니다. 다만 분석이 가능하도록 소스보기(크롬에서 컨트롤+U를 통해 접근 가능)로 봅시다.
여러번 새로고침 하다 보면
이렇게 확실히 네이버 소스코드와는 다른 엉뚱한 코드를 출력합니다. ISP에서 네이버 소스 코드 대신 추적 코드를 보낸 것이죠.
중간의 프레임 코드가 추적 코드인것 같으니 접속해 봅시다.(그냥 클릭하면 바로 네이버로 넘어가 버리니 링크를 복사해서 주소창 네이버 주소랑 바꿔치기로 바로 코드만 봅니다)
플래시 코드가 보이시나요? 해당 플래시 파일을 디컴파일해보면 스크립트로 g 함수와 n 함수가 있으며,
이렇게 자바스크립트로 플래시의 함수를 호출하여 특정 값을 가져오는것을 확인할 수 있습니다.
그리고 bk2.js라는 파일을 추가로 가져와서 이 가져온 값을 서버로 보내는 것을 확인할 수 있습니다. 이후 서버 전송결과가 이상하면(보나마나 공유기 감지시겠죠) 특정 주소(네. 그 공유기 차단 화면 맞습니다)로 주소를 바꿔 버립니다. 결국 사용자는 원하는 페이지 대신 공유기 차단 화면을 보겠죠.
이상으로 공유기 감지 원리와 작동 방식에 대해 간단히 알아봤습니다. 아무리 공유기 사용이 약관 위반이라지만 사용자 페이지를 바꾸고 패킷을 감시해가며 차단해야 하는 것인지는 의문이네요.
이 포스트의 모든 소스코드 및 동작 방식은 각 저작권자에게 저작권이 있음을 알립니다.
