좀비PC가 쉽게 추적 가능한 이유.

최근 Ddos공격이 이슈가 되면서
좀비PC에 관해서도 관심이 많다.

그런데 이 좀비PC들은 속속히 위치가 추적되어 치료되기 일쑤이다.

물론 단순히 IP추적하면 되잖아? 이러면 할말 없지만,

사실 고급 네트워크 프로그래밍에

프로그래머가 하위 레이어에 있는 헤더들도 편집 할수 있는 기술이 있다.

raw_socket이라는 것인데 이를 통해서 원래 IP윗단의
TCP부터 소켓을 쓰는 일반적인 소켓 사용방법과 달리

데이터링크(Layer 2)의 헤더까지 건드릴 수 있다.
즉 이 말은 출발지 IP와 목적지 IP 기타 정보들이 변조 가능하다는 말이다.

그런데 어째서 추적이 가능한 것일까?

이것은 마이크로소프트사의 보안정책에 있다.
마이크로소프트사는 Ddos가 처음 등장한 이후 이것이 악용될 가능성이 충분하다고 생각하고
raw_socket에 대한 지원을 windows XP 서비스팩 2부터 지원하지 않기로 결정했다.

즉 프로그래머가 IP헤더 이하를 건드리는 프로그래밍이 원천적으로 봉쇄되는 것이다.(windows 기반하에서...)
때문에 XP 서비스팩 2이상에서 돌아가는 좀비 프로그램들은 자신의 IP를 변조하지 못하는 프로그램 일 수 밖에 없고,
쉽게 추적 가능한 것 이다.

요즘 테스트 하는 것이 있는데 윈도우 기반에서 테스트툴을 한번 만들어 볼까 하다가
흥미로운 사실을 알게 되어 한번 포스트 해봤다