인터넷이 느려졌어요!
악성코드에 감염되었다면 인터넷도 느려집니다. 다른 컴퓨터로 악성코드를 퍼뜨리기 위해서 인터넷 자원을 사용하기 때문입니다.
악성코드에 감염되어 인터넷이 느려졌는지를 확인하려면, 내 컴퓨터의 네트워크 연결 상황을 확인해 봐야 합니다.
네트워크 연결을 확인하는 방법은 차근차근 살펴본다면 그리 어렵지 않습니다.
[시작]-[(모든) 프로그램]-[보조 프로그램]-[명령 프롬프트]를 눌러 도스 창을 띄웁니다.
도스 창에다 "netstat -na"라고 입력합니다. (분량이 많을 경우 "netstat -na | more"라고 입력합니다.)
[정상적인 네트워크 연결 상태]
TCP / UDP가 뭐죠?
자~ 이제 netstat -na를 입력한 것만으로도 우리는 보안전문가나 다름없습니다.
이 명령어의 출력결과가 무엇인지 알아보도록 합시다.
일단 "Proto"라고 표기된 부분은 프로토콜(Protocol; 규약)을 의미합니다.
간단히 설명해서 네트워크 상의 PC 들이 서로 통신하는 전송규약을 말합니다.
더 쉽게 설명하면, "내가 이렇게 보내면 이렇게 알아들어라~" 하고 미리 정의하는 약속을 말합니다.
어렸을 적에 친구들과 암호나 은어를 정해서 사용하던 기억이 있을 것입니다.
이러한 규약을 사용하면 남들이 우리가 무슨 이야기 하는지 알기도 힘들고, 우리는 많은 이야기 할 필요도 없이 몇가지 단어들로 많은 이야기를 나눌수 도 있을 것입니다.
물론 서로 알아듣기 위해서는 미리 정의를 해두어야 겠지요.
TCP라는 규약은 말할 때, 그 사람을 콕 찍어서 말하는 것입니다.
"철수야!"라고 먼저 그 이름을 부릅니다.
철수가 "왜?" 라고 대답하면 "내 말 좀 들어봐~" 하고 말을 시작하는 방식입니다.
UDP라는 방식은 그 사람 이름을 부르지 않고 그냥 이야기 해 버리는 방식입니다.
"철수야 놀자~"라고 그냥 철수쪽에다 대고 이야기 하는 것입니다.
이 방식은 확실성은 없습니다. 철수가 주목한 상태에서 이야기 하는 것이 아니므로 철수가 못 들을 수도 있습니다.
악성코드는 TCP방식을 사용합니다. 보다 확실한 전파를 이용한다고 할까요?
악성코드는 TCP방식으로 다음과 같이 이야기를 시작합니다. "철수야? 영희야? ..."등등의 이름을 쭈욱 불러댑니다.
그중에서 누군가가 "왜?"라고 대답한다면 그 사람에게 악성코드를 퍼뜨리게 됩니다.
때문에 이 TCP 부분만 주의깊게 보면 됩니다.
Local Address / Foreign Address는 뭐죠?
다음 줄인 Local Address 부분입니다. 이것은 내 컴퓨터를 말합니다.
일반적으로 자신의 "IP주소:포트번호"로 나타납니다.
그 다음 줄은 Foreign Address 입니다. 내 컴퓨터와 연결된 다른 컴퓨터입니다.
State는 뭐죠?
State를 보면 내 컴퓨터와 연결된 컴퓨터가 어떠한 상태인지를 알 수있습니다.
- LISTENING : 귀를 기울인다는 뜻입니다. 내 귀(포트)를 열어놓고 통신에 귀기울이고 있는 상태를 말합니다.
- SYN Sent : 이것은 "철수야~"하고 누군가를 부르고 난 후 그 대답을 기다리는 상태를 말합니다. (일반적으로 악성코드에 감염되었을 때, SYN Sent 상태가 많습니다.)
- ESTABLISHED : 상대방으로 부터 "왜?"란 답을 듣고 통신이 맺어진 상태를 말합니다.
- Time Wait : 중간에 말을 쉬거나, 말을 다 듣고 통신을 끝내기 위해 잠시 기다리는 상태를 말합니다. |
자~ 지금까지
"netstat -na"를 입력한 결과 화면에서 각각이 무엇을 뜻하는지를 알아봤습니다.
이제 이러한 결과 값이 어떤 상태일 때 악성코드 감염을 의심해야 하는지를
다음 편에서 알아보겠습니다.