प्रस्तावना
नेटवर्क फोरेन्सिक हे सायबर गुन्हे तपासाचे एक महत्त्वपूर्ण क्षेत्र आहे. कोणत्याही नेटवर्क-संबंधित गुन्ह्याचा तपास करण्यासाठी, तपास अधिकाऱ्यांना नेटवर्किंगच्या मूलभूत संकल्पना समजून घेणे आवश्यक आहे. या भागात आपण TCP/IP प्रोटोकॉल, OSI मॉडेल, IP पत्ते, DNS आणि DHCP या मूलभूत संकल्पना शिकू.
हा भाग पूर्ण केल्यावर, तुम्ही TCP/IP आणि OSI मॉडेल समजून घेऊ शकाल, IPv4 आणि IPv6 पत्ते ओळखू शकाल, DNS आणि DHCP कार्यपद्धती स्पष्ट करू शकाल आणि नेटवर्क फोरेन्सिकमध्ये या संकल्पनांचा वापर करू शकाल.
OSI मॉडेल
OSI (Open Systems Interconnection) मॉडेल हे नेटवर्क संवाद समजून घेण्यासाठी एक संदर्भ मॉडेल आहे. हे मॉडेल नेटवर्क संवादाला ७ स्तरांमध्ये विभागते, प्रत्येक स्तर विशिष्ट कार्यासाठी जबाबदार आहे.
| स्तर | नाव | कार्य | प्रोटोकॉल/उपकरणे |
|---|---|---|---|
| ७ | Application (अनुप्रयोग) | वापरकर्ता इंटरफेस आणि सेवा | HTTP, FTP, SMTP, DNS |
| ६ | Presentation (सादरीकरण) | डेटा स्वरूपण, एन्क्रिप्शन | SSL/TLS, JPEG, ASCII |
| ५ | Session (सत्र) | सत्र व्यवस्थापन | NetBIOS, RPC |
| ४ | Transport (वाहतूक) | विश्वसनीय डेटा हस्तांतरण | TCP, UDP |
| ३ | Network (नेटवर्क) | रूटिंग आणि अॅड्रेसिंग | IP, ICMP, राउटर |
| २ | Data Link (डेटा लिंक) | फ्रेमिंग आणि MAC अॅड्रेसिंग | Ethernet, स्विच |
| १ | Physical (भौतिक) | बिट्स हस्तांतरण | केबल्स, हब |
नेटवर्क फोरेन्सिकमध्ये प्रत्येक OSI स्तरावर महत्त्वपूर्ण पुरावे मिळू शकतात. स्तर ३ (IP पत्ते), स्तर ४ (पोर्ट नंबर) आणि स्तर ७ (अनुप्रयोग डेटा) हे तपासासाठी सर्वात महत्त्वाचे आहेत.
TCP/IP प्रोटोकॉल
TCP/IP (Transmission Control Protocol/Internet Protocol) हा इंटरनेटचा मूलभूत प्रोटोकॉल स्टॅक आहे. हा ४ स्तरांचा मॉडेल आहे जो OSI मॉडेलचे सोपे स्वरूप आहे.
TCP/IP स्तर
- Application Layer: HTTP, FTP, SMTP, DNS, SSH
- Transport Layer: TCP (विश्वसनीय) आणि UDP (वेगवान)
- Internet Layer: IP, ICMP, ARP
- Network Access Layer: Ethernet, Wi-Fi
TCP vs UDP
TCP (Transmission Control Protocol)
कनेक्शन-ओरिएंटेड: ३-वे हँडशेक (SYN, SYN-ACK, ACK) वापरते. विश्वसनीय डिलिव्हरी, क्रम राखणे, त्रुटी तपासणी. HTTP, FTP, SMTP, SSH साठी वापर.
UDP (User Datagram Protocol)
कनेक्शनलेस: हँडशेक नाही. वेगवान परंतु अविश्वसनीय. DNS queries, व्हिडिओ स्ट्रीमिंग, VoIP, ऑनलाइन गेमिंग साठी वापर.
TCP ३-वे हँडशेक
TCP फ्लॅग्स: SYN, ACK, FIN, RST, PSH, URG. नेटवर्क ट्रॅफिक विश्लेषणात TCP फ्लॅग्स हल्ल्यांचे प्रकार ओळखण्यात मदत करतात. उदा. SYN Flood हल्ल्यात अनेक SYN पॅकेट्स पाठवले जातात परंतु ACK मिळत नाही.
IP पत्ते
IP (Internet Protocol) पत्ता हे नेटवर्कवरील प्रत्येक उपकरणाचे अद्वितीय पत्ता आहे. दोन प्रकारचे IP पत्ते वापरले जातात: IPv4 आणि IPv6.
IPv4 (Internet Protocol version 4)
IPv4 हा ३२-बिट पत्ता आहे, जो चार ऑक्टेट्समध्ये (०-२५५) डॉट्सने विभागलेला असतो.
IPv4 वर्ग (Classes)
| वर्ग | श्रेणी | डीफॉल्ट सबनेट मास्क | वापर |
|---|---|---|---|
| A | 1.0.0.0 - 126.255.255.255 | 255.0.0.0 (/8) | मोठे नेटवर्क |
| B | 128.0.0.0 - 191.255.255.255 | 255.255.0.0 (/16) | मध्यम नेटवर्क |
| C | 192.0.0.0 - 223.255.255.255 | 255.255.255.0 (/24) | लहान नेटवर्क |
खाजगी (Private) IP श्रेणी
Class A: 10.0.0.0 - 10.255.255.255
Class B: 172.16.0.0 - 172.31.255.255
Class C: 192.168.0.0 - 192.168.255.255
हे पत्ते इंटरनेटवर राउटेबल नाहीत आणि केवळ अंतर्गत नेटवर्कमध्ये वापरले जातात.
IPv6 (Internet Protocol version 6)
IPv6 हा १२८-बिट पत्ता आहे, जो आठ हेक्साडेसिमल गटांमध्ये कोलनने विभागलेला असतो.
IP पत्ता ट्रेसिंग: सायबर गुन्हे तपासात IP पत्ता हा सर्वात महत्त्वाचा पुरावा आहे. तथापि, NAT, VPN, प्रॉक्सी आणि Tor वापरून IP पत्ता लपवता येतो. तपास अधिकाऱ्यांनी ISP कडून वापरकर्त्याची वास्तविक माहिती मिळवण्यासाठी कायदेशीर प्रक्रिया वापरावी.
DNS (Domain Name System)
DNS हे इंटरनेटचे "फोनबुक" आहे जे डोमेन नावे (उदा. google.com) IP पत्त्यांमध्ये (142.250.193.46) रूपांतरित करते.
DNS रेकॉर्ड प्रकार
A Record
डोमेन नावाला IPv4 पत्त्याशी जोडते. सर्वात सामान्य DNS रेकॉर्ड.
AAAA Record
डोमेन नावाला IPv6 पत्त्याशी जोडते.
MX Record
मेल एक्स्चेंज सर्व्हर निर्दिष्ट करते. ईमेल फोरेन्सिकमध्ये महत्त्वाचे.
TXT Record
टेक्स्ट माहिती, SPF, DKIM, DMARC रेकॉर्ड्ससाठी वापर.
DNS क्वेरी प्रक्रिया
- वापरकर्ता ब्राउझरमध्ये www.example.com टाइप करतो
- ब्राउझर स्थानिक DNS कॅश तपासतो
- कॅशमध्ये नसल्यास, DNS resolver ला क्वेरी पाठवते
- Resolver रूट DNS सर्व्हरला विचारतो (.com साठी TLD सर्व्हर)
- TLD सर्व्हर example.com चे authoritative DNS सर्व्हर सांगतो
- Authoritative सर्व्हर IP पत्ता देतो
- IP पत्ता कॅश केला जातो आणि वापरकर्त्याला परत दिला जातो
DHCP (Dynamic Host Configuration Protocol)
DHCP हा प्रोटोकॉल नेटवर्कवरील उपकरणांना स्वयंचलितपणे IP पत्ते आणि इतर नेटवर्क कॉन्फिगरेशन प्रदान करतो.
DHCP प्रक्रिया (DORA)
- Discover: क्लायंट ब्रॉडकास्ट संदेश पाठवतो DHCP सर्व्हर शोधण्यासाठी
- Offer: DHCP सर्व्हर IP पत्ता ऑफर करतो
- Request: क्लायंट ऑफर केलेला पत्ता मागतो
- Acknowledge: सर्व्हर पत्ता निश्चित करतो (लीज कालावधीसह)
DHCP लॉग विश्लेषण: DHCP सर्व्हर लॉग कोणत्या MAC पत्त्याला कधी कोणता IP पत्ता दिला हे नोंदवतात. हे तपासात महत्त्वपूर्ण आहे कारण:
- विशिष्ट वेळी कोणते उपकरण कनेक्ट होते हे सिद्ध करता येते
- MAC पत्ता उपकरण ओळखण्यास मदत करतो
- टाइमलाइन विश्लेषणासाठी उपयुक्त
महत्त्वाचे पोर्ट नंबर
| पोर्ट | प्रोटोकॉल | सेवा |
|---|---|---|
| 20, 21 | TCP | FTP (डेटा/कंट्रोल) |
| 22 | TCP | SSH |
| 23 | TCP | Telnet |
| 25 | TCP | SMTP |
| 53 | TCP/UDP | DNS |
| 67, 68 | UDP | DHCP |
| 80 | TCP | HTTP |
| 110 | TCP | POP3 |
| 143 | TCP | IMAP |
| 443 | TCP | HTTPS |
| 3389 | TCP | RDP |
- OSI मॉडेलचे ७ स्तर आणि TCP/IP मॉडेलचे ४ स्तर समजून घ्या
- TCP विश्वसनीय (कनेक्शन-ओरिएंटेड) आणि UDP वेगवान (कनेक्शनलेस) आहे
- IPv4 हा ३२-बिट आणि IPv6 हा १२८-बिट पत्ता आहे
- खाजगी IP पत्ते (10.x.x.x, 172.16-31.x.x, 192.168.x.x) इंटरनेटवर राउटेबल नाहीत
- DNS डोमेन नावे IP पत्त्यांमध्ये रूपांतरित करते
- DHCP स्वयंचलितपणे IP पत्ते वितरित करते - लॉग तपासासाठी महत्त्वाचे
- पोर्ट नंबर सेवा ओळखण्यास मदत करतात (80=HTTP, 443=HTTPS, 22=SSH)