भाग ४ (६ पैकी)

पॅकेट विश्लेषण (Packet Analysis)

🕑 ९०-१२० मिनिटे 🌐 नेटवर्क फॉरेन्सिक्स 📋 मॉड्यूल ४

प्रस्तावना

पॅकेट विश्लेषण हे नेटवर्क फॉरेन्सिक्सचे मूलभूत कौशल्य आहे. नेटवर्क ट्रॅफिकचे विश्लेषण करून तपास अधिकारी गुन्हेगारी क्रियाकलाप, डेटा चोरी, अनधिकृत प्रवेश आणि इतर सायबर गुन्हे उघडकीस आणू शकतात.

📚 शिक्षण उद्दिष्टे

हा भाग पूर्ण केल्यावर, तुम्ही पॅकेट कॅप्चर तंत्र समजून घ्याल, Wireshark वापरणे शिकाल आणि नेटवर्क प्रोटोकॉल विश्लेषण करू शकाल.

पॅकेट मूलभूत तत्त्वे

पॅकेट म्हणजे काय?

नेटवर्कवर पाठवलेला डेटा लहान तुकड्यांमध्ये (पॅकेट्स) विभागला जातो. प्रत्येक पॅकेटमध्ये:

  • हेडर: स्रोत/गंतव्य IP पत्ता, पोर्ट नंबर, प्रोटोकॉल माहिती
  • पेलोड: प्रत्यक्ष डेटा सामग्री
  • ट्रेलर: त्रुटी तपासणी माहिती (काही प्रोटोकॉलमध्ये)

OSI मॉडेल

स्तर नाव प्रोटोकॉल उदाहरणे फॉरेन्सिक महत्त्व
अनुप्रयोग (Application) HTTP, FTP, SMTP, DNS वापरकर्ता क्रियाकलाप, सामग्री
सादरीकरण (Presentation) SSL/TLS, JPEG एन्क्रिप्शन, फॉर्मॅटिंग
सत्र (Session) NetBIOS, RPC कनेक्शन व्यवस्थापन
वाहतूक (Transport) TCP, UDP पोर्ट नंबर, कनेक्शन
नेटवर्क IP, ICMP IP पत्ते, रूटिंग
डेटा लिंक Ethernet, Wi-Fi MAC पत्ते
भौतिक (Physical) Cables, Hubs भौतिक कनेक्शन

Wireshark

Wireshark हे सर्वात लोकप्रिय आणि शक्तिशाली मोफत पॅकेट विश्लेषण साधन आहे. हे नेटवर्क ट्रॅफिक कॅप्चर आणि विश्लेषण करण्यासाठी वापरले जाते.

🔍

लाइव्ह कॅप्चर

नेटवर्क इंटरफेसवरून थेट पॅकेट्स कॅप्चर करणे.

📄

PCAP विश्लेषण

आधीपासून कॅप्चर केलेल्या .pcap फाइल्सचे विश्लेषण.

🔧

प्रोटोकॉल डीकोडिंग

शेकडो प्रोटोकॉल ओळखणे आणि डीकोड करणे.

📊

सांख्यिकी

ट्रॅफिक सांख्यिकी, प्रोटोकॉल वितरण, कन्व्हर्सेशन्स.

मूलभूत फिल्टर्स

ip.addr == 192.168.1.100 # विशिष्ट IP पत्त्याचे पॅकेट्स
tcp.port == 80 # HTTP ट्रॅफिक (पोर्ट 80)
http # सर्व HTTP ट्रॅफिक
dns # सर्व DNS क्वेरी
tcp.flags.syn == 1 # TCP SYN पॅकेट्स
ip.src == 10.0.0.1 && tcp # स्रोत IP आणि TCP
!(arp || dns) # ARP आणि DNS वगळा

महत्त्वाचे प्रोटोकॉल

HTTP/HTTPS

  • वेब ब्राउझिंग ट्रॅफिक
  • HTTP (पोर्ट 80) - अनएन्क्रिप्टेड, सामग्री दृश्यमान
  • HTTPS (पोर्ट 443) - TLS एन्क्रिप्टेड, सामग्री गुप्त
  • फॉरेन्सिक: विजिट केलेल्या साइट्स, पोस्ट केलेला डेटा

DNS

  • डोमेन नाव ते IP पत्ता रूपांतरण
  • पोर्ट 53 (UDP आणि TCP)
  • फॉरेन्सिक: विजिट केलेल्या वेबसाइट्सचा इतिहास, मालवेअर C2 संवाद

SMTP/POP3/IMAP

  • ईमेल प्रोटोकॉल
  • SMTP (पोर्ट 25, 587) - ईमेल पाठवणे
  • POP3 (पोर्ट 110) / IMAP (पोर्ट 143) - ईमेल प्राप्त करणे
  • फॉरेन्सिक: ईमेल संवाद, संलग्नक

FTP

  • फाइल हस्तांतरण प्रोटोकॉल
  • पोर्ट 21 (नियंत्रण), 20 (डेटा)
  • फॉरेन्सिक: हस्तांतरित फाइल्स, क्रेडेन्शियल्स (अनएन्क्रिप्टेड)
एन्क्रिप्शन आव्हान

आधुनिक ट्रॅफिकचा मोठा भाग HTTPS/TLS ने एन्क्रिप्टेड असतो. पॅकेट कॅप्चर केले तरी सामग्री वाचता येत नाही. तथापि, मेटाडेटा (IP पत्ते, वेळ, डेटा आकार) अजूनही उपलब्ध असतो.

विश्लेषण तंत्रे

कन्व्हर्सेशन विश्लेषण

दोन एंडपॉइंट्समधील संपूर्ण संवाद पाहणे:

  • Wireshark: Statistics > Conversations
  • TCP स्ट्रीम फॉलो करणे: Right-click > Follow > TCP Stream
  • HTTP ऑब्जेक्ट्स एक्सपोर्ट: File > Export Objects > HTTP

संशयास्पद क्रियाकलाप शोधणे

  • पोर्ट स्कॅनिंग: एकाच स्रोतापासून अनेक पोर्ट्सवर SYN पॅकेट्स
  • DDoS: असामान्यपणे जास्त ट्रॅफिक एका गंतव्यावर
  • डेटा एक्सफिल्ट्रेशन: मोठ्या प्रमाणात बाह्य डेटा हस्तांतरण
  • C2 संवाद: नियमित अंतराने विशिष्ट सर्व्हरशी संवाद

टाइमलाइन विश्लेषण

पॅकेट टाइमस्टॅम्प्स वापरून घटनांचा क्रम निश्चित करणे:

  • हल्ल्याची सुरुवात कधी झाली?
  • कोणत्या क्रमाने घटना घडल्या?
  • किती काळ हल्ला चालू होता?

इतर साधने

💻

tcpdump

कमांड-लाइन पॅकेट कॅप्चर साधन. Linux/Unix सिस्टमवर पूर्व-स्थापित.

🔍

NetworkMiner

PCAP फाइल्समधून फाइल्स, इमेजेस आणि क्रेडेन्शियल्स एक्सट्रॅक्ट करणे.

📊

Zeek (Bro)

नेटवर्क सुरक्षा मॉनिटरिंग आणि लॉग जनरेशन.

🔧

tshark

Wireshark चे कमांड-लाइन आवृत्ती. स्क्रिप्टिंगसाठी उपयुक्त.

  • अधिकृतता: पॅकेट कॅप्चर कायदेशीर अधिकाराने करावे (वॉरंट/मालकाची परवानगी)
  • गोपनीयता: अनावश्यक वैयक्तिक डेटा टाळावा
  • साखळी: PCAP फाइल्सची पुरावा साखळी राखावी
  • हॅश सत्यापन: कॅप्चर फाइल्सचे हॅश दस्तऐवजीकृत करावे
🎯 व्यावहारिक उदाहरण

फिशिंग तपास: पीडिताच्या संगणकावरून कॅप्चर केलेल्या ट्रॅफिकमध्ये DNS क्वेरी दाखवतात की वापरकर्त्याने "bank-secure-login.xyz" ला भेट दिली. HTTP पॅकेट्समध्ये सबमिट केलेले क्रेडेन्शियल्स (अनएन्क्रिप्टेड फॉर्म डेटा) दिसतात. IP पत्त्यावरून फिशिंग सर्व्हरचे स्थान शोधता येते.

मुख्य मुद्दे
  • पॅकेट विश्लेषण नेटवर्क फॉरेन्सिक्सचे मूलभूत कौशल्य आहे
  • Wireshark हे सर्वात लोकप्रिय मोफत पॅकेट विश्लेषण साधन आहे
  • OSI मॉडेलचे ७ स्तर नेटवर्क संवाद समजण्यास मदत करतात
  • HTTP, DNS, SMTP, FTP हे फॉरेन्सिक विश्लेषणासाठी महत्त्वाचे प्रोटोकॉल आहेत
  • एन्क्रिप्टेड ट्रॅफिक (HTTPS) मधील सामग्री वाचता येत नाही, परंतु मेटाडेटा उपलब्ध असतो
  • पॅकेट कॅप्चर कायदेशीर अधिकाराने करावे
  • PCAP फाइल्सची पुरावा साखळी आणि हॅश सत्यापन आवश्यक आहे
मागील: लॉग विश्लेषण पुढील: मालवेअर विश्लेषण