UNIT 2: नेटवर्क फॉरेन्सिक टूल्स और तकनीकें

 

UNIT 2: नेटवर्क फॉरेन्सिक टूल्स और तकनीकें

---

2.1. नेटवर्क फॉरेन्सिक टूल्स और तकनीकों का परिचय

नेटवर्क फॉरेन्सिक टूल्स वे सॉफ़्टवेयर अनुप्रयोग या हार्डवेयर सिस्टम होते हैं जो नेटवर्क ट्रैफिक को कैप्चर, विश्लेषण और मॉनिटर करने के लिए उपयोग किए जाते हैं। ये टूल्स सुरक्षा घटनाओं का पता लगाने, नेटवर्क गतिविधियों को ट्रैक करने और जांच करने में मदद करते हैं। इन टूल्स का उपयोग साइबर क्राइम्स, सुरक्षा उल्लंघनों और नेटवर्क से संबंधित घटनाओं की जांच के लिए किया जाता है।

कुछ सामान्य नेटवर्क फॉरेन्सिक तकनीकें में शामिल हैं:

• पैकेट स्निफिंग: नेटवर्क पैकेट्स को कैप्चर और विश्लेषण करना।
• ट्रैफिक विश्लेषण: डेटा के प्रवाह को विश्लेषित करना।
• लॉग विश्लेषण: सिस्टम और नेटवर्क लॉग्स को देखना।
• इंट्रूजन डिटेक्शन/प्रिवेंशन: दुर्भावनापूर्ण नेटवर्क गतिविधि का पता लगाना।

---

2.2. Wireshark

Wireshark एक बहुत ही लोकप्रिय और व्यापक रूप से उपयोग किया जाने वाला नेटवर्क प्रोटोकॉल विश्लेषक है। यह नेटवर्क पर गुजर रहे पैकेट्स को रियल-टाइम में कैप्चर और निरीक्षण करता है। यह नेटवर्क प्रशासकों और फॉरेन्सिक जांचकर्ताओं को नेटवर्क ट्रैफिक का विश्लेषण करने, समस्याओं की पहचान करने और नेटवर्क मुद्दों का कारण ट्रेस करने में मदद करता है।

Wireshark की प्रमुख विशेषताएँ:

• पैकेट कैप्चर: Wireshark नेटवर्क पर सभी पैकेट्स को कैप्चर करता है, जिसमें हेडर और डेटा शामिल होते हैं।
• पैकेट विश्लेषण: यह प्रोटोकॉल को डिकोड करता है और स्रोत और गंतव्य IP, पोर्ट नंबर, उपयोग किए गए प्रोटोकॉल, और अन्य विवरण दिखाता है।
• फिल्टरिंग: Wireshark यूजर्स को विशिष्ट मानदंडों (जैसे प्रोटोकॉल प्रकार, IP पता) द्वारा कैप्चर किए गए डेटा को फिल्टर करने की अनुमति देता है।
• गहरे विश्लेषण: यह नेटवर्क संचार की सभी परतों (Ethernet से लेकर एप्लिकेशन-लेयर प्रोटोकॉल तक) का विश्लेषण कर सकता है।
• सांख्यिकी: Wireshark ट्रैफिक का सांख्यिकीय विश्लेषण भी प्रदान करता है, जैसे टॉप टॉकर, प्रोटोकॉल वितरण और ट्रैफिक सारांश।

Wireshark का उपयोग किया जाता है:

• नेटवर्क समस्याओं का समाधान।
• सुरक्षा विश्लेषण।
• नेटवर्क मॉनिटरिंग।
• फॉरेन्सिक जांच।

---

2.3. TCP Dump

TCPDump एक कमांड-लाइन पैकेट विश्लेषक है, जो नेटवर्क ट्रैफिक को कैप्चर और विश्लेषण करने के लिए उपयोग किया जाता है। यह नेटवर्क प्रशासकों और सुरक्षा पेशेवरों द्वारा नेटवर्क डायग्नोस्टिक्स और सुरक्षा विश्लेषण के लिए बहुत सामान्य रूप से उपयोग किया जाता है।

TCPDump की प्रमुख विशेषताएँ:

• कमांड-लाइन इंटरफेस: TCPDump एक टेक्स्ट-आधारित टूल है, जो टर्मिनल या कमांड-लाइन इंटरफेस पर काम करता है।
• पैकेट कैप्चर: यह नेटवर्क स्तर पर पैकेट्स को कैप्चर करता है और IP पते, प्रोटोकॉल प्रकार, फ्लैग्स, आदि जैसे विवरण दिखाता है।
• फिल्टरिंग: TCPDump उपयोगकर्ताओं को पैकेट्स को विशिष्ट ट्रैफिक प्रकार द्वारा फिल्टर करने की अनुमति देता है।
• प्रभावी: यह एक हल्का टूल है, जो कई प्लेटफार्मों (Unix, Linux, macOS) पर चलता है।
• फाइल में आउटपुट: TCPDump कैप्चर किए गए डेटा को .pcap फ़ॉर्मेट में सहेज सकता है, जिसे बाद में Wireshark जैसे टूल्स से विश्लेषण किया जा सकता है।

TCPDump का उपयोग किया जाता है:

• कच्चे नेटवर्क ट्रैफिक को कैप्चर करने के लिए।
• निचले स्तर के नेटवर्क मुद्दों का विश्लेषण करने के लिए।
• नेटवर्क सुरक्षा घटनाओं की जांच करने के लिए।

---

2.4. Syslog

Syslog एक मानक है जिसका उपयोग नेटवर्क पर लॉग संदेशों को भेजने और प्राप्त करने के लिए किया जाता है। यह मुख्य रूप से विभिन्न नेटवर्क उपकरणों और प्रणालियों से लॉग्स को एकत्र करने और संग्रहीत करने के लिए उपयोग किया जाता है, जैसे राउटर्स, फायरवॉल्स, सर्वर्स और स्विचेस।

Syslog की प्रमुख विशेषताएँ:

• केन्द्रीयकृत लॉगिंग: Syslog विभिन्न नेटवर्क उपकरणों से लॉग्स को एक केंद्रीय सर्वर पर एकत्र करता है, जिससे निगरानी और विश्लेषण करना आसान होता है।
• इवेंट लॉगिंग: लॉग्स में सिस्टम इवेंट्स, त्रुटियाँ, चेतावनियाँ, और सूचना संदेश होते हैं, जिनका उपयोग समस्या निवारण और फॉरेन्सिक जांच के लिए किया जा सकता है।
• गंभीरता स्तर: Syslog संदेशों के विभिन्न गंभीरता स्तर होते हैं (जैसे आपातकाल, अलर्ट, गंभीर, त्रुटि), जो घटनाओं की प्राथमिकता निर्धारित करने में मदद करते हैं।
• संरचित डेटा: Syslog संदेश साधारण और मानक प्रारूप में होते हैं, जो इनका विश्लेषण और पार्स करना आसान बनाता है।

Syslog का उपयोग किया जाता है:

• नेटवर्क उपकरणों की निगरानी।
• संदिग्ध गतिविधियों की पहचान।
• फॉरेन्सिक जांच के लिए लॉगिंग और लेखांकन।

---

2.5. NMS (Network Management System)

नेटवर्क प्रबंधन प्रणाली (NMS) एक सॉफ़्टवेयर अनुप्रयोग या प्लेटफ़ॉर्म है, जिसका उपयोग नेटवर्क उपकरणों और सेवाओं की निगरानी और प्रबंधन के लिए किया जाता है। यह नेटवर्क की सेहत, प्रदर्शन और सुरक्षा का अवलोकन प्रदान करता है।

NMS की प्रमुख विशेषताएँ:

• उपकरणों की निगरानी: NMS रीयल-टाइम में उपकरणों (राउटर्स, स्विचेस, सर्वर्स) और उनके इंटरफेस की स्थिति की निगरानी करता है।
• अलर्टिंग: यह नेटवर्क उपकरणों या सेवाओं में समस्याएँ होने पर अलर्ट जनरेट करता है, जैसे डाउनटाइम, प्रदर्शन में गिरावट, या सुरक्षा खतरों का सामना।
• कनफिगरेशन प्रबंधन: NMS का उपयोग नेटवर्क उपकरणों को दूर से कनफिगर करने के लिए किया जा सकता है, जिससे नेटवर्क में एकरूपता बनाए रखी जा सकती है।
• प्रदर्शन निगरानी: NMS बैंडविड्थ, विलंबता और पैकेट हानि की ट्रैकिंग करता है, जिससे नेटवर्क प्रदर्शन को बेहतर बनाने में मदद मिलती है।
• डेटा विज़ुअलाइजेशन: यह नेटवर्क की स्थिति और ट्रैफिक पैटर्न का ग्राफिकल प्रतिनिधित्व प्रदान करता है।

NMS का उपयोग किया जाता है:

• नेटवर्क स्वास्थ्य की निगरानी।
• सुरक्षा और प्रदर्शन मुद्दों के लिए स्वचालित अलर्ट।
• नेटवर्क इन्फ्रास्ट्रक्चर का सक्रिय प्रबंधन।

---

2.6. Promiscuous Mode

Promiscuous Mode एक नेटवर्क इंटरफेस मोड है, जिसमें एक नेटवर्क इंटरफेस कार्ड (NIC) नेटवर्क पर सभी पैकेट्स को कैप्चर करता है, चाहे वे किसी भी डिवाइस के लिए लक्षित हों। सामान्यतः, नेटवर्क उपकरण केवल उन पैकेट्स को कैप्चर करते हैं जो उन्हें संबोधित होते हैं, लेकिन प्रोमिस्क्युअस मोड में, NIC सभी नेटवर्क ट्रैफिक को कैप्चर करता है, भले ही वह डिवाइस के लिए न हो।

Promiscuous Mode की प्रमुख विशेषताएँ:

• पैकेट स्निफिंग: यह नेटवर्क पर सभी पैकेट्स को कैप्चर करने की अनुमति देता है, जो नेटवर्क डायग्नोस्टिक्स, निगरानी, और सुरक्षा विश्लेषण के लिए उपयोगी होता है।
• नेटवर्क फॉरेन्सिक्स: नेटवर्क फॉरेन्सिक्स में इसका उपयोग नेटवर्क ट्रैफिक को कैप्चर करने के लिए किया जाता है, ताकि विसंगतियाँ, हमले, या अनधिकृत संचार का पता लगाया जा सके।
• सुरक्षा मॉनिटरिंग: यह नेटवर्क ट्रैफिक की निगरानी करने में मदद करता है, ताकि संभावित सुरक्षा घटनाओं का पता चल सके, जैसे मैन-इन-द-मिडल अटैक या डेटा लीक।

Promiscuous Mode का उपयोग किया जाता है:

• पैकेट कैप्चर और विश्लेषण।
• सुरक्षा ऑडिट।
• इंट्रूजन डिटेक्शन।

---

2.7. Network Port Mirroring

नेटवर्क पोर्ट मिररिंग (जिसे SPAN - Switched Port Analyzer भी कहा जाता है) एक तकनीक है जिसका उपयोग नेटवर्क स्विच पर एक पोर्ट से दूसरे पोर्ट तक नेटवर्क ट्रैफिक को प्रतिलिपि बनाने के लिए किया जाता है, जिससे अन्य उपकरणों को नेटवर्क ट्रैफिक को मॉनिटर करने की अनुमति मिलती है।

Port Mirroring की प्रमुख विशेषताएँ:

• ट्रैफिक डुप्लिकेशन: यह एक पोर्ट से ट्रैफिक को दूसरे पोर्ट पर डुप्लिकेट करता है, जिससे सुरक्षा या नेटवर्क मॉनिटरिंग टूल्स को ट्रैफिक कैप्चर और विश्लेषण करने का अवसर मिलता है।
• गैर-प्रवर्तक: यह सामान्य नेटवर्क ट्रैफिक में हस्तक्षेप नहीं करता है, क्योंकि यह केवल ट्रैफिक को अन्य पोर्ट पर मिरर करता है।
• मॉनिटरिंग टूल इंटीग्रेशन: नेटवर्क प्रशासक मिरर्ड पोर्ट से नेटवर्क ट्रैफिक को कैप्चर करने और विश्लेषण करने के लिए मॉनिटरिंग टूल्स को कनेक्ट कर सकते हैं।

Port Mirroring का उपयोग किया जाता है:

• नेटवर्क ट्रैफिक का विश्लेषण।
• इंट्रूजन डिटेक्शन।
• नेटवर्क समस्याओं का समाधान।

---

2.8. Snooping

Snooping वह क्रिया है जिसमें नेटवर्क ट्रैफिक को बिना अनुमति के इंटरसेप्ट और मॉनिटर किया जाता है, आमतौर पर संवेदनशील जानकारी प्राप्त करने या नेटवर्क गतिविधि को गुप्त रूप से मॉनिटर करने के लिए। नेटवर्क फॉरेन्सिक्स के संदर्भ में, स्नूपिंग का उपयोग कानूनी या वैध उद्देश्यों के लिए किया जाता है, जैसे नेटवर्क मॉनिटरिंग या इंट्रूजन डिटेक्शन।

Snooping के प्रकार:

• ARP Spoofing: एक प्रकार का स्नूपिंग, जिसमें हमलावर नकली ARP संदेश भेजकर अपने MAC पते को एक वैध डिवाइस के IP पते से जोड़कर ट्रैफिक इंटरसेप्ट करते हैं।
• पैकेट स्निफिंग: Wireshark या TCPDump जैसे टूल्स का उपयोग करके पैकेट्स को कैप्चर और विश्लेषण करना, जो संवेदनशील जानकारी जैसे पासवर्ड या क्रेडिट कार्ड नंबर को उजागर कर सकते हैं।

Snooping का उपयोग किया जाता है:

• नेटवर्क डायग्नोस्टिक्स।
• साइबर हमलों की जांच।
• संदिग्ध गतिविधियों की निगरानी।

---

2.9. Scanning Tools

स्कैनिंग टूल्स वे टूल्स होते हैं जो नेटवर्क और सिस्टम की कमजोरियों, खुले पोर्ट्स, या सक्रिय उपकरणों और सेवाओं के बारे में जानकारी प्राप्त करने के लिए उपयोग किए जाते हैं। ये टूल्स नेटवर्क सुरक्षा आकलन और पेनिट्रेशन टेस्टिंग के लिए महत्वपूर्ण होते हैं।

कॉमन स्कैनिंग टूल्स में शामिल हैं:

• Nmap (नेटवर्क मैपर): एक सामान्य टूल जो नेटवर्क पर होस्ट्स और सेवाओं का पता लगाता है। Nmap नेटवर्क इन्वेंटरी, होस्ट अपटाइम मॉनिटरिंग और सेवा संस्करण का पता लगाने का कार्य करता है।
• Nessus: एक सुरक्षा स्कैनर जो नेटवर्क प्रणालियों में कमजोरियों की पहचान करता है, जैसे ज्ञात सुरक्षा दोष और मिसकॉन्फिगरेशन्स।
• OpenVAS: एक ओपन-सोर्स वल्नरेबिलिटी स्कैनर जो नेटवर्क और सिस्टम सुरक्षा का आकलन करता है।

स्कैनिंग टूल्स का उपयोग किया जाता है:

• नेटवर्क वल्नरेबिलिटी आकलन।
• पोर्ट स्कैनिंग।
• सिस्टम सुरक्षा ऑडिट।