"Форензика - компьютерная криминалистика. Часть 9"

Мы продолжаем цикл статей «Форензика – компьютерная криминалистика»Николай Федотов, компания INFOWATCHУстановление принадлежности и расположения IP-адресаПочти в каждом уголовном деле, связанном с сетью Интернет, присутствовала такая задача: по известному IP-адресу установить использующий его компьютер и местоположение этого компьютера.Как правило, цепочка доказательств выглядит именно таким образом:(преступление) – (IP-адрес) – (компьютер) – (человек)При помощи различных технических средств фиксируется IP-адрес, скоторого осуществлялась криминальная деятельность. Затем устанавливается компьютер, который использовал данный IP-адрес, факт такого использования закрепляется экспертизой. Затем следует доказать, что этим компьютером в  соответствующее время управлял подозреваемый.Вторая из упомянутых задач – найти компьютер по его IP-адресу – и будет предметом рассмотрения в данной статье.УникальностьIP-адрес является уникальным идентификатором компьютера или иного устройства в сети Интернет. Это значит, что в пределах всей глобальной компьютерной сети в каждый момент времени только один-единственный компьютер может использовать определенный IP-адрес. Из этого правила имеется целый ряд исключений:● приватные, или так называемые «серые» IP-адреса;● коллективные, или мультикастовые (multicast) IP-адреса;● сетевые и широковещательные (broadcast) IP-адреса;● не выделенные или не присвоенные регистратором IP-адреса;● IP-адреса, относящиеся к территориально распределенным кластерам компьютеров.Если же IP-адрес относится к категории публичных (так называемых «белых») адресов, если он должным образом выделен одним из регистраторов, то этот адрес будет маршрутизироваться. То есть IP-пакет, отправленный на этот адрес из любой точки Интернета, найдет свою цель. Это значит, что данный IP-адрес – уникальный. И возможно установить компьютер, которому принадлежит этот IP-адрес.Является ли тот или иной IP-адрес уникальным, не принадлежит ли он к упомянутым исключениям – это устанавливает специалист или эксперт.РегистраторыВыделением и регистрацией IP-адресов в Интернете занимаются организации, именуемые регистраторами IP-адресов (IP Registry). Это организации, являющиеся органами самоуправления Интернета.Регистраторы образуют трехуровневую иерархию: IANA – RIR – LIR. Организация IANA является главным регистратором, она выделяет самые крупные блоки IP-адресов региональным регистраторам и большим организациям.Региональных регистраторов (RIR) в настоящее время пять. Это ARIN (Северная Америка), RIPE (Европа и Центральная Азия), APNIC (Азиатско-Тихоокеанский регион), LACNIC (Латинская Америка), AfriNIC (Африка). Они выделяют крупные и средние блоки адресов местным регистраторам (LIR), а также ведут базу данных выделенных IP-адресов и предоставляют доступ к ней.Местные регистраторы (LIR) выделяют мелкие блоки IP-адресов операторам связи и потребителям и регистрируют их в базе данных своего регионального регистратора. Как правило, роль местного регистратора исполняет оператор связи (интернет-провайдер). Таких регистраторов – несколько тысяч.Все выделенные IP-адреса регистрируются в специальной базе данных, которую поддерживает региональный регистратор (RIR). Сведения из этой базы данных (за исключением некоторых полей) доступны любому лицу по протоколу whois [22]. Обратиться к этой базе достаточно просто. При наличии доступа в Интернет надо набрать в командной строке «whois ». Такая команда имеется в любой операционной системе, кроме Windows. Для тех, кому она недоступна или неудобна, есть многочисленные веб-интерфейсы, то есть веб-страницы, на которых можно ввести запрашиваемый IP-адрес и получить ответ из соответствующей базы данных при помощи браузера.Установление принадлежности IP-адреса через whois-клиентДавайте для примера попробуем установить, где живет в настоящее время известный экстремистский ресурс «Кавказ-центр». Определим соответствующий ему IP-адрес и спросим об этом IP-адресе регистратора RIPE.Команда «host» разрешает доменное имя в IP-адрес, а последующая команда «whois3» связывается с whois-сервером указанного регистратора, делает запрос к его базе данных и выводит на экран всю полученную информацию.$>host www.kavkazcenter.comwww.kavkazcenter.com has address 88.80.5.42$>whois3 -B 88.80.5.42% This is the RIPE Whois query server #1.% The objects are in RPSL format.%% Note: the default output of the RIPE Whois server% is changed. Your tools may need to be adjusted. See% http://www.ripe.net/db/news/abuse-proposal-20050331.html% for more details.%% Rights restricted by copyright.% See http://www.ripe.net/db/copyright.html% Information related to '88.80.2.0 – 88.80.7.255'inetnum: 88.80.2.0 – 88.80.7.255netname: PRQ-NET-COLOdescr: prq Inet POP STH3descr: Co-located customer serverscountry: SEadmin-c: pIN7-RIPEtech-c: pIN7-RIPEstatus: ASSIGNED PAnotify: registry-ripenotify@prq.semnt-by: MNT-PRQchanged: registry-ripe@prq.se 20051125source: RIPErole: prq Inet NOCaddress: prq InetBox 1206SE 11479 StockholmSwedenphone: +46 (0)8 50003150e-mail: noc@prq.see-mail: registry-ripe@prq.seremarks: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!remarks: ! Abuse reports should ONLY be sent to abuse@prq.se !remarks: ! Do NOT call unless it's very urgent !remarks: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!admin-c: PW1115-RIPEadmin-c: AC9661-RIPEtech-c: PW1115-RIPEtech-c: AC9661-RIPEnic-hdl: pIN7-RIPEmnt-by: MNT-PRQchanged: registry-ripe@prq.se 20040707changed: registry-ripe@prq.se 20050802changed: registry-ripe@prq.se 20060308changed: registry-ripe@prq.se 20060324changed: registry-ripe@prq.se 20060508source: RIPEabuse-mailbox: abuse@prq.se% Information related to '88.80.0.0/19AS33837'route: 88.80.0.0/19descr: prq Inet aggregated routeorigin: AS33837notify: registry-ripenotify@prq.semnt-by: MNT-PRQchanged: registry-ripe@prq.se 20051124source: RIPEИз полученного ответа усматривается, что диапазон IP-адресов с 88.80.0.0 по 88.80.31.255 выделен шведскому оператору связи «prq Inet». Из этого диапазона меньший поддиапазон с 88.80.2.0 по88.80.7.255 используется как «Co-located customer servers», то есть для клиентских серверов на колокации. В их числе и интересующий нас 88.80.5.42 (www.kavkazcenter.com).«Соседями» домена «www.kavkazcenter.com», то есть доменами, имеющими тот же IP-адрес, оказались, согласно данным проекта «IP Neighbors Domain Check», следующие:kavkaz.org.ukkavkaz.tvkavkaz.uk.comkavkazcenter.comkavkazcenter.infokavkazcenter.netold.kavkazcenter.compda.kavkaz.tvpda.kavkazcenter.comwap.kavkaz.tvИз чего можно заключить, что на этом сервере живут только проекты одного клиента. Это значит, что сервер – выделенный, принадлежит клиенту или целиком арендуется им у провайдера.