Taşıyıcı-Sınıf Ağ Adresi Çeviricisi (CGN/CGNAT-Carrier-Grade Network Address Translation) Kayıtlarının Delil Niteliği

A.Giriş

Adli Bilişim incelemelerinde, suç türünden bağımsız olarak, Internet iletişiminin kullanıldığı hemen hemen her vakada, iletişim kayıtlarının incelenmesi gerekmektedir. İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik gereği erişim sağlayıcılar, Bilgi ve İletişim Teknolojileri Kurumu, bankalar ve benzeri kurum ve işletmelerden sağlanan iletişim kayıtlarının incelenebilmesi ve vakıanın çözümlenebilmesinde CGNAT olarak isimlendirilen Taşıyıcı Sınıf Ağ Adres Çeviricileri ve bu işlemlerle ilgili kayıtların teknik özelliklerini bilmek iyi bir Adli Bilişim Uzmanı için olmazsa olmaz bir niteliktir.

Bu yazıda özetle, CGNAT kayıtlarının uluslararası standartlarda teknik özellikleri ve ülkemiz özelinde en genel ve klasik veri yapısı ile Bilgi ve İletişim Teknolojileri Kurumu aracılığı ile temin edilebilir hali üzerinden hukuki bir uzlaşmazlıkta iletişimi gerçekleştiren gerçek kişinin tespit edilebilirliği açıklanmıştır.

B.CGNAT Nedir?

Başlangıçta, Internet mimarisi, cihazları benzersiz şekilde tanımlamak için IP adreslerini (IPv4) kullanmaktaydı. Bu yapı, eşler arası iletişimin temelini oluşturmaktaydı. Ancak zaman içerisinde IP adreslerinin kıt hale gelmesi bu mimariyi yetersiz hale getirmiştir [Richter vd., 2016 & RFC 6269].

2011 yılında, İnternet Atanmış Numaralar Kurumu (IANA-Assigned Numbers Authority), kullanılabilir son IPv4 adreslerini Bölgesel İnternet Kayıtlarına (RIR-Regional Internet Registries) tahsis etmiştir [Livadariu vd., 2018].

Bu durum, Internet Servis Sağlayıcıların (ISP- Internet Service Providers), bütün abonelere aynı anda Internet hizmeti sağlayamaması anlamına gelecektir.

Bu soruna karşılık üretilen çözüm Taşıyıcı Dereceli NAT (CGN-Carrier-Grade NAT) olarak bilinen Ağ Adresi Çeviricisi (NAT-Network Address Translation) mekanizmasıdır. CGN, geleneksel NAT (NAT44) mekanizması tarafından kullanılan IPv4 adres paylaşım prensibi üzerine inşa edilmiştir [Livadariu vd., 2018].

NAT teknolojisi yeni bir teknoloji değildir. Özel ağlar (ev, küçük işletme ve birçok kurumsal ağ) uzun zamandır NAT’ ları, tüm IP cihazları için özel IPv4 adresleri [RFC 1918] aracılığıyla yönetmek için kullanmaktadır.

Bu dokümanda bahsedilen Büyük Ölçekli NAT (LSN-Large Scale NAT) veya NAT444 olarak da isimlendirilen, belirli bir mesajın, kaynak aygıttan hedefine aktarılırken 3 farklı IPv4 yapısıdır.

NAT teknolojileri, İnternet Servis Sağlayıcıları tarafından herhangi bir anda internete bağlanmaya çalışan müşterilere verilecek mevcut IPv4 adreslerinin kademeli olarak yokluğunu telafi etmek için kullanılır [Fantin vd., 2019].

CGN, her kullanıcıya paylaşımsız IP adreslerinin atanabileceği IPv6’ ya geçiş sürecinde, sınırlı sayıda ve artık yetersiz olan IPv4 adreslerinin kullanımını en üst düzeye çıkarmak için ISP’ lerin abonelerine IPv4 adreslerini aboneleri arasında paylaştırmasına izin verir. [P] Yani çok sayıda IPv4 özellikli cihazın tek bir IP adresini paylaşmasına izin verir [Broadband Internet Technical Advisory Group, 2012].

Şekil 1. Diyagram Abone/Müşteri Ekipmanları (CPE-Customer Premise Equipment) da dahil olmak üzere bir CGN topolojisi göstermektedir.

Her bir abone kendi NAT44 ekipmanı ile, bu ekipman kullanılan cep telefonu da olabilir, kendi ağını oluşturabilirken, aynı zamanda CGN (NAT444) ekipmanı aracılığı ile diğer abonelerle birlikte aynı IPv4 adresini üzerinden fakat her bir abone için farklı olan Portlar üzerinden Internet erişimine sahip olabilmektedir [InterConnect Communications, 2013].

Burada NAT44 olarak ifade edilen CPE aygıtı, geleneksel olarak NAT aygıtları, özel kayıt dışı adresleri olan yalıtılmış bir adres alanını, genel olarak benzersiz kayıtlı adresleri olan harici bir bölgeye bağlamak için kullanılır [RFC 2663 & RFC 1918].

ISP’nin her bir IPv4 adresini kaç aboneye tahsis edeceği, ISP’nin kendi belirleyeceği bir konudur. Teorik olarak bir IPv4 üzerinde 65.536 adet Port bulunmaktadır. Eğer operatör her bir IPv4 ile 10 adet abonesine hizmet verecekse, her bir abonesi için 6.553 Portun kullanımı mümkün olacaktır.

Şekil 1. CGN Ağ Topolojisi

1.CGNAT Abone Kayıtları

Geçmişte, abonelere dinamik IP adresleri verilse dahi, trafik kaynağını, yani aboneyi tanımlamak için dinamik IP adresi ile abone eşleşmesinin günlüğe kaydedilmesi yeterliydi.

Günümüzde ise IP adreslerinin her bir abone için yetersiz olması ve aynı IP adresinin birden fazla abone tarafından paylaşılarak kullanıldığı CGN teknolojisinde, CGN kullanımı tarafından etkinleştirilen IP adresi paylaşımında bir abone cihazını yalnızca kaynak IP adresi üzerinden benzersiz bir şekilde tanımlama yeteneği kaybedilir [Broadband Internet Technical Advisory Group, 2012 & RFC 6269].

Bunun nedeni, IP adreslerinin birçok abonede paylaşılmasıdır. CGN’ in arkasında belirli bir aboneyi tanımlamak için, ISP abonenin dahili kaynak IP adresini ve dahili kaynak portunu, abone tarafından kullanılan her oturum için CGN’nin harici kaynak IP adresine ve harici kaynak portuna eşleyebilmesi ve bunu günlüğe kaydetmesi gerekir [InterConnect Communications, 2013].

İnternet trafiğinin kaynağını belirlemek, trafiğine kanuni olarak müdahale edilebilmesi ve kanuni yaptırım uygulanabilmesi için yasal bir gerekliliktir [InterConnect Communications, 2013].

Bu durumda, kolluk kuvvetlerinin veya diğer yetkili kurumların abonenin kimliğini talep edebilmeleri için, ISP’ ye kaynak IP adresini ve kaynak portunu ve bir olayın gerçekleştiği zamanı sunabilmeleri gerekir.

CGN kayıtlarında her bir bağlantı oturumu için ISP tarafında günlüğe kaydedilmesi gereken bilgiler tarih, saat, dahili IP adresi (Özel IP), dahili port numarası (Özel Port), harici IP adresi (Genel IP), harici Port numarası (Genel Port), hedef tarafında ise günlüğe kaydedilmesi gereken bilgiler tarih, saat, kaynak IP ve kaynak Port numaralarıdır [InterConnect Communications, 2013, RFC 6269 & RFC 6888]. Ne var ki ISP’lerden erişim günlüklerinin de talep edilmesi nedeni ile ISP’ ler de hedef IP ve hedef Port numarasını kaydetmektedirler. Elbette hedef IP ve hedef Port numarası kayıtlarını da günlükte ilgili abone bilgileri ile birlikte kaydetmektedirler. Bu sayede ise ISP’ ler ilgili kurumlardan kendilerine gelen erişim taleplerine yanıt verebilmektedirler.

2.CGNAT Kayılarının Delil Olarak Kullanılması

Teknoloji sayesinde her şey yeni, daha hızlı ve daha kolay bir biçimde, nasıl iletişim kurduğumuz, çalıştığımız ve verilerle nasıl uğraştığımız. Teknoloji her şeyi değiştiriyor. Suç, bildiğimiz gibi, teknolojiyi sürece entegre etmekle birlikte değişiyor. Değerli varlıklar dijital forma dönüştükten sonra bu doğal bir sonuçtur [Shaabana vd.].

Adli Bilişim, bilgisayar suçu ile ilgili kanıtların veri bütünlüğünün korunarak sunulmasını amaçlar. Adli Bilişimin nihai amacı 5N1K sorularının cevaplanabileceği kanıtlar elde etmektir. Yani, Ne, Ne zaman, Nerede, Nasıl, Neden ve Kim sorularının cevapları aranır. Bu soruları cevaplamak, bir olayın iddialarını doğrulamaya veya reddetmeye yol açar. [Dimitriadis, 2020]

İnternet Mühendisliği Görev Gücü (IETF-Internet Engineering Task Force), ISP’ nin kayıtlarındaki belirli bir aboneyi IPv4 adresi temelinde benzersiz bir şekilde tanımlayabilmek için 1) Kaynak IP adres, 2) Kaynak Port Numarası ve 3) IP adresi ve Port numarasının kullanıldığı zamanı tam olarak sağlamasını önerir. Ancak, Internet sunucuları ve uygulamalar genellikle gelen bağlantıların Kaynak IP adresini ve bağlantı süresini kaydetmektedirler. David O’Reilly buna “CGN bilgi boşluğu” demektedir [Wilson, 2019].

Kolluk kuvvetleri ve adli makamlar için bu somut olarak CGN’nin cezai soruşturmaları çok daha zor ve uzun hale getirdiği anlamına gelir, çünkü sadece kamu IPv4 adresini ve bir zaman damgasını kullanırken bir aboneyi tanımlamak artık İSS’ler için neredeyse imkansızdır. Operatörler araştırmacılara aynı hizmete aynı anda bağlı olan ve aynı IP adresini kullanarak tüm abonelerin tam listesini verebilir ve bu liste binlerce isim içerebilir. Bu listede soruşturulacak ve gereksiz şekilde ceza yargılamalarına karışacak binlerce kişinin mağduriyeti endişe kaynağı olmalıdır [Wilson, 2019 & RFC 6269].

Ancak, 2019 Europol Cyber Security Perspectives isimli raporda yer alan bu ifade, aynı hizmete aynı anda aynı IP adresini kullanarak bağlantı kuran aboneler için geçerlidir.

Bu durum, Facebook, Twitter ve benzeri milyarlarca kişinin kullandığı uygulamalar için geçerli olabilir ancak ziyaretçi sayısı veya kullanıcı sayısı görece az olan uygulamalar için geçerli olmayacaktır.

Çünkü her ne kadar aynı IP adresi farklı Port numaraları aracılığı ile onlarca fazla aboneye tahsis edilmiş olsa da bu aboneler arsından yalnızca bir veya birkaç tanesi, aynı anda kullanıcı sayısı görece az olan bu uygulamayı kullanıyor olacaktır.

Burada kullanıcı sayısının görece az olması nedeni ile sunucu hizmeti verilen IP adresinin başkaca bir uygulama için kullanılmadığı varsayılmıştır.

Ancak elbetteki bir IP adresinin birden fazla uygulamanın sunumu amaçlı kullanılması mümkündür ve bu durumda sunucu tarafında yalnızca ilgili uygulamanın kaydında bulunan Kaynak IP adresi bilinen bir kullanıcı ile ISP tarafı Hedef IP adresi bilinen abonenin eşleştirmesi yapılarak gerçek kişilere ulaşılması mümkün olabilecektir.

Burada göz ardı edilmemesi gereken husus, bir IP adresinin mutlak suretle bir alan adı (DomainName) ile birlikte kullanılmasının gerekmediğidir. Alan adlarının belirli bir IP adresi üzerinden kullanım geçmişleri çeşitli sorgularla elde edilebilir bir bilgidir. Ancak, doğrudan IP adresini kullanan sunucu/istemci mimarisini kullanan uygulamalar için geriye dönük olarak sunucu IP adreslerinin aktif olarak kullanıldıkları zaman aralığını belirlemek mümkün değildir.

Aynı IP adresi üzerindeki diğer uygulamaların da var olabilmesi nedeni ile yalnızca ISP tarafı Hedef IP adresi bilgisi, belirli bir abonenin belirli bir sunucu üzerinde belirli bir uygulamaya eriştiğine dair kesin bir tespitte bulunabilmek mümkün olmayacaktır.

Yani, belirli bir IP adresi üzerinde çalışan belirli bir sunucu üzerinde, birden fazla uygulamanın var olabileceği de göz önünde bulundurularak, ISP tarafında bu sunucu IP’sinin Hedef IP olarak kaydedildiği her abone sunucu üzerindeki farklı uygulamaları kullanmış olabilir, ancak, sunucu üzerindeki belirli bir uygulamanın kullanıcılarına ait Kaynak IP adresleri de mevcutsa, bu Kaynak IP adresleri ile ISP tarafından sağlanan Hedef IP adresine bağlı abone bilgileri tek bir gerçek kişiyi gösterdiği sürece, sunucu üzerindeki belirli bir uygulamayı kullanan gerçek kişinin tespit edilebilir olacağı açıktır.

3.Bilgi ve İletişim Teknolojileri Kurumu (BTK) Tarafından Sağlanan CGNAT Kayıtları

Türkiye’de ISP abonelerine ait CGNAT kayıtları Bilgi ve İletişim Teknolojileri Kurum (BTK) tarafından merkezi olarak depolanmakta ve yetkili kurumların talebi ile sağlanmaktadır.

BTK tarafından sağlanan CGNAT kayıtlarının ilk sayfasında UYARI başlığı altında Şekil-2’ deki açıklamalar yer almaktadır.

Bu açıklamalarda sıra numaralı olarak yer alan 2 açıklama dikkat çekmektedir.

Bunlardan birincisi, BTK tarafından sağlanan bilgilerin, işletmeciler tarafından elektronik ortamda BTK’ ya gönderilen bilgilerden ibaret olduğu ikincisi ise BTK’ nın elinki mevcut CGNAT verilerinin 01/01/2014 ile 31/12/2016 tarihlere ait olduğudur.

BTK tanımları “Tanımlar” yan başlığı altında sıralanmıştır. Bu tanımlar şunlardır:

MSISDN: Internete erişen GSM numarasıdır.

Özel IP: Yerel ağlarda (LAN) kullanılan, tahsis edildiği an itibariyle her cihaz için tekil olan, internete erişimi olmayan IP adresleridir.

Port (Özel/Genel): TCP/UDP protokollerinde noktadan noktaya iletişim amacıyla kullanılan 0-65535 aralığındaki numaralardır.

Genel IP: Genel ağlarda (WAN) kullanılan, farklı portlar üzerinden birden fazla cihaza atanabilen (NAT yöntemi ile) IP adresidir. Aynı Genel IP adresinin, aynı anda kaç farklı cihaza atanacağı operatörler arasında farklılık gösterebilmektedir.

Hedef IP: Internet erişiminin yapıldığı sunucunun IP adresidir.

Hedef Port: Internet erişimi yapılan sunucunun, erişilen port numarasıdır.

IMEI (International Mobile Equipment Identity): IMEI numarası en az 14 karakterli olmalıdır. IMEI numarasının ilk 14 karakteri telefon cihazlarına ait tekil bir numarayı ifade etmektedir. 15. karakter, ilk 14 numaradan bazı aritmetik hesaplarla üretilen doğrulama numarasıdır. Aynı IMEI numarasının 15. karakteri bazı GSM işletmecileri kayıtlarında 0 (sıfır) olarak bazılarında ise farklı bir numara olarak tutulabilmektedir. Bu nedenle IMEI numaralarına ait dökümler oluşturulurken ilk 14 karakteri uyan kayıtlar dikkate alınmaktadır.

IMSI (International Mobile Subscriber Identity): Bir GSM hattının dünyadaki tekil numarasıdır. Ilk 3 karakter ülkeyi, sonraki 2 karakter GSM operatörünü tanımlar.

BAZ: Internet trafiğinin başladığı baz istasyonunun adresidir.

BTK tarafından sağlanan CGNAT kayıtlarında yer alan tanımlar, ilgili RFC dokümanları açısından değerlendirildiğinde, RFC 6888 Taşıyıcı Sınıfı NAT’lar (CGN’ler) için Genel Gereksinimler ve 6269 IP Adresi Paylaşmayla İlgili Sorunlar ile uyumlu oldukları görülmektedir.

BTK tarafından sağlanan CGNAT kayıtları içerisinde yer alan Özel IP, Özel Port bilgileri abonenin ISP tarafından oluşturulan ve aynı IPv4 adresini paylaşan aboneler grubu içerisinde belirlenebilmesini sağlarken, Genel IP ve Genel Port bilgileri ise aboneler tarafından paylaşılan IPv4 adresini ve bu IP adresi içerisinde aboneye tahsis edilen iletişim portunun belirlenebilmesini sağlamaktadır.

RFC 6888 içerisinde Gereksinim-12’de “Bir CGN, idari nedenlerle gerekmedikçe, hedef adresleri veya bağlantı noktalarını günlüğe kaydetmemelidir” ifadesi yer almaktadır.

Bu gereksinimin gerekçesi ise RFC 6888’de şu şekilde açıklanmaktadır: “CGN’ de hedef IP kaydı, gizlilik sorunları oluşturur. Ayrıca, okuyucular Internet sunucuları [RFC 6302] için günlüğe kaydetme önerilerinin farkında olmalıdır. Uyumlu sunucularla, hedef adresin ve bağlantı noktasının CGN tarafından günlüğe kaydedilmesi gerekmez. Bu, günlüğe kaydetme miktarını azaltmaya yardımcı olabilir.”

Yani bu gereksinim, abonelerin iletişim gizliliğinin sağlanabilmesi için kaydedilmemesi gerektiği düşünülmektedir. Ancak yine RFC 6888’ in bir sonraki paragrafında bağlantı kurulan sunucunun RFC 6302 ile uyumlu şekilde kayıt tutmuyor olabileceğinin göz önünde bulundurularak karar verilmesi önerilmektedir.

Türkiye mevzuatına bakıldığında ISP’ lerin kayıt tutma zorunluluğu, “5651 Sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ve bu kanuna dayanak alan “İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik” ile düzenlenmiştir.

Yönetmeliğin “Tanımlar” başlığı altında kaydı tutulacak veriler “Madde-3/ö) Vekil sunucu trafik bilgisi: İnternet ortamında erişim sağlayıcı tarafından kullanılan vekil sunucu hizmetine ilişkin talebi yapan kaynak IP adresi ve port numarası, erişim talep edilen hedef IP adresi ve port numarası, protokol tipi, URL adresi, bağlantı tarih ve saati ile bağlantı kesilme tarih ve saati bilgisi gibi bilgileri” olarak tanımlanmıştır.

Aynı yönetmeliğin “Erişim sağlayıcının yükümlülükleri” başlığı altında ise “Madde-8/e) Kullanıcılarına vekil sunucu hizmeti sunuyor ise; vekil sunucu trafik bilgisini bir yıl saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte muhafaza etmek ve gizliliğini temin etmekle” ISP’ leri yükümlülük altına sokmaktadır.

BTK tarafından sağlanan CGNAT kayıtları içerisinde yer alan Hedef IP ve Hedef Port bilgilerinin abone ile ilişkili olarak kayıt altına alınmış olması da bu durumda Hedef IP adresinde bulunan sunucunun, yurtdışı kaynaklı bir sunucu olması durumunda, RFC 6302 ile uyumlu olarak Kaynak IP ve Kaynak Port bilgilerini kaydedip kaydetmediği bilinmemesi ve günlük kayıtlarının temin edilmesinin mümkün görülmemesi nedeni ile yerel mevzuat açısından, suça ilişkin bir abone tespitinin yapılabilmesi için gerekli olacaktır.

Yurtiçi sunucular açısından bu durum aynı yönetmeliğin yine “Tanımlar” bölümü altında “Madde-3/ş) Yer sağlayıcı trafik bilgisi: İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih ve saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgileri gibi bilgileri” şeklinde tanımlanmış ve “Yer sağlayıcının yükümlülükleri” başlığı altında “Madde-7/c) Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle,” yer sağlayıcıları yükümlülük altına sokmaktadır.

C.Sonuç

ISP’ tarafı CGNAT kayıtları, aboneleri IP adresi, Port numarası ve zaman damgası ile tekil olarak birbirinden ayırt edebilecek niteliktedir.

Bu abonelerin belirli bir IP adresine erişimleri/erişim talepleri, ISP’ nin Hedef IP ve Hedef Port bilgisini de kayıt altına almaları sayesinde tespit edilebilir bir veridir.

Ancak bu abonenin Hedef IP üzerinde yalnızca tek bir uygulamayı kullanabilir olmaları durumunda abonenin bu uygulamayı kullandığını tespiti sağlayacaktır.

Eğer sunucu tarafında aynı IP adresi üzerinden birden fazla uygulama bulunuyor ise, bu durumda ISP’nin CGNAT kayıtları abonenin Hedef IP üzerindeki belirli bir uygulamayı kullandığına dair kesin bir tespitin yapılamamasına neden olacaktır.

Sunucu tarafında, uygulamaya ait kullanıcı erişim kayıtlarının mevcut olması durumunda, kullanıcı erişim kayıtları ile ISP’nin CGNAT kayıtları karşılaştırılmak suretiyle abonenin Hedef IP üzerindeki belirli bir uygulamayı kullandığına dair tespitte bulunulabilecektir.

Sunucu tarafındaki uygulamanın kullanıcılarının belirli kimlik ve erişim bilgileri ile kayıt altına aldığı bir durumda ise ISP’nin CGNAT kayıtları ile yapılan karşılaştırmada uygulama kullanıcısı ile abone arasındaki kesin bir eşleşme ile sonuçlanacaktır.

BTK tarafından sağlanan CGNAT kayıtlarında yer alan Özel IP, Özel Port, Genel IP, Genel Port ve Oturum Başlama Tarihi (Zaman Damgası) bilgilerinin kaydedilmesi, RFC 6269 ve 6888 ile uyumludur. Bu durum ilgili kanun ve yönetmelik ile ISP’ ler açısından bir zorunluluk olarak görülmüştür.

BTK tarafından sağlanan CGNAT kayıtlarında yer alan Hedef IP ve Hedef Port bilgilerinin kaydedilmesi RFC 6888 ile uyumludur. RFC dokümanında abonelerin gizliliği gereksinimin göz önünde bulundurulması gerektiği ifade edilmiştir. Hedef IP adresinde yer alan yurtdışı sunucunun RFC 6302’ ye göre kullanıcının Kaynak IP ve Kaynak Port bilgisini kaydedip kaydetmediği bilinmemesi ve günlük kayıtlarının temin edilmesinin mümkün görülmemesi nedeni ile ISP’ ler açısından bir zorunluluk olarak görülmüştür. Yurtiçi sunucular için Hedef IP ve Hedef Port bilgilerinin kaydedilmesi ilgili kanun ve yönetmelik ile yer sağlayıcılar açısından bir zorunluluk olarak görülmüştür.

Bu durumda, ISP’ ler tarafından BTK’ ya gönderilen CGNAT kayıtları aracılığı ile bir abonenin herhangi bir IP adresine erişim veya erişim talebi kesin bir şekilde belirlenebilecektir. Ancak, Hedef IP adresinde bulunan sunucunun birden fazla uygulamayı barındırması durumunda, bu uygulamalardan hangisine erişim sağlandığı veya erişim sağlanmaya çalışıldığı kesin bir şekilde tespit edilemeyecektir.

Yazar: Berker KILIÇ

Kaynakça

A. Dimitriadis, N. Ivezic, B. Kulvatunyou & I. Mavridis, (2020), D4I – Digital Forensics Framework For Reviewing and İnvestigating Cyber Attacks, Array, 5, doi: 10.1016/j.array.2019.100015.

A. Shaabana, & N. Abdelbakia, (2018), Comparison Study of Digital Forensics Analysis Techniques; Findings versus Resources, Procedia Computer Science, 141, 545–551, doi: 10.1016/j.procs.2018.10.128.

Broadband Internet Technical Advisory Group, (2012), Implications of Large Scale Network Address Translation (NAT).

O. Maennel, R. Bush, L. Cittadini & S.M. Bellovin, (2008), A Better Approach than CarrierGradeNAT, Columbia University Technical Report, CUCS-041-08.

I. Livadariu, K. Benson, A. Elmokashfi, A. Dhamdhere & A. Dainotti, (2018), Inferring Carrier-Grade NAT Deployment in the Wild, IEEE Conference on Computer Communications (IEEE INFOCOM), doi: 10.1109/infocom.2018.8486223.

InterConnect Communications, (2013), MC/159 Report on the Implications of Carrier Grade Network Address Translators.

P. Richter, F. Wohlfart, N. Vallina-Rodriguez, M. Allman, R. Bush, A. Feldmann, C. Kreibich, N. Weaver & V. Paxson, (2016), A Multi-perspective Analysis of Carrier-Grade NAT Deployment, ACM Internet Measurement Conference (IMC), 215-279, doi: 10.1145/2987443.2987474.

RFC 1918, Özel Ağlar İçin Adres Tahsisi, (Address Allocation for Private Internets)

RFC 2663, IP Ağ Adresi Çevirmeni (NAT) Terminolojisi ve Dikkat Edilmesi Gerekenler, (IP Network Address Translator (NAT) Terminology and Considerations)

RFC 6269, IP Adresi Paylaşmayla İlgili Sorunlar, (Issues with IP Address Sharing)

RFC 6888, Taşıyıcı Sınıfı NAT’lar (CGN’ler) için Genel Gereksinimler, (Common Requirements for Carrier-Grade NATs (CGNs))

S. Fantin, G. Specchio & P. Valcke, (2019), Modern Issues in Cyber Forensics and Digital Intelligence: A Critical, Case-Studies-Based Overview in Light of the Announced Legislative Reforms, Rivista Italiana Di Informatica E Diritto (RIID), 1(2), doi: 10.32091/RIID0011.

S. Wilson, (2019), The Dark Side of Address Translation Mechanisms (CGNAT), European Cyber Security Perspectives 2019, 10-13.