BAIBUSEC Header

Tarama ve Keşif: Siber İstihbaratın Derinlemesine Analizi ve Metodolojik Yaklaşımlar

Hazırlayanlar: Kudret Efil & Resul Emin Göçer

Siber uzayda güvenlik, asimetrik bir savaş alanıdır. Savunma tarafı (mavi takım) sistemin tamamını korumak zorundayken, saldırı tarafının (kırmızı takım) başarılı olmak için yalnızca tek bir zafiyet bulması yeterlidir. Bu asimetrik denklemde, başarılı bir siber operasyonun—ister etik bir penetrasyon testi isterse kötü niyetli bir saldırı olsun—temeli, sağlam ve kapsamlı bir istihbarat toplama sürecine dayanır. “Cyber Kill Chain” (Siber Saldırı Zinciri) veya PTES (Penetration Testing Execution Standard) gibi endüstri standartlarında ilk aşamalar olarak tanımlanan bu süreç, pasif bilgi toplamadan aktif sorgulamaya geçişi ifade eder. Bu yazının odak noktasını oluşturan Tarama (Scanning) ve Keşif (Enumeration), hedef altyapı üzerinde doğrudan paket gönderimi yaparak gerçekleştirilen, agresif ancak hayati öneme sahip bilgi toplama fazlarıdır. Bu aşamalar, “Hedefte ne var?” sorusundan “Hedef nasıl çalışıyor ve zayıf noktaları nelerdir?” sorusuna geçişin metodolojik köprüsünü kurar.

1. Tarama (Scanning) Metodolojisinin Kuramsal Çerçevesi

Tarama, geniş bir ağ bloğu veya belirli bir hedef sistem üzerinde; erişilebilirliği, aktif servisleri ve ağ topolojisini belirlemek amacıyla yürütülen sistematik bir sondaj işlemidir. Bu aşama, genellikle “genişten özele” (broad-to-narrow) bir yaklaşım izler.

1.1. Host Keşfi ve Ağ Varlıklarının Tespiti (Host Discovery)

Bir saldırı yüzeyini haritalandırmanın ilk adımı, hangi sistemlerin “canlı” (alive) olduğunu belirlemektir. Bu, OSI modelinin farklı katmanlarındaki protokollerin davranışları kullanılarak gerçekleştirilir.

  • Katman 2 (Veri Bağlantı) Tespiti: Aynı yerel ağ segmentinde (LAN) bulunan cihazlar için ARP (Address Resolution Protocol) sorguları kullanılır. Hedef IP adresine karşılık gelen MAC adresini soran yayın (broadcast) mesajları, hedefin varlığını kesin olarak doğrular. Bu yöntem çok hızlıdır ve gizlenmesi zordur.
  • Katman 3 (Ağ) Tespiti: En bilinen yöntem ICMP (Internet Control Message Protocol) Echo Request (Ping) gönderimidir. Ancak modern güvenlik duvarları genellikle dış dünyadan gelen ICMP paketlerini engeller.
  • Katman 4 (Taşıma) Tespiti ve Filtre Aşma: ICMP engellemelerini aşmak için, yaygın olarak açık olan portlara (Örn: TCP Port 80 – HTTP, Port 443 – HTTPS) TCP SYN veya ACK paketleri gönderilir. Hedefin bu paketlere verdiği yanıt (SYN/ACK veya RST), sistemin ayakta olduğunu gösterir. Benzer şekilde, UDP paketleri gönderilerek alınan “ICMP Port Unreachable” hatası da sistemin varlığına işaret eder.

1.2. Port Tarama Taksonomisi ve Durum Analizi

Host keşfinin ardından, hedef üzerindeki “kapıların” yani portların durumu analiz edilir. Bir portun durumu, güvenlik açısından kritik bilgiler sunar. Nmap gibi endüstri standardı araçlar portları temel olarak üç durumda sınıflandırır:

  1. Open (Açık): Hedef sistemde bir uygulamanın bu portu dinlediğini ve bağlantı kabul ettiğini gösterir. (Birincil hedef)
  2. Closed (Kapalı): Portta dinleme yapan bir uygulama yoktur ancak işletim sistemi prob paketine yanıt vermiştir. (Genellikle RST paketi ile)
  3. Filtered (Filtreli): Bir güvenlik duvarı veya paket filtreleyici, prob paketinin hedefe ulaşmasını veya yanıtın geri dönmesini engellemektedir. Nmap portun açık mı kapalı mı olduğuna karar veremez.

Temel ve Gelişmiş Tarama Teknikleri

  • TCP SYN Tarama (Stealth Scan): En yaygın ve varsayılan tarama türüdür. Üçlü el sıkışmayı (Three-Way Handshake) tamamlamaz. SYN gönderir, SYN/ACK alırsa port açıktır ve hemen RST (Reset) göndererek bağlantıyı düşürür. Tam bir oturum açılmadığı için bazı eski IDS sistemleri ve uygulama logları tarafından tespit edilmesi daha zordur.
  • TCP Connect Tarama: İşletim sisteminin connect() sistem çağrısını kullanır ve tam bir TCP bağlantısı kurar. Güvenilirdir ancak hedef sistemin loglarında net izler bırakır. Bu nedenle gürültülü (noisy) bir yöntemdir.
  • UDP Tarama: UDP bağlantısız bir protokol olduğu için zordur. Paket gönderilir, yanıt yoksa port “open|filtered” (açık veya filtreli) kabul edilir. “ICMP Port Unreachable” dönerse kapalıdır. Bu tarama genellikle yavaştır ve güvenilirliği düşüktür.
  • Evasion (Kaçınma) Taramaları (FIN, NULL, XMAS): RFC standartlarına tam uymayan durumsuz (stateless) güvenlik duvarlarını aşmak için tasarlanmıştır. Örneğin, TCP başlığında hiçbir bayrağın (flag) ayarlanmadığı NULL taraması; bazı sistemlerin kafasını karıştırarak kapalı portlardan RST yanıtı alınmasını sağlayabilir.

2. Keşif (Enumeration): Sistematik Veri Madenciliği

Tarama aşaması “nerede” sorusuna yanıt verirken, Keşif (Enumeration) aşaması “ne” ve “kim” sorularına odaklanır. Bu, tarama sırasında bulunan açık portlar ve servisler üzerinden hedef sisteme özgü kritik verilerin aktif olarak çekilmesi işlemidir. Keşif, saldırı vektörünün belirlenmesinde en belirleyici adımdır.

2.1. Servis Versiyon Tespiti ve Parmak İzi (Fingerprinting)

Bir portun 80/TCP (HTTP) olduğunu bilmek yeterli değildir. O portta “Apache 2.4.49” mu yoksa “Microsoft IIS 10.0” mı çalıştığını bilmek hayati önem taşır.

  • Banner Grabbing: Servise bağlanıldığında sunucunun gönderdiği ilk karşılama iletisini (banner) okuma işlemidir. Basit ama etkilidir.
  • Gelişmiş Prob Tabanlı Tespit: Nmap’in versiyon tespiti (-sV), servise çeşitli sorgular gönderir ve dönen yanıtları (davranışsal farklılıkları) devasa bir imza veritabanıyla karşılaştırarak servisin tam adını ve sürümünü yüksek doğrulukla belirler. Bu bilgi, doğrudan bilinen zafiyet veritabanlarında (CVE – Common Vulnerabilities and Exposures) arama yapmak için kullanılır.

2.2. Ağ Protokolleri Üzerinden Veri Keşfi

Ağ ortamlarında yaygın olarak kullanılan bazı protokoller, doğaları gereği veya hatalı yapılandırmalar sonucu çok miktarda bilgi sızdırabilir.

a. NetBIOS ve SMB (Server Message Block) Keşfi (Windows Ortamları)

Windows ağlarının temel taşı olan SMB, keşif için bir altın madenidir. Uygun araçlarla (örn: enum4linux, smbclient) şunlar elde edilebilir:

  • Kullanıcı Listeleri: Hedef sistemdeki geçerli kullanıcı adları.
  • Paylaşımlar (Shares): Ağ üzerinden erişilebilen dosya dizinleri (Örn: Yanlışlıkla açık bırakılmış hassas veri içeren klasörler).
  • Parola Politikaları: Minimum parola uzunluğu, hesap kilitlenme eşiği gibi brute-force saldırılarını şekillendirecek bilgiler.
b. DNS (Domain Name System) Keşfi

DNS sunucuları, bir organizasyonun dış dünyadaki ve bazen iç ağdaki dijital haritasını barındırır.

  • Zone Transfer (AXFR): Eğer bir DNS sunucusu hatalı yapılandırılmışsa, yetkisiz bir kullanıcı tüm alan adı kayıtlarını (A, MX, CNAME, vb.) tek bir sorguyla çekebilir. Bu, tüm alt alan adlarının ve IP adreslerinin ifşası anlamına gelir.
  • Brute-Force Alt Alan Adı Tespiti: Yaygın alt alan adları (örn:  vpn.hedef.com, test.hedef.com, dev.hedef.com) sözlük tabanlı saldırılarla denenerek, gizli kalmış veya unutulmuş sunucular tespit edilebilir.
c. SNMP (Simple Network Management Protocol) Keşfi

Ağ cihazlarını yönetmek için kullanılan SNMP, genellikle zayıf varsayılan ayarlarla bırakılır. “Public” gibi varsayılan topluluk dizeleri (community strings) kullanılarak yönlendiriciler, anahtarlar ve sunucular hakkında inanılmaz detayda bilgi (sistem çalışma süresi, yüklü yazılımlar, ağ arayüz istatistikleri, hatta bazen kullanıcı hesapları) sorgulanabilir.

2.3. Dizin ve Kimlik Doğrulama Servisleri (LDAP/AD)

Kurumsal ortamlarda, Active Directory (AD) veya LDAP (Lightweight Directory Access Protocol) sunucuları, organizasyonun tüm hiyerarşisini barındırır. Bu servislerin keşfi, saldırganın domain içerisindeki kullanıcıları, grupları, bilgisayarları ve organizasyonel birimleri (OU) haritalandırmasını sağlar. Bu bilgi, yanal hareket (lateral movement) ve yetki yükseltme saldırıları için kritik öneme sahiptir.

3. Savunma Perspektifi: Tespit ve Önleme Stratejileri

Tarama ve Keşif tekniklerine hakimiyet, Mavi Takımlar (Savunmacılar) için proaktif bir güvenlik duruşu geliştirmenin ön koşuludur. Savunma stratejisi “derinlemesine savunma” (defense in depth) ilkesine dayanmalıdır.

3.1. Ağ Sıkılaştırma ve Filtreleme (Network Hardening)

  • Varsayılan Reddetme (Default Deny): Güvenlik duvarı politikaları, sadece iş ihtiyacı için kesinlikle gerekli olan trafiğe izin vermeli; geri kalan her şeyi varsayılan olarak engellemelidir.
  • Egress Filtreleme: Sadece içeri giren değil, dışarı çıkan trafik de filtrelenmelidir. Bu, bir sunucu ele geçirilse bile saldırganın dışarıya ters bağlantı (reverse shell) açmasını veya veri kaçırmasını zorlaştırır.
  • Servis Minimizasyonu: Bir sunucuda sadece ihtiyaç duyulan servisler çalışmalıdır. Kullanılmayan her açık port, potansiyel bir risk ve keşif noktasıdır.

3.2. Gizleme ve Yanıltma (Obfuscation and Deception)

  • Banner Gizleme: Servislerin (SSH, HTTP, FTP) konfigürasyon dosyaları düzenlenerek versiyon bilgilerini içeren varsayılan banner’ların gösterilmesi engellenmeli veya yanıltıcı bilgilerle değiştirilmelidir.
  • Honeypot (Bal Küpü) Kullanımı: Saldırganları tuzağa düşürmek için gerçek gibi görünen sahte sistemler veya servisler kurulabilir. Bu sistemlere yapılan herhangi bir tarama veya bağlantı girişimi, anında yüksek öncelikli bir alarm üretmelidir. Bu sadece tespiti sağlamaz. Aynı zamanda saldırganın teknikleri hakkında istihbarat toplama imkanı da sunar.

3.3. Anomali Tespiti ve İzleme

Saldırı Tespit Sistemleri (IDS) ve SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümleri, tarama aktivitelerinin karakteristik imzalarını tanıyacak şekilde yapılandırılmalıdır. Örneğin:

  • Kısa süre içinde aynı kaynak IP’den çok sayıda farklı porta yapılan bağlantı girişimleri.
  • SYN bayraklı paketlerin gönderilip gelen SYN/ACK yanıtına ACK ile karşılık verilmemesi (SYN Taraması imzası).
  • RFC standartlarına uymayan TCP bayrak kombinasyonlarının (Örn: FIN, URG ve PSH bayraklarının aynı anda ayarlandığı XMAS taraması) tespiti.

Sonuç

Tarama ve Keşif, siber güvenliğin hem saldırı hem de savunma tarafında yer alan, sürekli ve döngüsel bir süreçtir. Bir saldırgan için bu aşama, karanlıkta bir el feneri yakmak gibidir. Hedefin sınırlarını, zayıflıklarını ve giriş noktalarını aydınlatır. Bu aşamada elde edilen istihbaratın kalitesi, takip eden zafiyet sömürme (exploitation) aşamasının başarısını doğrudan belirler. Savunmacılar için ise bu teknikleri düzenli olarak kendi sistemlerine uygulamak (Penetrasyon Testi ve Zafiyet Taraması), saldırganlardan önce güvenlik açıklarını görmenin ve kapatmanın tek yoludur. Modern, dinamik ağ altyapılarında güvenlik, statik bir durum değil, sürekli bir keşif ve iyileştirme sürecidir.

Kaynakça

  • Fyodor (Poulsen, Gordon). (2009). Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning. Insecure.Com LLC. (Port tarama teknikleri, host keşfi ve versiyon tespiti konularında en kapsamlı teknik referans kaynağıdır).
  • Scambray, Joel; McClure, Stuart; Kurtz, George. (2012). Hacking Exposed 7: Network Security Secrets & Solutions. McGraw-Hill Education. (Keşif metodolojileri, SMB, NetBIOS, DNS ve SNMP üzerinden bilgi toplama teknikleri konusunda detaylı pratik örnekler sunan temel eser).
    • Erişim: [Akademik veritabanları veya yayıncı web sitesi üzerinden erişilebilir]
  • Mitre Corporation. ATT&CK Framework. (Taktik ID: TA0007 – Discovery). (Saldırganların kullandığı keşif tekniklerinin, taktiklerinin ve prosedürlerinin (TTP) sistematik olarak sınıflandırıldığı bilgi tabanı).
  • Internet Engineering Task Force (IETF). RFC Dokümanları (Örn: RFC 793 – TCP, RFC 768 – UDP). (Protokollerin çalışma prensiplerini ve tarama tekniklerinin bu prensipleri nasıl manipüle ettiğini anlamak için birincil kaynaklar).

Kategori

Paylaş

Son Yazılar

Bizi Takip Edin

Linkedin X-twitter Instagram

Yazıyı Beğendin mi?

Yeni yazılarımızdan haberdar olmak için şimdi bize katılın.
İlgili yazılar

Okumaya Devam Edin