Biliim Sularnda IP Adres Analizi

Adli Biliim Asndan IP Adresleri

Huzeyfe NAL

5/13/2010

[Son zamanlarda medyada geni yer bulan eitli haberlerin ana temasn IP adresleri oluturmaktadr. Bu yaz biliim sistemleri kullanlarak ilenen sularda sulunun kendini hangi imkanlarla nasl gizleyebilecei ve adli biliim analizi yapanlarn IP adresleri konusunda nelere dikkat etmesi gerektii konularn ele almaktadr.]

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 2

erik Tablosu Giri......................................................................................................................................................... 3

IP(Internet Protocol) Adresi ................................................................................................................. 3

IP adreslerini kim datr? ................................................................................................................ 4

IP Adresi Neden nemlidir? ............................................................................................................. 4

stediim IP adresini kullanabilir miyim? .......................................................................................... 4

IP Adresi Sahibini Bulma .................................................................................................................. 5

IP Adresinin Ait Olduu lkenin Bulunmas ...................................................................................... 6

IP Spoofing Kavram ............................................................................................................................. 6

Bakasnn IP Adresinden Nasl Su lenir? ...................................................................................... 7

DDoS Saldrlarnda Kullanlan IP Adresleri ........................................................................................... 8

Baka lkeden Geliyormu Gibi E-posta Gndermek ........................................................................ 8

cretsiz Anonim Proxy Hizmetleri ........................................................................................................ 9

stenilen lkeden IP Adresi Kullanma ............................................................................................. 10

Sonu .................................................................................................................................................... 11

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 3

Giri

Gnmz modern insannn hayat iki farkl dnyadan olumaktadr. Bu dnyalardan biri fiziksel olarak

yaadmz sosyal hayatmz dieri de en az sosyal hayat kadar vakit geirdiimiz ve baml olduumuz

siber dnyadr.

Siber dnyann sunduu olanaklar arttka, gerek hayattaki bir ok ilev siber/sanal versiyonuyla yer

deitirmektedir ki bu da insanlarn siber dnyaya daha fazla baml olmasna sebep olmaktadr. Siber

dnya kavram detayl olarak incelenirse bu dnyann iki farkl profilde insanlara olanak salad ortaya

kacaktr. Profillerden biri ilerini daha rahat yapabilmek iin siber dnyann olanaklarn kullanan

masum vatanda, dieri de bu dnyay kt amal kullanmak isteyen su ebekeleri.

2000li yllardan itibaren ilenen sular yakndan incelenirse siber dnyann -dolaysyla da biliimin- su

rgtleri tarafndan ciddi bir ekilde kullanld grlecektir. Siber dnya denildiinde ise akla ilk gelen

bileen Internetin de temel yaptalarndan biri olan IP adresleridir.

Bu yazda biliim sularnda IP adreslerinin yeri ve nemi anlatlmaktadr.

IP(Internet Protocol) Adresi

Teknik olarak IP adresi, bir aa bal cihazlarn birbirleriyle haberleebilmesi iin gerekli adrestir. Internet

de alar birbieine balayan en byk a olduu iin internete bal her bilgisayar bir IP adresine sahip

olmaldr. Her ne kadar internet ortamnda isimler kullanlsa da (alan adlar) bilgisayarlar haberleme iin

isimleri IP adreslerine evirmektedir. Internete siber dnya olarak bakarsak IP, siber dnyada bizi

adresleyen bir numaradr diyebiliriz.

Gerek hayatta nasl adresler tanmlanrken mahalle, sokak, ile, il eklinde tanmlanyorsa sanal

dnyada da IP adresleri benzer ekilde tanmlanmaktadr.

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 4

IP adreslerini kim datr?

IP adresleri IANA bakanlnda RIR(Regional Internet Registry) olarak adlandrlan organizasyonlar

tarafndan datlr. Tm dnyaya IP datan be farkl RIR vardr. Bunlar blgelere gore IP datm

ilemlerini stlenmilerdir.

Sradan Internet kullanclarna(son kullanclara) IP datm ilemi hizmet aldklar ISS(Internet servis

salaycs)tarafndan yaplr. Baz ISSler sabit IP adresi verebilirken baz ISSler deiken IP adresi

atamas yapar.

IP Adresi Neden nemlidir?

Siber dnyada bizleri tanmlayan ayrt edici en nemli zellik IP adreslerimizdir. Gerek dnyadaki adreslerimizden farkl olarak siber dnyada IP adreslerimiz kimliimizdir. Bunun sebebi siber dnyada yaplan her ilemde IP adreslerinin kullanlmas ve tesinde IP adres kullanlarak yaplan her tr ilemden IP adresinin sahibinin sorumlu olmasdr.

stediim IP adresini kullanabilir miyim?

IP adresleri belirli bir hiyerari ve sisteme gore datlr ve datlan IP adresleri omurga ynlendiriciler

tarafndan ynlendirilir. Dolaysyla isteyen istedii IP adresini kullanamaz.

Bir IP adresinin kime, hangi kuruma ait olduu RIRler zerinden yaplacak sorgulamalarla belirlenebilir.

Bu sorgulamalara whois ad verilir. Genellikle IP adresleri kurumlara verilir ve kurumda birileri IP

adresinin alm ilemlerinden sorumlu olur, whois sorgularnda kan adresler genellikle IP adresleriyle

ilgili bir sorun/talep olduunda ulalabilmek iin verilir.

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 5

Sorgulanan bir IP adresine ait kurum/kii bilgileri

IP Adresi Sahibini Bulma

Yaplan whois sorgusunda IP adresinin hangi kuruma ait olduu ortaya kacaktr. Buradaki kurum

bilgilerini kullanarak IP adresinin gerek sahibi bulunabilir.

Internet servis salayclar 5651 sayl kanun gerei internet hizmeti verdikleri tm kullanclara ait eriim

bilgilerini tutmakla ykmldrler. Kanun eriim bilgisini aadaki gibi tanmlamaktadr:

Eriim salayc trafik bilgisi: nternet ortamna eriime ilikin olarak abonenin ad, ad ve soyad, adresi,

telefon numaras, abone balang tarihi, abone iptal tarihi, sisteme balant tarih ve saat bilgisi,

sistemden k tarih ve saat bilgisi, ilgili balant iin verilen IP adresi ve balant noktalar gibi bilgileri,

Eriim salayc trafik bilgisi: nternet ortamna eriime ilikin olarak abonenin ad, ad ve soyad, adresi,

telefon numaras, abone balang tarihi, abone iptal tarihi, sisteme balant tarih ve saat bilgisi,

sistemden k tarih ve saat bilgisi, ilgili balant iin verilen IP adresi ve balant noktalar gibi bilgiler

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 6

Tanmdan da anlalaca zere Trkiye ierisinde bir IP adresine ait sorumlular belirlenebilir.

IP adresi Trkiye harici bir lkeye aitse bu durumda yasal yollardan talep yaplarak ilgili lkeden IP adresi

sahibi bilgileri istenebilir fakat IP bilgileri istenen lkenin kanunlarna gre bu bilgiyi almak kolay

olmayabilir.

IP Adresinin Ait Olduu lkenin Bulunmas

IP adresleri datlrken sistematik ve hiyerarik bir yap kullanldn belirtmitik. Bu sistematik yapda

IP adreslerinin hangi lkeye ait olduu bilgisi rahatlkla bulunabilir.

Google zerinden geo ip country ip blocks anahtar kelimeleriyle yaplacak aramalarda bir ip

adresinin hangi lkeye ait olduu bilgisi edinilebilir.

Bir IP adresinin hangi lkeye ait olduu bilgisi

IP Spoofing Kavram

Internetin almasn salayan TCP/IP protokol ailesi gelitirilirken gvenlik temel ama olmad iin

olabildiince esnek davranlmtr. Bu esneklik IP adreslerinin aldatlabilir(spoofed) olmasn salamtr.

Ip spoofing yaparak bakasnn IP adresinden istenilen internet aktivitesi yaplabilir.

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 7

Son yazdmz cmle bundan on sene ncesi iin geerli olsa da gnmzde pratik olarak geersizdir.

Bunun temel nedeni gnmz modern iletim sistemlerinin protokoldeki eksik noktalara kalc zm

getirmeleridir.

zellikle internetde en sk kullanlan HTTP, SMTP, HTTPS gibi protokollerin temelinde bulunan

TCP(TCP/IP protocol ailesinden) bu tip sahtecilik ilemlerini engelleme amal bir yntem kullanr.

Bu yntem ksaca 3 way handshake olarak adlandrlr ve kullanc bir ilem yapmadan once kullanc ile

sunucu bilgisayar arasnda bir iletiim kanal kurulmasn salar. Bu iletiim kanalnn kurulmasnda

kullanlan baz parametrelere (ISN numaralar) gnmz iletim sistemlerinde olduka gl olduu iin

IP spoofing yaplamaz.

Ksacas TCP kullanan uygulamalarda(web sayfalarn gezerken, e-posta gnderirken, bankaclk ilemleri

yaparken) teorik olarak IP spoofing mmkn olsa da pratik olarak mmkn gzkmemektedir.

Bununla birlikte DNS gibi UDP kullanan uygulamalarda IP spoofing yapmak hala mmkndr.

Bakasnn IP Adresinden Nasl Su lenir?

Ksaca yukarda bahsettiimiz IP spoofing ilemi kullanlarak istenen herhangi birinin IP adresinden ciddi

sular ilenemez ancak aadaki durumlar oluursa istenilen IP adresinden su ilenebilir:

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 8

IP adresini kullanan bilgisayardaki gvenlik aklklar kullanlarak ajan yazlmlar yklenir ve bu

yazlmlar kullanlarak IP Adresinden geliyormu gibi su ilenebilir.

IP adresi eer NAT yaplan bir IP ise ilgili ada bulunan herhangi birinin makinesine bulatrlacak

ajan yazlmlar sayesinde IP adresi kullanlarak su ilenebilir

IP adresi eer ayn zamanda kablosuz aa sahipse bu kablosuz aa szlarak IP adresinden su

ilenebilir

Yukarda saylan maddeler olumasa bile IP adresiniz DoS saldrlarnda sizden habersiz kullanlabilir.

DDoS Saldrlarnda Kullanlan IP Adresleri

DDoS saldrlar herhangi bir sistemi alamaz hale getirmek iin yaplan saldrlardr. Bu tip saldrlar

genellikle binlerce farkl bilgisayar kullanlarak yaplr ve hedef sistemin kapasitesinin kaldramayaca

kadar trafik gnderilir.

DDoS saldrlarnda tercih edilen ynteme gre IP adresi spoof ilemi gerekletirilebilir. Eer yaplan

saldr SYN Flood, UDP flood tarzysa saldrgan oturduu yerden istedii IP adresini spoof ederek saldr

gerekletirebilir.

Bu da eitli durumlarda iki firmay gereksiz yere kar karya getirebilir. Mesela X firmasndan ald

rnden memnun kalmayan saldrgan internetten cretsiz edinebilecei basit aralarla X firmasnn

rakibi olan Y firmasna sanki X firmasndan geliyormucasna DoS saldrs gerekletirebilir. Y firmas

gvenlik sistemlerinde analiz yapldnda saldrnn X sisteminden geldii dnlecektir.

Yine benzeri ekilde zombi sistemler kullanlarak yaplan DDoS saldrlarnda kullanlan IP adresleri gerek

olsalar bile sahibinin haberi olmadan sisteme yklenen zararl yazlmlarla gerekletirildii iin asl faili

bulmak olduka zor olacaktr.

Baka lkeden Geliyormu Gibi E-posta Gndermek

Ultrasurf, TOR gibi trafik anonimletirme yazlmlar kullanlarak yaplan ilemlerin farkl lkelerden

geliyormu gibi gzkmesi salanabilir. E-posta kullanmnda sk kullanlan iki yntem vardr: bunlardan

biri webmail hizmeti kullanmak(Hotmail, Yahoo gibi servislerin kullanm) dieri de Microsoft Outlook,

Mozilla Thunderbird gibi e-posta istemcisi kullanmaktr. Her iki yntemde de proxyler araclyla trafik

istenilen lkeden geliyormu gibi gsterilebilir fakat istenilen IP adresinden geliyormu gibi gsterilemez.

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 9

Ultrasurf kullanlarak yaplan bir web sayfas ziyaretinde gzken IP adresi bilgisi

Gnderilen e-postann balk bilgileri incelenirse e-posta sahte dahi olsa nereden gnderildii bilgisi edinilebilir.

cretsiz Anonim Proxy Hizmetleri

Internet zerinde hizmet veren binlerce cretsiz anonim proxy hizmeti bulunmaktadr. Bu hizmetlerden bazlar lke baznda zelletirilmi hizmet sunmaktadr. Yani proxy servisini kulanrken hangi lkeden k yaplaca belirtilerek tm trafiin ilgili lkeden kmas ve sunucularda o lkeden geliyormu gibi gsterilmesi salanabilir.

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 10

stenilen lkeden IP Adresi Kullanma

Aadaki ekran grnts proxylerden lke olarak Kanadann seilmesi sonras alnmtr.

Bu proxy kullanlarak yaplacak bir ilemde asl faili bulmak olduka zordur. Bunun temel nedeni internet

zerinde aktif alan binlerce proxy servisinin hangi kullancnn hangi zaman diliminde nereye

baland bilgisini tutmamasdr.

Biliim Sularnda IP Adres Analizi

BLG GVENL AKADEMS |www.guvenlikegitimleri.com 11

Sonu

Internet altyaps kullanlarak ilenen sularda pheci davranlmaldr. Ele geirilen bir IP adresinden

yola karak yaplacak ilemler ii tezgahlayan kii tarafndan bilindiinden dolay ie yaramayacaktr.

Hatta zellikle yabanc IP adresleri kullanlarak belirli kii/kurumlar thmet altnda braklmak istenebilir.

Bu gibi durumlarda suluyu bulmak gerek hayata gre daha zor grnse de konusunun uzman bir adli

biliimci sulunun nereden geldiini, kendisini gizleyip gizlemediini, gizlediyse hangi yntemleri, aralar

kullanarak gizlediini ortaya karabilir.

Internetin temel yapta olan TCP/IP protokol ve bu protocol ailesine ait gvenlik risklerini uygulamal

olarak renmek iin Uygulamal TCP/IP Gvenlii Eitimine kayt yaptrabilirsiniz.

( http://www.guvenlikegitimleri.com/?p=1160 )