ip forensic
DESCRIPTION
Ip ForensicTRANSCRIPT
-
Biliim Sularnda IP Adres Analizi
Adli Biliim Asndan IP Adresleri
Huzeyfe NAL
5/13/2010
[Son zamanlarda medyada geni yer bulan eitli haberlerin ana temasn IP adresleri oluturmaktadr. Bu yaz biliim sistemleri kullanlarak ilenen sularda sulunun kendini hangi imkanlarla nasl gizleyebilecei ve adli biliim analizi yapanlarn IP adresleri konusunda nelere dikkat etmesi gerektii konularn ele almaktadr.]
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 2
erik Tablosu Giri......................................................................................................................................................... 3
IP(Internet Protocol) Adresi ................................................................................................................. 3
IP adreslerini kim datr? ................................................................................................................ 4
IP Adresi Neden nemlidir? ............................................................................................................. 4
stediim IP adresini kullanabilir miyim? .......................................................................................... 4
IP Adresi Sahibini Bulma .................................................................................................................. 5
IP Adresinin Ait Olduu lkenin Bulunmas ...................................................................................... 6
IP Spoofing Kavram ............................................................................................................................. 6
Bakasnn IP Adresinden Nasl Su lenir? ...................................................................................... 7
DDoS Saldrlarnda Kullanlan IP Adresleri ........................................................................................... 8
Baka lkeden Geliyormu Gibi E-posta Gndermek ........................................................................ 8
cretsiz Anonim Proxy Hizmetleri ........................................................................................................ 9
stenilen lkeden IP Adresi Kullanma ............................................................................................. 10
Sonu .................................................................................................................................................... 11
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 3
Giri
Gnmz modern insannn hayat iki farkl dnyadan olumaktadr. Bu dnyalardan biri fiziksel olarak
yaadmz sosyal hayatmz dieri de en az sosyal hayat kadar vakit geirdiimiz ve baml olduumuz
siber dnyadr.
Siber dnyann sunduu olanaklar arttka, gerek hayattaki bir ok ilev siber/sanal versiyonuyla yer
deitirmektedir ki bu da insanlarn siber dnyaya daha fazla baml olmasna sebep olmaktadr. Siber
dnya kavram detayl olarak incelenirse bu dnyann iki farkl profilde insanlara olanak salad ortaya
kacaktr. Profillerden biri ilerini daha rahat yapabilmek iin siber dnyann olanaklarn kullanan
masum vatanda, dieri de bu dnyay kt amal kullanmak isteyen su ebekeleri.
2000li yllardan itibaren ilenen sular yakndan incelenirse siber dnyann -dolaysyla da biliimin- su
rgtleri tarafndan ciddi bir ekilde kullanld grlecektir. Siber dnya denildiinde ise akla ilk gelen
bileen Internetin de temel yaptalarndan biri olan IP adresleridir.
Bu yazda biliim sularnda IP adreslerinin yeri ve nemi anlatlmaktadr.
IP(Internet Protocol) Adresi
Teknik olarak IP adresi, bir aa bal cihazlarn birbirleriyle haberleebilmesi iin gerekli adrestir. Internet
de alar birbieine balayan en byk a olduu iin internete bal her bilgisayar bir IP adresine sahip
olmaldr. Her ne kadar internet ortamnda isimler kullanlsa da (alan adlar) bilgisayarlar haberleme iin
isimleri IP adreslerine evirmektedir. Internete siber dnya olarak bakarsak IP, siber dnyada bizi
adresleyen bir numaradr diyebiliriz.
Gerek hayatta nasl adresler tanmlanrken mahalle, sokak, ile, il eklinde tanmlanyorsa sanal
dnyada da IP adresleri benzer ekilde tanmlanmaktadr.
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 4
IP adreslerini kim datr?
IP adresleri IANA bakanlnda RIR(Regional Internet Registry) olarak adlandrlan organizasyonlar
tarafndan datlr. Tm dnyaya IP datan be farkl RIR vardr. Bunlar blgelere gore IP datm
ilemlerini stlenmilerdir.
Sradan Internet kullanclarna(son kullanclara) IP datm ilemi hizmet aldklar ISS(Internet servis
salaycs)tarafndan yaplr. Baz ISSler sabit IP adresi verebilirken baz ISSler deiken IP adresi
atamas yapar.
IP Adresi Neden nemlidir?
Siber dnyada bizleri tanmlayan ayrt edici en nemli zellik IP adreslerimizdir. Gerek dnyadaki adreslerimizden farkl olarak siber dnyada IP adreslerimiz kimliimizdir. Bunun sebebi siber dnyada yaplan her ilemde IP adreslerinin kullanlmas ve tesinde IP adres kullanlarak yaplan her tr ilemden IP adresinin sahibinin sorumlu olmasdr.
stediim IP adresini kullanabilir miyim?
IP adresleri belirli bir hiyerari ve sisteme gore datlr ve datlan IP adresleri omurga ynlendiriciler
tarafndan ynlendirilir. Dolaysyla isteyen istedii IP adresini kullanamaz.
Bir IP adresinin kime, hangi kuruma ait olduu RIRler zerinden yaplacak sorgulamalarla belirlenebilir.
Bu sorgulamalara whois ad verilir. Genellikle IP adresleri kurumlara verilir ve kurumda birileri IP
adresinin alm ilemlerinden sorumlu olur, whois sorgularnda kan adresler genellikle IP adresleriyle
ilgili bir sorun/talep olduunda ulalabilmek iin verilir.
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 5
Sorgulanan bir IP adresine ait kurum/kii bilgileri
IP Adresi Sahibini Bulma
Yaplan whois sorgusunda IP adresinin hangi kuruma ait olduu ortaya kacaktr. Buradaki kurum
bilgilerini kullanarak IP adresinin gerek sahibi bulunabilir.
Internet servis salayclar 5651 sayl kanun gerei internet hizmeti verdikleri tm kullanclara ait eriim
bilgilerini tutmakla ykmldrler. Kanun eriim bilgisini aadaki gibi tanmlamaktadr:
Eriim salayc trafik bilgisi: nternet ortamna eriime ilikin olarak abonenin ad, ad ve soyad, adresi,
telefon numaras, abone balang tarihi, abone iptal tarihi, sisteme balant tarih ve saat bilgisi,
sistemden k tarih ve saat bilgisi, ilgili balant iin verilen IP adresi ve balant noktalar gibi bilgileri,
Eriim salayc trafik bilgisi: nternet ortamna eriime ilikin olarak abonenin ad, ad ve soyad, adresi,
telefon numaras, abone balang tarihi, abone iptal tarihi, sisteme balant tarih ve saat bilgisi,
sistemden k tarih ve saat bilgisi, ilgili balant iin verilen IP adresi ve balant noktalar gibi bilgiler
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 6
Tanmdan da anlalaca zere Trkiye ierisinde bir IP adresine ait sorumlular belirlenebilir.
IP adresi Trkiye harici bir lkeye aitse bu durumda yasal yollardan talep yaplarak ilgili lkeden IP adresi
sahibi bilgileri istenebilir fakat IP bilgileri istenen lkenin kanunlarna gre bu bilgiyi almak kolay
olmayabilir.
IP Adresinin Ait Olduu lkenin Bulunmas
IP adresleri datlrken sistematik ve hiyerarik bir yap kullanldn belirtmitik. Bu sistematik yapda
IP adreslerinin hangi lkeye ait olduu bilgisi rahatlkla bulunabilir.
Google zerinden geo ip country ip blocks anahtar kelimeleriyle yaplacak aramalarda bir ip
adresinin hangi lkeye ait olduu bilgisi edinilebilir.
Bir IP adresinin hangi lkeye ait olduu bilgisi
IP Spoofing Kavram
Internetin almasn salayan TCP/IP protokol ailesi gelitirilirken gvenlik temel ama olmad iin
olabildiince esnek davranlmtr. Bu esneklik IP adreslerinin aldatlabilir(spoofed) olmasn salamtr.
Ip spoofing yaparak bakasnn IP adresinden istenilen internet aktivitesi yaplabilir.
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 7
Son yazdmz cmle bundan on sene ncesi iin geerli olsa da gnmzde pratik olarak geersizdir.
Bunun temel nedeni gnmz modern iletim sistemlerinin protokoldeki eksik noktalara kalc zm
getirmeleridir.
zellikle internetde en sk kullanlan HTTP, SMTP, HTTPS gibi protokollerin temelinde bulunan
TCP(TCP/IP protocol ailesinden) bu tip sahtecilik ilemlerini engelleme amal bir yntem kullanr.
Bu yntem ksaca 3 way handshake olarak adlandrlr ve kullanc bir ilem yapmadan once kullanc ile
sunucu bilgisayar arasnda bir iletiim kanal kurulmasn salar. Bu iletiim kanalnn kurulmasnda
kullanlan baz parametrelere (ISN numaralar) gnmz iletim sistemlerinde olduka gl olduu iin
IP spoofing yaplamaz.
Ksacas TCP kullanan uygulamalarda(web sayfalarn gezerken, e-posta gnderirken, bankaclk ilemleri
yaparken) teorik olarak IP spoofing mmkn olsa da pratik olarak mmkn gzkmemektedir.
Bununla birlikte DNS gibi UDP kullanan uygulamalarda IP spoofing yapmak hala mmkndr.
Bakasnn IP Adresinden Nasl Su lenir?
Ksaca yukarda bahsettiimiz IP spoofing ilemi kullanlarak istenen herhangi birinin IP adresinden ciddi
sular ilenemez ancak aadaki durumlar oluursa istenilen IP adresinden su ilenebilir:
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 8
IP adresini kullanan bilgisayardaki gvenlik aklklar kullanlarak ajan yazlmlar yklenir ve bu
yazlmlar kullanlarak IP Adresinden geliyormu gibi su ilenebilir.
IP adresi eer NAT yaplan bir IP ise ilgili ada bulunan herhangi birinin makinesine bulatrlacak
ajan yazlmlar sayesinde IP adresi kullanlarak su ilenebilir
IP adresi eer ayn zamanda kablosuz aa sahipse bu kablosuz aa szlarak IP adresinden su
ilenebilir
Yukarda saylan maddeler olumasa bile IP adresiniz DoS saldrlarnda sizden habersiz kullanlabilir.
DDoS Saldrlarnda Kullanlan IP Adresleri
DDoS saldrlar herhangi bir sistemi alamaz hale getirmek iin yaplan saldrlardr. Bu tip saldrlar
genellikle binlerce farkl bilgisayar kullanlarak yaplr ve hedef sistemin kapasitesinin kaldramayaca
kadar trafik gnderilir.
DDoS saldrlarnda tercih edilen ynteme gre IP adresi spoof ilemi gerekletirilebilir. Eer yaplan
saldr SYN Flood, UDP flood tarzysa saldrgan oturduu yerden istedii IP adresini spoof ederek saldr
gerekletirebilir.
Bu da eitli durumlarda iki firmay gereksiz yere kar karya getirebilir. Mesela X firmasndan ald
rnden memnun kalmayan saldrgan internetten cretsiz edinebilecei basit aralarla X firmasnn
rakibi olan Y firmasna sanki X firmasndan geliyormucasna DoS saldrs gerekletirebilir. Y firmas
gvenlik sistemlerinde analiz yapldnda saldrnn X sisteminden geldii dnlecektir.
Yine benzeri ekilde zombi sistemler kullanlarak yaplan DDoS saldrlarnda kullanlan IP adresleri gerek
olsalar bile sahibinin haberi olmadan sisteme yklenen zararl yazlmlarla gerekletirildii iin asl faili
bulmak olduka zor olacaktr.
Baka lkeden Geliyormu Gibi E-posta Gndermek
Ultrasurf, TOR gibi trafik anonimletirme yazlmlar kullanlarak yaplan ilemlerin farkl lkelerden
geliyormu gibi gzkmesi salanabilir. E-posta kullanmnda sk kullanlan iki yntem vardr: bunlardan
biri webmail hizmeti kullanmak(Hotmail, Yahoo gibi servislerin kullanm) dieri de Microsoft Outlook,
Mozilla Thunderbird gibi e-posta istemcisi kullanmaktr. Her iki yntemde de proxyler araclyla trafik
istenilen lkeden geliyormu gibi gsterilebilir fakat istenilen IP adresinden geliyormu gibi gsterilemez.
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 9
Ultrasurf kullanlarak yaplan bir web sayfas ziyaretinde gzken IP adresi bilgisi
Gnderilen e-postann balk bilgileri incelenirse e-posta sahte dahi olsa nereden gnderildii bilgisi edinilebilir.
cretsiz Anonim Proxy Hizmetleri
Internet zerinde hizmet veren binlerce cretsiz anonim proxy hizmeti bulunmaktadr. Bu hizmetlerden bazlar lke baznda zelletirilmi hizmet sunmaktadr. Yani proxy servisini kulanrken hangi lkeden k yaplaca belirtilerek tm trafiin ilgili lkeden kmas ve sunucularda o lkeden geliyormu gibi gsterilmesi salanabilir.
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 10
stenilen lkeden IP Adresi Kullanma
Aadaki ekran grnts proxylerden lke olarak Kanadann seilmesi sonras alnmtr.
Bu proxy kullanlarak yaplacak bir ilemde asl faili bulmak olduka zordur. Bunun temel nedeni internet
zerinde aktif alan binlerce proxy servisinin hangi kullancnn hangi zaman diliminde nereye
baland bilgisini tutmamasdr.
-
Biliim Sularnda IP Adres Analizi
BLG GVENL AKADEMS |www.guvenlikegitimleri.com 11
Sonu
Internet altyaps kullanlarak ilenen sularda pheci davranlmaldr. Ele geirilen bir IP adresinden
yola karak yaplacak ilemler ii tezgahlayan kii tarafndan bilindiinden dolay ie yaramayacaktr.
Hatta zellikle yabanc IP adresleri kullanlarak belirli kii/kurumlar thmet altnda braklmak istenebilir.
Bu gibi durumlarda suluyu bulmak gerek hayata gre daha zor grnse de konusunun uzman bir adli
biliimci sulunun nereden geldiini, kendisini gizleyip gizlemediini, gizlediyse hangi yntemleri, aralar
kullanarak gizlediini ortaya karabilir.
Internetin temel yapta olan TCP/IP protokol ve bu protocol ailesine ait gvenlik risklerini uygulamal
olarak renmek iin Uygulamal TCP/IP Gvenlii Eitimine kayt yaptrabilirsiniz.
( http://www.guvenlikegitimleri.com/?p=1160 )