OSINT Proxy'leri Neden Kritik?
Tehdit istihbaratı toplamak, modern güvenlik operasyonlarının omurgasıdır. Ancak OSINT araştırmacıları temel bir sorunla karşı karşıya: hedef altyapısına erişirken kendi kimliklerini ve altyapılarını ifşa etmek. Bir cybercrime forumunun clearnet ön yüzünü ziyaret ettiğinizde, bir paste sitesinden sızdırılmış veri aradığınızda veya dark-web mirror'larını taradığınızda, IP adresiniz hedef tarafında kayıt altına alınır.
OSINT proxy'leri bu sorunu çözer: araştırmacının gerçek IP adresini gizler, coğrafi konumunu maskeleyerek hedef tarafında yanlış attribution oluşturur ve rate-limit engellerini aşarak kesintisiz veri toplama sağlar. Bu rehber, yetkili ve yasal çerçevede kalarak residential proxy'leri tehdit istihbaratı toplama için nasıl kullanacağınızı açıklar.
⚠️ Önemli Uyarı: Bu rehberdeki tüm teknikler yalnızca yetkili, kapsamlı ve yasal çerçevede kullanılmak üzeredir. Yetkisiz sistem erişimi, izinsiz veri toplama veya başkasının kimlik bilgilerini kullanmak yasadışıdır. Her engagement için yasal yetki ve kapsam doğrulaması zorunludur.
OSINT Kullanım Senaryoları
Tehdit istihbaratı ekiplerinin residential proxy'lere ihtiyaç duyduğu başlıca senaryolar şunlardır:
Dark-Web Mirror'ları ve Clearnet Adjacent Kaynaklar
Birçok dark-web forumu clearnet üzerinde yansıma (mirror) veya ön yüz barındırır. Bu siteler genellikle agresif bot tespiti uygular ve bilinen veri merkezi IP'lerini engeller. Residential proxy'ler, sıradan bir kullanıcı gibi görünerek bu engelleri aşmanızı sağlar.
Cybercrime Forum Clearnet Ön Yüzleri
RaidForums benzeri (artık operational olmayan) veya hâlen aktif forumların clearnet görünümleri, araştırmacılar için zengin IOC kaynaklarıdır. Ancak bu forumlar aynı anda birden fazla sayfa açan IP'leri hızla engeller. IP rotasyonu bu engeli aşmanın tek güvenilir yoludur.
Public Paste Siteleri
Pastebin, Ghostbin ve benzeri platformlar sızdırılmış veri, credential dump ve tehdit aktörlerinin iletişimleri için yaygın kullanılır. Bu siteler rate-limiting uygular ve şüpheli IP bloklarını engeller. Residential IP rotasyonu ile kesintisiz izleme mümkün olur.
Compromised-Credential Aggregator'ları
Have I Been Pwned veya benzeri platformların API'leri, veri merkezi IP'lerinden gelen yüksek hacimli istekleri reddeder. Residential proxy üzerinden yapılan sorgular, normal kullanıcı trafiğinden ayırt edilemez.
Neden Residential Proxy'ler?
OSINT toplama için üç ana proxy türünü karşılaştıralım:
| Özellik | Datacenter Proxy | Residential Proxy | Mobile Proxy |
|---|---|---|---|
| IP Attribution Riski | Yüksek — veri merkezi olarak tanımlanır | Düşük — gerçek ISP IP'leri | Çok düşük — mobil operatör IP'leri |
| Anti-Bot Bypass | Zayıf — kolay tespit edilir | İyi — normal kullanıcı gibi görünür | Mükemmel — en zor tespit edilen |
| Geo-Targeting | Sınırlı | Ülke + şehir seviyesi | Ülke + operatör seviyesi |
| Rate-Limit Toleransı | Düşük | Orta-Yüksek | Yüksek |
| Maliyet | Düşük | Orta | Yüksek |
| OSINT İçin Uygunluk | Yalnızca公开 IOC feed'leri | Genel OSINT toplama | Hassas hedefler, sosyal medya |
Threat intelligence residential proxy'leri kritik öneme sahiptir çünkü:
- Attribution koruması: Hedef, araştırmacının gerçek kurumsal IP'sini göremez. Gerçek bir ISP IP'si üzerinden bağlandığınızda, trafiğiniz binlerce sıradan kullanıcı arasına karışır.
- Coğrafi kaynak uyumu: Belirli bir ülkenin tehdit aktörlerini izlerken, o ülke IP'sinden bağlanmak daha az şüphe uyandırır. Örneğin, Rusya merkezli bir forumu izlerken Rus residential IP kullanmak, ABD veri merkezi IP'sinden bağlanmaktan çok daha az dikkat çeker.
- Rate-limit aşma: Farklı residential IP'ler arasında rotasyon yaparak, tek bir IP'nin rate-limit eşiklerini aşmadan yüksek hacimli veri toplayabilirsiniz.
Operasyonel Güvenlik (OPSEC) Uygulamaları
Proxy kullanımı tek başına yeterli değildir. OSINT araştırmacıları kapsamlı OPSEC uygulamak zorundadır:
IP Rotasyon Stratejileri
Per-request rotasyon ve sticky session arasında seçim yapın:
- Per-request rotasyon: Her HTTP isteği için farklı IP. IOC feed'leri ve paste site taraması gibi yüksek hacimli, durumsuz (stateless) işlemler için idealdir.
- Sticky session: Forum oturumu gibi durum bilgisi gerektiren (stateful) işlemlerde, oturum süresi boyunca aynı IP'yi korur. ProxyHat'ta
user-session-SESSIONIDformatıyla sticky session tanımlanır.
Tarayıcı Oturum İzolasyonu
Hiçbir koşulda kişisel tarayıcınızı OSINT araştırmaları için kullanmayın. Her research engagement için:
- Ayrı bir browser profile oluşturun (Firefox Container veya Chromium profilleri).
- Canvas fingerprint, WebRTC leak ve timezone leak'lerini engelleyen eklentiler kullanın.
- Residential proxy'yi browser seviyesinde yapılandırın, sistem seviyesinde değil.
Kişisel Tanımlayıcıları Asla Kullanmayın
OSINT araştırması sırasında kişisel e-posta, sosyal medya hesapları veya kurumsal kimlik bilgileri kullanmak, doğrudan attribution riski yaratır. Her engagement için ayrı bir araştırma kimliği (research persona) oluşturun ve bu kimliği yalnızca proxy arkasından kullanın.
Otomatik Feed Ingestion
Public IOC feed'leri, URLhaus, ThreatFox ve benzeri kaynaklardan otomatik veri toplama, tehdit istihbaratı pipeline'larının temel bileşenidir. Bu feed'ler genellikle rate-limit uygular ve şüpheli IP'leri engeller. Residential proxy üzerinden toplama yapmak, kesintisiz ve güvenilir bir akış sağlar.
curl ile ThreatFox ve URLhaus Sorgulama
Aşağıdaki örnek, ProxyHat residential proxy üzerinden ThreatFox API'yi sorgular:
# ThreatFox - son malware IOC'lerini çekme
curl -x http://user-country-US:PASSWORD@gate.proxyhat.com:8080 \
-H "Content-Type: application/json" \
-d '{"query": "get_iocs", "days": 1}' \
https://threatfox-api.abuse.ch/api/v1/
# URLhaus - son zararlı URL'leri çekme
curl -x http://user-country-DE:PASSWORD@gate.proxyhat.com:8080 \
-H "Content-Type: application/json" \
-d '{"query": "get_urls", "limit": 100}' \
https://urlhaus-api.abuse.ch/v1/urls/Python ile Otomatik IOC Feed Toplayıcı
Birden fazla public feed'den IOC toplamak için aşağıdaki Python betiği, ProxyHat residential proxy üzerinden her feed'e farklı coğrafi konumdan bağlanır:
import requests
import json
from datetime import datetime
PROXY_BASE = "http://user-country-{country}:PASSWORD@gate.proxyhat.com:8080"
FEED_CONFIGS = [
{
"name": "threatfox_malware",
"url": "https://threatfox-api.abuse.ch/api/v1/",
"payload": {"query": "get_iocs", "days": 1},
"country": "US",
"parser": lambda d: d.get("data", [])
},
{
"name": "urlhaus_recent",
"url": "https://urlhaus-api.abuse.ch/v1/urls/",
"payload": {"query": "get_urls", "limit": 100},
"country": "DE",
"parser": lambda d: d.get("urls", [])
},
{
"name": "threatfox_domains",
"url": "https://threatfox-api.abuse.ch/api/v1/",
"payload": {"query": "search", "search_term": "example.com"},
"country": "GB",
"parser": lambda d: d.get("data", [])
},
]
def collect_iocs():
all_iocs = []
for feed in FEED_CONFIGS:
proxy_url = PROXY_BASE.format(country=feed["country"])
proxies = {"http": proxy_url, "https": proxy_url}
try:
resp = requests.post(
feed["url"],
json=feed["payload"],
proxies=proxies,
timeout=30
)
iocs = feed["parser"](resp.json())
all_iocs.extend(iocs)
print(f"[{feed['name']}] {len(iocs)} IOC alindi")
except Exception as e:
print(f"[{feed['name']}] Hata: {e}")
return all_iocs
if __name__ == "__main__":
iocs = collect_iocs()
print(f"Toplam {len(iocs)} IOC toplandi")Yasal Korumalar ve Yetki Sınırları
Tehdit istihbaratı toplama, etik ve yasal sınırlar içinde yürütülmelidir. Aşağıdaki ilkeler her engagement için zorunludur:
- Yetkili kapsam: Her araştırma, yazılı yetki ve tanımlanmış kapsam ile başlamalıdır. Kapsam dışı veri toplama yapılmamalıdır.
- Yetkisiz sistem erişimi yasak: OSINT toplama yalnızca kamuya açık veya yetkili olunan kaynaklarla sınırlıdır. Başkasının sistemlerine izinsiz erişim yasadışıdır.
- Credential kullanımı yasak: Sızdırılmış veya ele geçirilmiş kimlik bilgileri ile sistemlere erişmek, yetkisiz erişim suçunu oluşturur. Credential aggregator'lardan yalnızca IOC olarak yararlanılır, giriş yapmak için kullanılmaz.
- GDPR ve CCPA uyumu: Kişisel veri işleme, ilgili düzenlemelere uygun olmalıdır. AB vatandaşlarına ait veriler için GDPR, Kaliforniya vatandaşları için CCPA geçerlidir.
- robots.txt saygısı: Kamuya açık sitelerin robots.txt kurallarına uyulmalıdır. Kapsam dışı tarama yapılmamalıdır.
🔑 Kural: Eğer bir veriye erişmek için kimlik doğrulama gerekiyorsa ve size ait olmayan kimlik bilgileri kullanıyorsanız, bu yetkisiz erişimdir. OSINT proxy'leri yalnızca kamuya açık verilere erişimde attribution koruması sağlamak için kullanılır.
Marka Tehdit İstihbaratı Feed Mimarisi
Aşağıdaki mimari, bir kurumun markasını hedefleyen tehditleri otomatik izlemek için tasarlanmıştır. Her bileşen, ProxyHat residential proxy arkasından çalışır:
Mimari Bileşenleri
- Collector Layer: Paste siteleri, cybercrime forum clearnet ön yüzleri, sosyal medya API'leri ve dark-web mirror'larından veri toplar.
- Enrichment Layer: Toplanan ham veriyi IOC feed'leri (ThreatFox, URLhaus) ile zenginleştirir ve context ekler.
- Analysis Layer: Marka adı, ürün adı ve kurumsal domain ile eşleşme arar. Confidence skorlaması yapar.
- Alerting Layer: Eşik üstü eşleşmelerde SOC ekibine uyarı gönderir.
Python ile Marka Tehdit İzleyici
Aşağıdaki betik, marka adınızı hedefleyen tehditleri paste siteleri ve IOC feed'lerinden izler:
import requests
import re
import json
from datetime import datetime, timedelta
PROXY = "http://user-country-US:PASSWORD@gate.proxyhat.com:8080"
PROXIES = {"http": PROXY, "https": PROXY}
BRAND_KEYWORDS = ["acme-corp", "acmecorp.com", "AcmeProduct"]
PASTE_SOURCES = [
"https://pastebin.com/archive",
"https://ghostbin.com/archive",
]
def search_threatfox(keyword):
"""ThreatFox'ta marka anahtar kelimelerini arar."""
payload = {
"query": "search",
"search_term": keyword
}
try:
resp = requests.post(
"https://threatfox-api.abuse.ch/api/v1/",
json=payload,
proxies=PROXIES,
timeout=30
)
data = resp.json()
return data.get("data", [])
except Exception as e:
print(f"ThreatFox hatasi ({keyword}): {e}")
return []
def search_paste_sites(keyword):
"""Paste sitelerinde marka adını arar."""
findings = []
for source in PASTE_SOURCES:
try:
resp = requests.get(
source,
proxies=PROXIES,
timeout=30,
headers={"User-Agent": "Mozilla/5.0"}
)
if keyword.lower() in resp.text.lower():
findings.append({
"source": source,
"keyword": keyword,
"timestamp": datetime.utcnow().isoformat()
})
except Exception as e:
print(f"Paste arama hatasi ({source}): {e}")
return findings
def run_brand_monitor():
"""Ana izleme döngüsü."""
alerts = []
for kw in BRAND_KEYWORDS:
tf_results = search_threatfox(kw)
paste_results = search_paste_sites(kw)
if tf_results:
alerts.append({
"type": "threatfox_match",
"keyword": kw,
"ioc_count": len(tf_results),
"timestamp": datetime.utcnow().isoformat()
})
alerts.extend(paste_results)
return alerts
if __name__ == "__main__":
results = run_brand_monitor()
print(json.dumps(results, indent=2))
print(f"Toplam {len(results)} uyarı bulundu")Mimari Diyagramı
Veri akışı şu şekildedir:
- ProxyHat Residential Proxy → Attribution koruması ve geo-targeting ile hedef kaynaklara erişim.
- Collector Service → Paste siteleri, IOC feed'leri, forum ön yüzlerinden veri çeker.
- Enrichment Pipeline → Ham veriyi ThreatFox, URLhaus ve internal TI veritabanlarıyla zenginleştirir.
- Matching Engine → Marka anahtar kelimeleri ile eşleşme arar, confidence skorlaması yapar.
- Alert Dispatcher → SOC ekibine SIEM entegrasyonu ile uyarı gönderir.
ProxyHat ile OSINT Proxy Yapılandırması
ProxyHat'ın residential proxy ağı, OSINT araştırmacıları için tasarlanmış özellikler sunar:
- Geo-targeting: Ülke ve şehir seviyesinde hedefleme. Örneğin,
user-country-DE-city-berlinile Berlin residential IP'si üzerinden bağlanabilirsiniz. - Sticky session: Forum oturumları için
user-session-abc123ile oturum boyunca aynı IP'yi koruyun. - Per-request rotasyon: Yüksek hacimli tarama için her istekte farklı IP.
- SOCKS5 desteği: UDP tabanlı protokoller için
socks5://USERNAME:PASSWORD@gate.proxyhat.com:1080.
Node.js ile Session-Based Forum Tarama
Aşağıdaki örnek, sticky session kullanarak bir forumu oturum boyunca izler:
const axios = require('axios');
const { HttpsProxyAgent } = require('https-proxy-agent');
const SESSION_ID = 'osint-monitor-' + Date.now();
const PROXY_URL = `http://user-country-DE-session-${SESSION_ID}:PASSWORD@gate.proxyhat.com:8080`;
const agent = new HttpsProxyAgent(PROXY_URL);
async function monitorForum() {
try {
const resp = await axios.get('https://example-forum.clearnet.local/recent', {
httpsAgent: agent,
httpAgent: agent,
timeout: 30000,
headers: { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)' }
});
console.log(`[+] ${resp.data.length} byte veri alindi`);
// Veriyi isle ve marka eslesmelerini ara
} catch (err) {
console.error(`[-] Hata: ${err.message}`);
}
}
monitorForum();Performans ve Güvenilirlik Metrikleri
OSINT proxy operasyonlarınızın etkinliğini ölçmek için şu metrikleri izleyin:
| Metrik | Hedef Değer | Açıklama |
|---|---|---|
| Success Rate | >%95 | Başarılı HTTP yanıtlarının oranı |
| Ortalama Latency | <3s | Residential proxy'den kaynaklanan gecikme |
| Concurrency | 50-100 thread | Aynı anda aktif bağlantı sayısı |
| Attribution Leak | 0 | Gerçek IP'nin sızdığı olay sayısı |
| Rate-Limit Hit | <5% | 429 yanıtlarının toplam isteklere oranı |
Key Takeaways
- Residential proxy'ler OSINT için zorunludur: Veri merkezi IP'leri kolayca tespit edilir ve engellenir. Security research proxy'leri olarak residential IP'ler, araştırmacının attribution'ını korur.
- OPSEC kapsamlı olmalıdır: Proxy tek başına yeterli değildir. Browser izolasyonu, kişisel tanımlayıcıların kullanılmaması ve sticky session yönetimi birlikte uygulanmalıdır.
- Geo-targeting kritik: Hedef kaynağın beklediği coğrafi konumdan bağlanmak, tespit riskini dramatik olarak azaltır.
- Yasal kapsam şart: Her engagement yazılı yetki ile başlamalı, kapsam dışı veri toplama yapılmamalıdır. Credential kullanımı ile IOC tespiti arasındaki fark nettir.
- Otomasyon ölçeklendirir: Manuel OSINT toplama sürdürülebilir değildir. ProxyHat üzerinden otomatik feed ingestion, sürekli tehdit izleme sağlar.
ProxyHat'ın residential proxy ağı ile tehdit istihbaratı toplama operasyonlarınızı güçlendirmek için fiyatlandırma sayfamızı inceleyin veya konum listemizi görüntüleyin. Daha fazla OSINT ve scraping rehberi için blog sayfamızı takip edin.
