Proksilerle Tehdit İstihbaratı Toplama Nedir?
Proksilerle tehdit istihbaratı toplama, bir araştırmacının veya SOC ekibinin açık kaynaklardan (OSINT) IOC, TTP ve marka-tehdit verisi toplarken kendi IP altyapısını gizlemesini sağlayan yöntemdir. Bu rehber, yalnızca yetkili ve yasal kapsamdaki çalışmaları hedefler; yetkisiz sistemlere erişim, kimlik bilgisi kullanımı veya izinsiz veri toplama kesinlikle kapsam dışıdır.
OSINT proksileri, özellikle siber suç forumu clearnet arayüzleri, dark-web clearnet aynaları, paste siteleri ve sızdırılmış kimlik bilgisi toplayıcılarını izlerken kritik hale gelir. Araştırmacı IP'niz hedef tarafından loglanır, rate-limit'e takılır veya doğrudan tehdit aktörüne atfedilebilir. Konut tabanlı (residential) proxy katmanı bu riski azaltır.
İlgili kullanım senaryosu için web scraping ve SERP takibi sayfalarımıza göz atabilirsiniz.
Teknik Bağlam: Bu Sorun Neden Var?
Tehdit istihbaratı kaynaklarının büyük çoğunluğu erişim kontrolü uygular. Siber suç forumları, paste siteleri ve leak siteleri genellikle şu mekanizmalarla araştırmacıları engeller:
- IP tabanlı rate-limiting — tek IP'den dakikada 50 istek atan bir scraper hızla bloklanır.
- Veri merkezi IP filtreleme — AWS, DigitalOcean, OVH gibi ASN'ler otomatik engellenir.
- Coğrafi kısıtlamalar — bazı forumlar yalnızca belirli ülkelerden erişime izin verir.
- Araştırmacı kara listeleri — bilinen güvenlik firması IP blokları geniş çapta paylaşılır.
Bu mekanizmalar, RFC 7231 tarafından tanımlanan 429 Too Many Requests ve 403 Forbidden yanıtlarıyla sonuçlanır. Veri merkezi IP'lerinin engellenmesi, OSINT toplama hatlarının başarısını doğrudan etkiler.
Araştırmacılar ayrıca kaynak atfı riskiyle karşı karşıyadır. Kendi kurumsal IP'nizden bir siber suç forumunu ziyaret ettiğinizde, hedef aktör loglarında kurumunuzun görünmesi operasyonel gizliliği bozar. Konut proksileri bu atıf riskini dağıtır.
OSINT Kullanım Senaryoları
1. Dark-Web Clearnet Aynaları ve Siber Suç Forumu Arayüzleri
Birçok siber suç forumu, Telegram veya alternatif clearnet arayüzler üzerinden de erişilebilir. Bu kaynaklar, marka adı geçen postları, sızdırılmış veri ilanlarını ve ticaret aktivitesini izlemek için değerlidir. Konut proksileri, forumun araştırmacı bloklarını aşmanıza ve coğrafi olarak tutarlı bir kaynak profili oluşturmanıza yardımcı olur.
Örneğin, bir araştırma ekibi günde 2.000 sayfa topladığında, tek veri merkezi IP'si 30 dakika içinde bloklanır. 100 eşzamanlı konut oturumuyla bu iş yükü dağıtılır ve %90+ başarı oranı korunabilir.
2. Public Paste Siteleri
Pastebin, Ghostbin ve benzeri siteler sızdırılmış kod, kimlik bilgisi ve tehdit manifestoları için yaygın kanallardır. Rate-limit'ler genelde sıkıdır: dakikada 60 istek sınırı yaygındır. Rotasyonlu konut proksileri, paste izleme hatlarını kesintisiz tutar.
3. Sızdırılmış Kimlik Bilgisi Toplayıcılar
Have I Been Pwned, DeHashed gibi platformlar API üzerinden erişim sunar. Ancak doğrudan scrape gerektiğinde (örneğin marka etki alanları için), konut proksileri veri merkezi engellemelerini aşar. Yasal uyarı: yalnızca kurumunuzun sahip olduğu veya yetkili olduğu etki alanları için çalışın.
4. IOC ve Tehdit Besleme Kaynakları
Abuse.ch URLhaus ve ThreatFox gibi açık IOC kaynakları, otomatik besleme alımı için idealdir. Bu kaynaklar genelde API rate-limit'leri uygular; yüksek hacimli alımda proxy katmanı faydalıdır.
Konut Proksileri Neden OSINT İçin Kritiktir?
Tehdit istihbaratı konut proksileri, üç temel nedenle veri merkezi proksilerine üstünlük sağlar:
| Özellik | Konut Proxy | Veri Merkezi Proxy |
|---|---|---|
| IP kaynağı | Gerçek ISP aboneleri | Bulut/barındırma sağlayıcıları |
| Engellenme riski | Düşük | Yüksek (ASN filtreleme) |
| Coğrafi hedefleme | Ülke/şehir düzeyinde | Sınırlı |
| Araştırmacı atfı | Gizlenmiş | Açık |
| Ortalama gecikme | 200–800ms | 50–200ms |
Güvenlik araştırma proksileri için konut katmanı, hedefin sizi bir araştırmacı olarak tanımasını engeller. Örneğin, bir siber suç forumuna Berlin'deki bir konut IP'sinden erişmek, Frankfurt'taki bir AWS IP'sinden erişmekten çok daha az şüphe uyandırır.
Coğrafi kaynak hizalaması da operasyonel olarak önemlidir: bir Türk markasını izliyorsanız, Türkiye kaynaklı konut IP'leri hem daha az şüphe uyandırır hem de yerel kısıtlamaları aşar. ProxyHat lokasyonları sayfasından coğrafi filtrelemeyi inceleyebilirsiniz.
Operasyonel Güvenlik: OPSEC En İyi Uygulamaları
OSINT toplamada OPSEC, proxy kullanımından daha geniş bir konudur. Aşağıdaki pratikleri uygulayın:
- IP rotasyonu: her istek için yeni IP kullanın (per-request rotation) veya kısa sticky session'lar kullanın. ProxyHat'ta
user-session-abc123flag'i ile 10–30 dakikalık sabit oturumlar mümkündür. - Tarayıcı oturum izolasyonu: her araştırma hedefi için ayrı bir tarayıcı profili, çerez havuzu ve fingerprint kullanın. Mullvad Browser veya Firefox + arkenfox user.js önerilir.
- Kişisel tanımlayıcı yok: araştırma oturumlarında kişisel e-posta, hesap veya ödeme bilgisi kullanmayın. Araştırma kimliği ile gerçek kimlik kesinlikle ayrı tutulmalıdır.
- DNS sızıntısı kontrolü: proxy üzerinden DNS çözümlemesi yapın; doğrudan sistem DNS'i kullanmayın.
- Zamanlama rastgeleleştirme: istekler arasında 2–8 saniye rastgele gecikme ekleyin; pattern-based tespiti zorlaştırır.
ProxyHat ile Pratik Uygulama
Temel Bağlantı
ProxyHat HTTP proxy'si için varsayılan port 8080'dir. SOCKS5 için 1080 kullanılır. Tüm kimlik doğrulama, kullanıcı adı alanında yapılır:
# Temel HTTP proxy
curl -x http://user-country-DE:pass@gate.proxyhat.com:8080 https://example-forum.onion.ws/thread/123
# Coğrafi hedefleme: Berlin, Almanya
curl -x http://user-country-DE-city-berlin:pass@gate.proxyhat.com:8080 https://paste.example.org/raw/abc
# Sticky session (10-30 dk sabit IP)
curl -x http://user-session-inv-001:pass@gate.proxyhat.com:8080 https://forum.example/loginPython ile IOC Besleme Alımı
Aşağıdaki örnek, Abuse.ch URLhaus ve ThreatFox beslemelerini ProxyHat üzerinden periyodik olarak çeker. Bu kaynaklar açık IOC veritabanlarıdır ve yüksek hacimli alımda rate-limit'e takılabilir.
import requests
import time
import random
PROXIES = {
"http": "http://user-country-DE:pass@gate.proxyhat.com:8080",
"https": "http://user-country-DE:pass@gate.proxyhat.com:8080",
}
FEEDS = {
"urlhaus": "https://urlhaus.abuse.ch/downloads/csv_recent/",
"threatfox": "https://threatfox.abuse.ch/downloads/csv/recent/",
}
def fetch_feed(name, url):
try:
r = requests.get(url, proxies=PROXIES, timeout=30)
if r.status_code == 200:
with open(f"/feeds/{name}_latest.csv", "w") as f:
f.write(r.text)
print(f"[{name}] {len(r.text)} bytes alindi")
else:
print(f"[{name}] HTTP {r.status_code}")
except Exception as e:
print(f"[{name}] hata: {e}")
for name, url in FEEDS.items():
fetch_feed(name, url)
time.sleep(random.uniform(3, 7)) # rastgele gecikmeNode.js ile Marka Tehdit İzleme
Bir marka-threat-intelligence hattı için Node.js örneği. Hedef: belirli anahtar kelimeleri içeren forum postlarını periyodik olarak toplamak.
const { HttpsProxyAgent } = require('https-proxy-agent');
const axios = require('axios');
const agent = new HttpsProxyAgent('http://user-country-TR:pass@gate.proxyhat.com:8080');
const TARGETS = [
'https://clearnet-forum-a.example/search?q=acmecorp',
'https://paste-board.example/search?tag=acme',
];
async function collect() {
for (const url of TARGETS) {
try {
const res = await axios.get(url, {
httpsAgent: agent,
timeout: 25000,
headers: { 'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64) research/1.0' },
});
console.log(`[OK] ${url} -> ${res.data.length} bytes`);
} catch (e) {
console.error(`[ERR] ${url}: ${e.message}`);
}
await new Promise(r => setTimeout(r, 2000 + Math.random() * 4000));
}
}
collect();Yaygın Hatalar ve Sınır Durumları
- Veri merkezi proxy kullanımı: OSINT için veri merkezi IP'leri çoğu siber suç forumunda anında engellenir. Konut proxy kullanın.
- Sabit IP ile yüksek hacim: tek konut IP'sinden 1.000+ istek atmak, o IP'nin kara listeye alınmasına yol açar. Per-request rotasyon kullanın.
- Kişisel tarayıcı profili: araştırma için kişisel Chrome profilini kullanmayın; fingerprint ve çerez kirliliği oluşur.
- Rate-limit yok sayma:
429yanıtlarını geri çekilmeden tekrarlamak IP bloklarını kalıcılaştırır. Exponential backoff uygulayın. - TLS fingerprint tutarlılığı: proxy IP'sini değiştirseniz bile JA3 fingerprint aynı kalırsa hedef sizi tanıyabilir. curl-impersonate veya benzer araçlar kullanın.
Yasal Korkuluklar
Yasal uyarı: Bu rehber yalnızca yetkili ve kapsamı tanımlanmış güvenlik araştırmalarını hedefler. Yetkisiz sistemlere erişim, kimlik bilgisi kullanımı, ToS ihlali veya kişisel verilerin izinsiz işlenmesi kesinlikle kapsam dışıdır. Avrupa'da GDPR, ABD'de eyalet gizlilik yasaları ve CFAA gibi düzenlemeler geçerlidir.
Pratik kurallar:
- Yalnızca kurumunuzun sahip olduğu, yetkili olduğu veya açıkça kamuya açık olan verileri toplayın.
- robots.txt ve ToS kurallarını kontrol edin; uygun olduğunda bunlara uyun.
- Toplanan verileri şifreli olarak saklayın ve gereksiz verileri 30 gün içinde silin.
- Yasal danışmanınızla kapsamı yazılı olarak tanımlayın.
Marka Tehdit İstihbarat Beslemesi Örnek Mimarisi
Tipik bir marka koruma mimarisi şu bileşenlerden oluşur:
- Veri kaynakları: siber suç forumu clearnet arayüzleri, paste siteleri, Telegram kanalları, leak siteleri.
- Proxy katmanı: ProxyHat konut proxy'leri, coğrafi rotasyon ile. Fiyatlandırma sayfasından uygun planı seçin.
- Toplayıcı: Python/Node.js worker'ları, her biri ayrı sticky session ile.
- İşleme: NLP ile marka adı, ürün adı, yönetici adı tespiti.
- Depolama: şifreli veritabanı, 90 günlük retention.
- Uyarı: Slack/Teams webhook ile SOC ekibine anlık bildirim.
- Raporlama: haftalık marka-tehdit özeti, yönetim için PDF.
Detaylı yapılandırma için ProxyHat dokümantasyonunu inceleyin.
Önemli Çıkarımlar
- Proksilerle tehdit istihbaratı toplama, yalnızca yetkili kapsamda geçerlidir; yasal sınırı aşmayın.
- Konut proksileri, veri merkezi IP engellemelerini aşar ve araştırmacı atfını gizler.
- Per-request rotasyon ve kısa sticky session'lar, yüksek başarı oranını korur.
- OPSEC: kişisel tanımlayıcı kullanmayın, tarayıcı oturumlarını izole edin, DNS sızıntısını önleyin.
- URLhaus ve ThreatFox gibi açık IOC kaynakları, otomatik besleme alımı için ideal başlangıçtır.
- TLS fingerprint ve zamanlama pattern'leri, proxy değişse bile sizi ele verebilir; dikkatli olun.
Sıkça Sorulan Sorular
Proksilerle tehddit istihbaratı toplama nedir?
Proksilerle tehddit istihbaratı toplama, OSINT analistlerinin açık kaynaklardan IOC, TTP ve marka-tehdit verisi toplarken kendi IP altyapısını gizlemesini sağlayan yöntemdir. Konut proksileri, veri merkezi IP engellemelerini aşar ve araştırmacı atfını azaltır. Bu yöntem yalnızca yetkili ve kapsamı tanımlanmış güvenlik araştırmalarında kullanılmalıdır.
Proksilerle tehdit istihbaratı toplama neden proxy kullanıcıları için önemlidir?
Çünkü siber suç forumları, paste siteleri ve leak kaynakları veri merkezi IP'lerini ve bilinen araştırmacı IP bloklarını engeller. Konut proxy katmanı olmadan, araştırmacı IP'si hızla bloklanır veya tehdit aktörüne atfedilir. Proxy, hem erişilebilirliği hem de operasyonel gizliliği korur.
Proksilerle tehdit istihbaratı toplama için hangi proxy türü en iyisidir?
Konut (residential) proksileri en iyi seçenektir. Gerçek ISP abonelerinden gelen IP'ler, veri merkezi ASN filtrelemesinden kaçınır ve hedef tarafından daha az şüphe uyandırır. Coğrafi hedefleme desteği sayesinde, araştırma hedefinin bulunduğu bölgeye uygun kaynak IP'leri kullanılabilir. Mobil proksiler de bazı durumlarda faydalıdır.
Proksilerle tehdit istihbaratı toplama uygularken engellenmekten nasıl kaçınırsınız?
Per-request IP rotasyonu kullanın, istekler arasında rastgele gecikme ekleyin, tarayıcı fingerprint'ini izole edin ve veri merkezi IP'lerden kaçının. ProxyHat'ta user-session-abc123 flag'i ile kısa sticky session'lar oluşturabilirsiniz. Ayrıca TLS fingerprint tutarlılığına dikkat edin; curl-impersonate gibi araçlar JA3 fingerprint'i rastgeleleştirir.
OSINT proksileri yasal mıdır?
Evet, yalnızca yetkili ve kapsamı tanımlanmış araştırmalarda kullanıldığında. Kamuya açık veri toplamak, kurumunuzun sahip olduğu etki alanlarını izlemek ve açık IOC beslemelerini almak genellikle yasaldır. Ancak yetkisiz sistemlere erişim, kimlik bilgisi kullanımı veya kişisel verilerin izinsiz işlenmesi yasa dışıdır. GDPR ve CFAA gibi düzenlemelere uyun.
