Cloudflare Arkasındaki Gerçek IP Nasıl Bulunur? Teknik Rehber

Türk otelcilik sektöründe son dönemde artan sahte rezervasyon siteleri incelendiğinde, bunların büyük çoğunluğunun Cloudflare CDN (İçerik Dağıtım Ağı) arkasında barındığı görülüyor. Bu tercih tesadüf değil; Cloudflare, gerçek sunucu IP adresini gizlediği için takedown (kaldırma) süreçlerini ciddi ölçüde zorlaştırıyor.

Yüzlerce sahte otel sitesini analiz ettiğimizde, çok büyük çoğunluğunun Cloudflare koruması altında olduğunu saptadık. Bu koruma katmanı kırılamayacak değildir — ancak doğru yöntemler bilinmeden aşmak mümkün değildir.

Cloudflare, bir ters proxy (reverse proxy) olarak çalışır. Siteye gelen her istek önce Cloudflare sunucularına ulaşır, oradan gerçek web sunucusuna iletilir ve yanıt tekrar Cloudflare üzerinden kullanıcıya döner.

Bu yapıda ziyaretçi, Cloudflare'ın IP adresini görür. Gerçek sunucu IP'si devre dışı bırakılmış gibi görünür. Ancak "devre dışı bırakılmış" demek "tamamen gizlenmiş" demek değildir. Doğru sorular sorulduğunda gerçek IP pek çok yerden sızabilir. Sahte sitelerin Cloudflare arkasındaki davranışları hakkında ayrıntılı bir analiz için cloudflare-arkasindaki-sahte-siteleri-tespit-etme yazımıza bakabilirsiniz.

En yaygın ve en kolay bulunan açıktır. Ana domain Cloudflare arkasında olsa bile, e-posta için kullanılan subdomain'ler genellikle doğrudan sunucu IP'sine işaret eder.

"mail.sahteotel.com" veya "smtp.sahteotel.com" gibi subdomain'ler için DNS sorgusu yapıldığında, çoğu zaman gerçek IP adresi doğrudan dönüyor. Bunun nedeni teknik: SMTP (e-posta) protokolü, Cloudflare proxy'si üzerinden yönlendirilemiyor.

Araştırmalarımızda tespit ettiğimiz bir sahte sitede, ana domain Cloudflare korumasındayken "info." subdomain'i doğrudan bir Ukrayna kaynaklı IP adresini işaret ediyordu. Bu IP, onlarca farklı sahte otel sitesini barındırıyordu.

Sahte sitelerin çoğu başlangıçta Cloudflare olmadan açılıyor, daha sonra tespit riskine karşı CDN arkasına geçiyor. Bu geçiş öncesi DNS kayıtları ise arşivlerde kalıyor.

SecurityTrails, ViewDNS ve PassiveDNS gibi servisler, bir domain'in geçmişte hangi IP adreslerine işaret ettiğini saklar. Sahte bir site Cloudflare'a geçmeden önce kullandığı IP bu arşivlerde görünür durumda olabilir.

Sektör uzmanları, bu eski IP kayıtlarının sahte sitelerin barındığı sunucu altyapısını ortaya çıkarmada kritik önem taşıdığını belirtiyor. Bir IP adresi bulunduğunda, aynı IP üzerindeki tüm diğer sahte siteleri de listelemek mümkün hale geliyor.

Her SSL sertifikası alındığında, sertifikayı alan kişinin IP bilgisi değil ama domain adı CT loglarına kaydediliyor. Ancak bazı sunucular, kendi doğrudan IP adresleri için de sertifika alabiliyor.

crt.sh gibi CT log arama araçlarında IP adresi tabanlı arama yapıldığında, o IP üzerinde barınan tüm domainlere ait sertifika kayıtları görülebiliyor. Bu yöntem, bir IP tespit edildikten sonra aynı altyapıdaki diğer sahte siteleri bulmak için son derece etkili.

Gerçek bir vakada: bir sahte otel sitesinin IP adresini subdomain yöntemiyle bulduktan sonra CT loglarında aynı IP için yaptığımız aramada, farklı 27 sahte domain daha tespit ettik. Hepsi aynı altyapı üzerindeydi. CT loglarının çalışma mantığı hakkında daha fazla bilgi için sahte-ssl-sertifika-tespiti-rehberi yazımızı inceleyebilirsiniz.

Shodan, internete bağlı cihaz ve sunucuları indeksleyen bir arama motorudur. Bir IP adresinin Shodan'da aranması, o sunucuda çalışan yazılımların sürümlerini, açık portları ve servis başlıklarını (HTTP header) ortaya çıkarabilir.

Bu bilgiler hem doğrudan delil olarak kullanılabilir hem de sunucu altyapısını daha iyi anlamaya yardımcı olur. Analiz ettiğimiz sahte sitelerin bir kısmında, Shodan taramasından elde edilen HTTP başlığı bilgileri ile sahte sitelerin kayıtlı hosting firmasının tespiti mümkün oldu.

Yanlış yapılandırılmış web sunucuları, "/server-status" veya "/server-info" gibi uç noktalarda (endpoint) ayrıntılı sunucu bilgisi yayabilir. Bu açıkta olan sunucularda, o sunucuyu kullanan tüm virtual host (sanal ana bilgisayar) isimleri listelenebilir.

Bu tür bir açıktan elde edilen bilgi, Cloudflare korumasını tamamen devre dışı bırakır. Çünkü sunucunun kendi bildirimiyle tüm domainler ve IP ilişkisi gün yüzüne çıkar. Analiz ettiğimiz sahte sitelerden birinde tam olarak bu açıkla karşılaştık; sunucu 31 farklı sahte domain barındırıyordu ve hepsinin bilgisini kendisi veriyordu.

Wayback Machine (archive.org) ve Google'ın önbelleği, sitelerin eski hallerini saklar. Sahte bir site Cloudflare'a geçmeden önce barındırıldığı sunucunun bilgisi bu arşivlerde görünebilir. Sitenin eski HTML kaynak kodunda sabit olarak yazılmış IP adresleri ya da eski CDN referansları tespit açısından değerli olabilir.

Bunun yanı sıra, bazı sahte siteler görsel ve medya dosyalarını doğrudan orijinal sunucu üzerinden sunar. Sayfanın kaynak kodunda görsel URL'lerini incelediğinizde, Cloudflare üzerinden geçmeyen dosyaların doğrudan IP adresiyle sunulduğunu görmek mümkündür.

Sahte site operatörleri bazı durumlarda kurbanlarına e-posta gönderir: sahte rezervasyon onayı, kampanya bildirimi veya müşteri hizmetleri yanıtı. Bu e-postalar değerli teknik bilgi taşır.

Gelen e-postanın başlığını (header) incelediğinizde, e-postanın geçtiği sunucuların IP adresleri "Received:" satırlarında görünür. Sahte site operatörü e-posta altyapısını Cloudflare'dan bağımsız tutuyorsa, bu başlık satırları gerçek sunucu IP'sini açığa çıkarabilir.

Cloudflare, sahte sitelerin tespit edilen IP adresine Cloudflare aracılığıyla bağlantı kurulamayacağı anlamına gelir. Ancak takedown sürecinde bu IP bilgisi kritik öneme sahiptir:

• Hosting firmasına şikayet: Gerçek IP bilindiğinde, sunucunun hangi hosting firmasına ait olduğu tespit edilebilir ve doğrudan o firmaya DMCA (Dijital Milenyum Telif Hakkı Yasası) veya kötüye kullanım bildirimi gönderilebilir
• Cloudflare'a şikayet: Cloudflare, kötüye kullanım politikasını ihlal eden sitelerin hizmetini kesebilir; gerçek sunucu bilgisi bu süreçte güçlü destekleyici delil niteliği taşır
• Savcılık başvurusu: IP bilgisi, organizasyon tespitinde en kritik teknik delildir

Bu yedi yöntemi manuel olarak uygulamak teknik bilgi gerektirir ve zaman alır. Araştırmamızda sahte sitelerin bazılarının gerçek IP'sine ulaşmak saatler sürdü.

Cloudflare arkasındaki bir sitenin gerçek IP'sini bulmak yasal mı? Evet. DNS sorgulama, CT log araştırması ve kamuya açık arşivleri inceleme tamamen yasal işlemlerdir. Bu yöntemler yalnızca kamuya açık veri kaynaklarını kullanır; herhangi bir sisteme yetkisiz erişim içermez. Sahte bir siteyle mücadele etmek için bu bilgileri toplamak meşru ve gereklidir.

Shodan hangi bilgileri verir? Shodan, bir IP adresindeki açık portları, çalışan servisleri (web sunucusu, SSH, FTP), yazılım sürümlerini ve servis başlıklarını listeler. Bu bilgiler sunucunun hangi hosting altyapısında çalıştığını anlamaya yardımcı olur ve takedown başvurularında teknik kanıt olarak kullanılabilir.

SecurityTrails neden bu kadar değerli? SecurityTrails, bir domain'in tüm DNS geçmişini ve o domain için kaydedilmiş tüm A kayıtlarını gösterir. Sahte bir site CDN arkasına geçmeden önce hangi IP'yi kullandığını, bu servis sayesinde öğrenmek mümkündür. IP tespit edildikten sonra aynı altyapıdaki diğer sahte siteleri bulmak da kolaylaşır.

IP tespit etmeden takedown talep edilebilir mi? Evet, domain bazlı takedown talepleri mümkündür. ICANN politikaları ve kayıt firmaları, domain sahibinin tespiti olmadan da kötüye kullanım bildirimi kabul eder. Ancak gerçek IP bilindiğinde hosting firmasına doğrudan başvurulabilir; bu yol çok daha hızlı sonuç verir.

Otelinize ait sahte sitelerin gerçek IP adreslerini ve barındığı sunucu altyapısını otomatik olarak tespit eden ücretsiz aracımızı deneyin. İlk tarama dakikalar içinde sonuç verir.