1. GİRİŞ
İnternette yaptığımız her hareket, aslında arkamızda küçük izler bırakır. Bu izlerin en temel taşlarından biri ise IP adresidir. Çoğu kişi IP adresinin yalnızca teknik bir detay olduğunu düşünse de doğru araçlar ve yöntemlerle IP adresi; konum, servis sağlayıcı ve hatta daha fazlası hakkında bilgi verebilir.
Peki gerçekten bir hacker, sadece IP adresi üzerinden seni bulabilir mi?
Bir IP adresi, ilk bakışta pek de fazla şey söylemiyor gibi görünür. Ama deneyimli bir OSINT analistinin ya da saldırganın elinde bu küçük sayı dizisi, hedef hakkında şaşırtıcı miktarda bilgiye açılan bir kapıya dönüşebilir.
Şimdi sizlere bir hackerın yalnızca pasif ve açık kaynak tekniklerle bir IP adresinden hangi verilerin elde edildiğini, hangi araçların kullanıldığını ve bu zincirin nasıl genişlediğini göstereceğim.
(NOT: Burada aktif tarama, exploit veya yetkisiz erişim yok. Sadece zaten kamuya açık olan bilgilerin sistematik biçimde bir araya getirilmesi — yani OSINT.)
2. IP Adresinden Ne Elde Edilir?
IP sorgulama sürecini katmanlara ayıralım. Her katman bir öncekinin üzerine inşa edilir ve pivot yaparak zincir genişletilir.
2.1 WHOIS Sorgusu — Kime Ait Bu IP?
WHOIS, bir IP bloğunun ya da domain'in kim tarafından kayıt ettirildiğini gösteren en temel sorgudur. Organizasyon adı, adres, teknik iletişim e-postası, kayıt tarihi ve ASN (Autonomous System Number) bu sorguyla elde edilir.
# Komut satırından WHOIS sorgusu
$ whois IP-adress
# Python ile otomasyona entegrasyon
from ipwhois import IPWhois
obj = IPWhois(' IP-adress ')
result = obj.lookup_rdap(depth=1)
print(result['asn_description']) # → Tor Exit Node / Hosting AS
print(result['network']['name']) # → Ağ bloğu adı
Ø ARIN (Kuzey Amerika), RIPE (Avrupa/Ortadoğu), APNIC (Asya-Pasifik) veritabanları bölgeye göre kullanılır.
Ø E-posta formatından organizasyonun domain'i tahmin edilebilir: admin@techcorp.net → techcorp.net
Ø Abuse contact bilgisi, saldırgan altyapısı tespitinde ihbar süreçleri için kritiktir.
2.2 Geolocation — Ne Kadar Doğru?
IP geolocation, fiziksel konum bilgisi verir; ancak doğruluğu sağlayıcıya ve IP tipine göre önemli ölçüde değişir. Bir datacenter IP'si ile bir ISP'nin residential IP'si arasında büyük fark vardır.
⚠ Önemli: Geolocation tek başına yeterli değildir. VPN veya Tor kullanan bir aktörün geolocation bilgisi çıkış noktasını gösterir, gerçek konumu değil. Ancak geolocation + ASN + hosting provider kombinasyonu altyapı karakterizasyonu için kritik girdidir.
2.3 Reverse DNS & PTR Kayıtları
Bir IP'ye karşılık gelen hostname'i sorgulayan PTR (Pointer) kaydı, çoğu zaman altyapı hakkında doğrudan ipuçları verir. Örneğin mail.acmecorp.com şeklinde bir hostname, hem alan adını hem de servis tipini açığa çıkarır.
# PTR sorgusu
$ dig -x 185.220.101.45 +short
→ tor-exit.example.com
# Toplu reverse DNS için araç
$ cat ip_list.txt | hakrevdns -d -t PTR
$ dnsx -ptr -l ip_list.txt -resp
3. Pasif Keşif — OSINT Araç Seti
Temel IP bilgisini edindikten sonra, daha derin istihbarat için özelleşmiş araçlara geçilir. Bu araçların her biri farklı bir veri katmanına odaklanır.
3.1 Shodan — İnternete Açık Her Şeyi İndeksler
Shodan, internete bağlı cihazların açık portlarını, servislerini ve banner bilgilerini sürekli olarak tarayarak indeksleyen bir arama motorudur. Bir güvenlik araştırmacısı veya saldırgan için en güçlü pasif keşif araçlarından biridir.
PYTHON — SHODAN API
import shodan
api = shodan.Shodan('API_KEY')
# IP detayı
host = api.host('185.220.101.45')
print(host['org']) # → Organizasyon
print(host['os']) # → İşletim sistemi (varsa)
for item in host['data']:
print(item['port'], item['transport']) # → Açık portlar
print(item.get('banner', '')) # → Servis banner'ı
- Banner bilgisi: Açık bir port üzerindeki servis kendini nasıl tanıtıyor? Versiyon, OS, konfigürasyon ipuçları içerebilir.
- CVE eşleştirme: Shodan, belirli banner pattern'larına göre bilinen açıkları otomatik etiketler.
- Tarihsel veri: Shodan, aynı IP'nin geçmişteki durumunu da sunar (Plan gerektirebilir).
3.2 Censys — TLS Sertifika Analizi
Censys, Shodan'a benzer bir altyapı arama motorudur; ancak TLS/SSL sertifikalarını analiz ederek bir hedefe ait subdomain’leri, altyapı ilişkilerini ve gizli servisleri ortaya çıkarabilen güçlü bir OSINT aracıdır. Sertifika verileri üzerinden yapılan analizler, hedef sistemin yüzey alanını genişleterek daha derin keşif yapılmasına olanak sağlar.
3.3 FOFA & Zoomeye — Alternatif Keşif Motorları
Çin menşeli bu iki araç, Shodan ve Censys'te görünmeyen bazı IP bloklarını ve cihazları indeksleyebilir. Özellikle Asya-Pasifik bölgesindeki altyapılar için tamamlayıcı değer taşır.
FOFA: FOFA syntax:
ip="185.220.101.45" veya org="ACME Corp" && country="CN"
ZoomEye: ZoomEye syntax:
ip:185.220.101.45 veya app:"Apache httpd" +country:TR
3.4 GreyNoise — IP'nin Geçmişi Ne?
GreyNoise, internetteki gürültüyü (noise) ve meşru tarama trafiğini sınıflandırır. Bir IP'nin daha önce tarama, brute-force veya exploit denemesi yapıp yapmadığını gösterir.
GREYNOISE
# CLI ile sorgulama
$ gnql 185.220.101.45
# Örnek GreyNoise yanıtı (JSON)
{
"ip": "185.220.101.45",
"seen": true,
"classification": "malicious", # benign / malicious / unknown
"tags": ["Tor Exit Node", "Scanner"],
"last_seen": "2026-03-25",
"riot": false # Riot=true ise meşru iş servisi (Google, AWS vb.)
}
- Riot sınıfı: Google, AWS gibi meşru servislerden gelen IP'ler Riot=true olarak işaretlenir; false alert riskini düşürür.
- Tehdit istihbaratı entegrasyonu: SIEM ve SOAR platformlarına API üzerinden beslenebilir.
3.5 Passive DNS — IP'ye Kim Resolve Etti?
Passive DNS, bir IP adresine geçmişte ve günümüzde hangi domainlerin yönlendirildiğini gösteren bir veri kaynağıdır. Bu sayede hedefe ait altyapı, ilişkili sistemler ve daha önce kullanılan servisler tespit edilebilir. Elde edilen bu bilgiler, pasif keşif sürecinde yeni pivot noktaları oluşturarak analiz kapsamının genişletilmesini sağlar.
3.6 TLS/SSL Sertifika Şeffaflık Logları
Certificate Transparency (CT) logları, CA'ların (Sertifika Otoriteleri) düzenlediği her sertifikayı kamuya açık loglar aracılığıyla yayımlamasını zorunlu kılar. Bu loglar, bir organizasyona ait bilinmeyen subdomain'leri ve servisleri bulmak için altın madeni gibidir.
4. Pivot Tekniği — Zinciri Genişletmek
Her bulgu, yeni bir sorgu için başlangıç noktası olur. Aşağıdaki pivot zinciri, tek bir IP adresinden başlayarak nasıl kapsamlı bir istihbarat profili oluşturulduğunu göstermektedir.
IP Adresi
│
├─ WHOIS / ASN
│ → Organizasyon adı, e-posta formatı, IP blokları
│
├─ Reverse DNS (dig -x)
│ → Hostname → Subdomain pattern tespiti
│
├─ Passive DNS (SecurityTrails)
│ → Bağlı domainler (geçmiş + aktif)
│
├─ crt.sh / Censys TLS
│ → Sertifika SANs → Gizli servisler, staging ortamları
│
├─ Shodan / Censys
│ → Açık portlar, servis banner'ları, teknoloji stack
│ → CVE eşleştirme
│
├─ GreyNoise
│ → IP geçmişi: scanner/malicious/benign sınıfı
│
├─ LinkedIn / Hunter.io
│ → Çalışan isimleri, e-posta adresleri
│
└─ HaveIBeenPwned / Dehashed
→ Sızdırılmış kimlik bilgileri
Bu zincirin her adımı otomatikleştirilebilir. Aşağıda temel Python scripti örneği verilmiştir:
import ipwhois, shodan, requests
def analyze_ip(target_ip, shodan_key):
# 1. WHOIS
w = ipwhois.IPWhois(target_ip).lookup_rdap()
print(f"[WHOIS] Org: {w.get('asn_description')}")
print(f"[WHOIS] ASN: {w.get('asn')}")
# 2. Reverse DNS
import socket
try:
rdns = socket.gethostbyaddr(target_ip)[0]
print(f"[rDNS] {rdns}")
except socket.herror:
print("[rDNS] PTR kaydı yok")
# 3. Shodan
api = shodan.Shodan(shodan_key)
try:
host = api.host(target_ip)
print(f"[Shodan] Açık portlar: {[s['port'] for s in host['data']]}")
print(f"[Shodan] OS: {host.get('os', 'Bilinmiyor')}")
except shodan.APIError as e:
print(f"[Shodan] {e}")
# 4. GreyNoise
gn = requests.get(f"https://api.greynoise.io/v3/community/{target_ip}",
headers={"key": "GN_API_KEY"}).json()
print(f"[GN] Sınıf: {gn.get('classification', 'N/A')}")
analyze_ip("ip-adress", "SHODAN_API_KEY")
5. Peki Bu Verilerle Sana Dair Ne Çıktı?
Yeterince veri topladık. Şimdi bu verilerin pratikte ne anlama geldiğini görelim. Aşağıdaki profil, yukarıda anlattığımız yöntemlerin tamamı uygulandığında yalnızca bir IP adresinden çıkarılabilecek tipik bir istihbarat özetini temsil etmektedir.
ÖRNEK
◉ OSINT HEDEF PROFİLİ — 185.220.101.45
▸ KİMLİK & ALTYAPI
Organizasyon Media Land LLC (Bulletproof Hosting)
ASN AS206728
IP Bloğu 185.220.96.0 / 21 → 256 IP aynı sağlayıcıda
Hosting Tipi Datacenter / VPS — Residential değil
Ülke / Şehir RU / Moskova (Geolocation — doğruluk: ~70%)
▸ AĞ & SERVİSLER
Açık Portlar 443, 8080, 22
Servis Banner Nginx 1.18 · OpenSSH 8.2p · Cobalt Strike (8080)
TLS Sertifika Self-signed · CN=example.com · JARM: 07d14d16...
CVE Eşleşme CVE-2021-40539 (Zoho ManageEngine) — kritik
▸ TARİHSEL VERİ
Passive DNS update-service[.]net, cdn-delivery[.]org (+4 domain)
GreyNoise Sınıf malicious · Etiket: Scanner, Tor Exit Node
Son Aktivite 2026-03-25 (brute-force + port tarama)
Sertifika Pivot Aynı fingerprint → 12 farklı C2 sunucusu tespit edildi
▸ SOSYAL & KİŞİSEL (Organizasyon bazlı)
Domain acmecorp.com (WHOIS e-postasından türetildi)
Alt Domainler dev-internal, vpn, mail, staging (crt.sh SANs)
Çalışanlar LinkedIn → 3 IT personeli, e-posta formatı: a.soyad@
Sızdırılmış Veri HaveIBeenPwned → 2 hesap — 2023 breach'I6. Sonuç
IP adresi bir kimlik değil, bir izdir. Ama bu iz, doğru araçlarla yeterince derinlemesine takip edildiğinde şaşırtıcı miktarda bilgiye ulaşmanızı sağlayabilir: organizasyon altyapısı, teknoloji stack'i, tarihsel DNS kayıtları, sertifika geçmişi, çalışan bilgileri ve hatta sızdırılmış kimlik bilgileri.
Bu yazıda incelediğimiz pivot zinciri tamamen pasif, açık kaynak verilere dayanmaktadır. Saldırganlar bu teknikleri rutin olarak kullanmaktadır.
Araç Referans Tablosu
[Shodan] Port / Servis / Banner — shodan.io — internete açık cihaz arama motoru
[Censys] TLS / Sertifika — search.censys.io — protokol & sertifika odaklı
[FOFA] Alternatif Keşif — fofa.info — Asya-Pasifik ağırlıklı
[ZoomEye] Alternatif Keşif — zoomeye.org — Çin menşeli IoT odaklı
[GreyNoise] Threat Intelligence — greynoise.io — IP itibar & sınıflandırma
[SecurityTrails] Passive DNS — securitytrails.com — tarihsel DNS kaydı
[crt.sh] Sertifika Şeffaflığı — crt.sh — CT log arama, SAN analizi
[BGPView] ASN / Routing — bgpview.io — IP blok & ASN haritalama
[Spiderfoot] Otomasyon — Açık kaynak, 200+ modül OSINT platformu
[Maltego] Görselleştirme — Ticari, graf tabanlı pivot & ilişki haritası
[Recon-ng] Framework — Açık kaynak, modüler Python OSINT framework
[JARM] TLS Fingerprinting — Aktif TLS sunucu parmak izi tespiti
[ipwhois] Python Kütüphanesi — RDAP / WHOIS sorgusu için Python API wrapper
[dnsx] DNS Araçları — Hızlı DNS sorgu, bulk reverse DNS
[Censys ASM] Attack Surface Mgmt — Sürekli dış yüzey izleme (kurumsal)
[Runzero] Network Discovery — İç + dış ağ varlık keşfi, agent'sız
[AbuseIPDB] IP Reputation — Topluluk tabanlı kötü niyetli IP veritabanı
[IPQS] Fraud / VPN Tespiti — IP kalite puanı, proxy/VPN/Tor sınıflandırma
YAZAR: Buse T.