Cloudlare sitenizi güvenlik açısından ileri seviye bir güçlendirmeye alan ücretli ve ücretsiz proxy hizmetlerini kurumsallaştırıp sunan sistemdir. Cloudflare bir içerik dağıtım ağı servisidir yani sitenizin verilerini dünya çapında dağıtılmış sunucularda saklar ve sitelerin ip adreslerini saklar. Her türlü yazılım ile yazılan sisteminize entegre edebileceğiniz bu sistemi bugün ismi duyulmuş çoğu site kullanmaktadır. Aynı zamanda sizin trafik dostunuz olan bu site önbellek (cache) tutarak daha az sorgu yapılmasını, dosya indirilmesini sağlar ve böylece trafiğiniz azalmış olur.
2. CloudFlare Nedir
Cloudlaresitenizi güvenlik açısından ileri seviye bir güçlendirmeye alan ücretli ve ücretsiz proxy
hizmetlerini kurumsallaştırıp sunan sistemdir. Cloudflare bir içerik dağıtım ağı servisidir yani
sitenizin verilerini dünya çapında dağıtılmış sunucularda saklar ve sitelerin ip adreslerini
saklar. Her türlü yazılım ile yazılan sisteminize entegre edebileceğiniz bu sistemi bugün ismi
duyulmuş çoğu site kullanmaktadır. Aynı zamanda sizin trafik dostunuz olan bu site önbellek
(cache) tutarak daha az sorgu yapılmasını, dosya indirilmesini sağlar ve böylece trafiğiniz azalmış
olur.
Örneğin web siteniz Fransa lokasyonlu bir sunucumuzda barındırılıyor ama ziyaretçileriniz
Türkiye'den giriyor olsun. Cloudflre Türkiye'de bulunan ya da en yakın Cloudflare sunuculardan
yayın yapacak ve bu hizmet sayesinde sitenizin daha hızlı(ücretli versiyonlarında) ve stabil
açılmasını sağlayacaktır.
Cloudflareücretli paketlerinde ddos,sql injection, xss, spam gibi saldırılardan koruyan web
firewall özellikleri bulunmaktadır. Bu hizmeti sunan sadece Cloudlare hizmeti yoktur. Japon
menşeili firma olan Akamai’de bu alanda başarılıdır.
CloudFlare Kullanıldığını Öğrenme
Cloudflare arkasındaki sitenin ip adresini bulma için bir kaç yöntem deneyeceğiz. Bu yöntemlerde
www.esintitaki.com sitesini kullanacağız. Benim yapmış olduğum bir sitedir ve böylelikle hiçbir
suç teşkil etmeyecek. Site şuan tam olarak tamamlanmadı ve kullanımda değil.
Siteye bir ping paketi göndererek ip adresini öğrenelim.
Cloudflare İp Listesindenip adres aralıklarına bakabilirsiniz.
Bir sitenin cloudflare hizmetini kullanıp kullanmadığını anlamanın birçok yöntemi vardır.
Ben Wappalyzereklentisini kullacağım. Wappalyzer Chrome ,Opera ve Mozilla üzerine kurulan bir
eklentidir. Bir siteye ait kullanılan tüm yazılım dilleri ve kullanılan javascript kütüphaneleri
hakkında bilgi verir. Alternatifi olarak https://builtwith.comsitesi üzerinden hedef siteyle ilgili
ayrıntılı bilgiye ulaşabilirsiniz. Aşağıda wappalzer eklentisinin basit bir görünümü bulunmaktadır.
1
3. İkinci bir yöntem olarak kullandığım diğer eklenti olan Shodan. Bu eklenti site ip adresi, ip adres
konumunu, sitedeki açık portları ve kullanılan hosting firmasını gösterir.
CloudFlare Bypass Etme Yöntemleri
Aşağıda Cloudflare bybass etme yöntemleri gösterilecektir. Burada anlatılan yöntemler tüm
sitelerde yüzde yüz kesin sonuç vermeyebilir. Her sitenin konfigürasyonu farklı olabilir. Biz
burada eksik yapılan konfigürasyon eksikleri sayesinde sitenin gerçek ip adresine ulaşacağız.
Burada önemli olan gösterilecek yöntemlerin sadece birisi yerine bir kaç tanesi denendikten sonra
aynı sonucun ortaya çıkmasıdır.
1)PİNG
Sitemiz ip adresini bulmak için ICMP protokolünü kullanarak ping göndereceğiz. Site dns
adresine ping gönderildiğinde cloudflare'e kayıtlı olan ip adresini görmüş oluruz. Aşağıdaki
subdomainler hosting firmaları tarafından oluşturulur. İlk başta ana siteye ping atarak site ip
adresi öğrenilir, daha sonra diğer subdomanlere de gönderilerek ana siteden farklı ip adreslerini
bulmaya çalışırız. Bulunan bu farklı ip adresi sitenin gerçek ip adresi olur.
ping esintitaki.com
ping cpanel.esintitaki.com
ping ftp.esintitaki.com
ping webdisk.esintitaki.com
ping webmail.esintitaki.com
ping whm.esintitaki.com
ping mail.esintitaki.com
2
4. ping direct.esintitaki.com
ping direct-connect.esintitaki.com
2)NMAP
Birinci yöntemde yaptıklarımızı nmap aracı ile yapabiliriz.Asağıdaki kod verilen dns üzerindeki
tüm altalan adlarını(subdomain) kaba kuvvet yöntemi ile tarayıp bulur daha sonra ip adreslerini
verir.
nmap --script dns-brute -sn esintitaki.com
nmap -sV -sS -F esintitaki.com
3)DNSENUM
Dnsenum aracıda sitenin nameserver, mail server’ın dns adrelerini ve bunların ip adreslerini
bulur.
dnsenum esintitaki.com
3
5. 4)DNSMAP
Dnsmap aracı ile tüm dns haritasını ve ip adreslerini ortaya çıkararır.
dnsenum esintitaki.com
4
6. 5)NSLOOKUP
Nslookup aracı ile mx sorgusu ile mail sucususunun subdomainini bulduktan sonra bu adrese ping
sorgusu ile sitenin gerçek ip adresine ulaşılabilir.
nslookup -q=mx esintitaki.com
ping dc-49e264d0.esintitaki.com
7)Netcraft
Siteyi oluşturan tarafın site oluşturulduktan sonra hemen clouldflare ile ipadresini gizlemeyebilir.
Bu yüzden eski DNS ve İp kayıtlarına bakarak bulabiliriz.
Netcraftile siteyi taradığımızda site ile ilgili site açılma tarihi, nameserver ve hosting geçmişi gibi
bir çok bilgi yer alıyor. Aşağıdaki resimde de görüldüğü gibi yazilimodasi.com ip adresi tespit
edildi.Her sitenin bu şekilde gözükmeyebilir ben siteyi clouldflare'a yeni taşıdığım için gözükebilir.
5
7. 8)Viewdns.info
Viewdns.infositesi verilen dns adresinin domain ve hosting geçmişine ait firmaların isimleri ve
ip adreslerini verir. Buradan sitenin cloudflare'den bir önceki ip adresi sitenin kendi ip adresidir.
Bir ara bende yazilimodsi.com sitesini Cloudflare geçirmiştim. Sonra sitede yavaşlamalar
yaşanmaya başladığı için sonradan geri eski haline dödürdüm.Buradan şu sonuç çıkıyor güvenlik
ve sitenin hızı ters orantılıdır. Artık ikisinden
birini seçmek zorundasın.
9)Dnsdumpster
https://dnsdumpster.com/
6
8. 10)CrimeFlare
CrimeFlare, PIR(Public Information Research) tarafından kurulmuş, CloudFlare’ın suça teşvik
edici bir yapı olduğunu ve zararları olduğunu düşünen bir sitedir.
Bu adrestensitenin arama kutusuna ulaşıp, gerçek ip adreslerini görmek istediğiniz siteyi
aratarak sonuca ulaşabilirsiniz. Sitede an itibariyle 1.1 milyondan fazla kayıt olduğu söyleniyor.
Ayrıca isterseniz sitedeki veritabanını bilgisayarınıza indirip inceleyebilirsiniz.
11)İnternetten Online CloudFlare Bypass Yapan Siteler
Aşağıdaki siteler cloudflare ip gizleme işlemlerini bypass eden online siteler aşağıdaki gibidir.
https://cloudresolve.net/
http://dnstree.com
http://skypegrab.net/cf.php
12)Websploit
WebSploitaracı clouldfire bypass yöntemlerinden en bilindik yöntemidir.Websploit ile man in
the middle (araya girme) saldırısında kullanılan içerinde birçok modül bulunmaktadır.Kali,Parrot,
Black Arck, Back Box gibi işletim sitemlerinde kuurlu gelir.Terminale websploityazılarak araç
başlatır.
show moduleskomutu ile içinde barındırdığı saldırı türlerini görebiliriz.
Web,network,exploit,wireless alanlarında ait saldırı türlerini vardır. usekomutu ile işlem
yapacağımız saldırı türünü seçiyoruz. set targetkomutu ile hedef site adresini belirlenir.İşlemi
başlatmak için runkomutu kullanılır
websploit
use web/cloudflare_resolver
set target esintitaki.com
run
7
9. 13)Resim Yöntemi
Yapılacağımız kısaca ip öadresini öğrenek istediğimiz siteye üye olup kullanıcı profilinden profil
fotoğrafını ya da avatarımı değiştirerek siteye yüklediğimiz resim dosyasını izleyerek sitenin kendi
ip adresine ulaşacağız.
http://iplogger.org/main/img/adresindeki yere buradaki gibi alınan resim yükleyin.Resmi
yükledikten sonra aşadıdaki gibi bir ekranla karşılaşacaksınız.
Üstteki resimde en alttan yüklediğimiz dosyanın türününü istediğiniz gibi değiştirebilirsiniz.Ben
png olarak değiştirdim.Deneme yapacağımız http://www.esintitaki.com/sitesi kullanıcı
profilinden profil resmini değiştirme ekranına geliyoruz ve iplogger sitesinden yeni
oluşturduğumuz resmin linkini avatar yerine yapıştırıyoruz.
8
10. Aynı şekilde forum sitelerinde de yapabilirsiniz.Avatarımı değiştir dediğinizde anasiteden
iplogger’a istek gideceği için ip adresini buluruz.
İp adresleri aşağıdaki gibi gözükecektir.Denediğim forum sitesi büyük bir site olduğu için gerçek ip
adresini gizlemek zorunda kaldım ama yöntem işe yarıyor.Aynı yöntemi siteye yorum olarak
yaparakta ip adresine ulaşabiliriz.
14)Betikle Cloudflare Bypass Etme
a)Nslookup aracı ile yapmış olduğum basit iki script.Sitenin dns adresinin ip adresini ve
bulunduğu hosting firmasının adını gösterir.
Scriplerin kaynak kodları ve kullanımı ağaşıdaki linkten ulaşabilirsiniz
https://github.com/cihanmehmet/cloudflarebypass/
cloudflare bypass etmek için kullanılan iki ayrı script bulunmaktadır.
git clone https://github.com/cihanmehmet/cloudflarebypass.git
cd cloudflarebypass
İlk başta scriptlerimizi çalıştırabilmemiz için yazma izni vermeliyiz
sudo chmod +x dnsresolver.sh
sudo chmod +x cloulflarebypass.py
Betikleri çalıştırmak için;
python cloulflarebypass.py
ya da
./cloulflarebypass.py
bash dnsresolver.sh
ya da
./dnsresolver.sh
b)Ruby ile yazılmış olan gerçek ip adresini bulmak için yazılmış başla bir araç.
9
11. git clone https://github.com/HatBashBR/HatCloud.git
cd HatCloud
sudo chmod +x hatcloud.rb
Kullanımı
ruby hatcloud.rb -b targetsite.com
ruby hatcloud.rb --byp targetsite.com
15)Sosyal Mühendislik
Diğer bir yöntem olarak siteye domanini üzerinden bize mail gelmesine sağlayarak mailin geldiği yer
kontrol ederek site ip adresine ulaşılabilir.Bunun için karşı tarafın size mail adresi göndermesi için sosyal
mühendislik yöntemleri kullanmalısınız.
10