Karanlık Ağın Katmanları: Dark Web Navigasyonu, theHarvester ve Shodan’a İlk Bakış

OSINT Rehberi - Bölüm 12

Son güncelleme: 5 Haziran 2026

5 dakika okuma süresi

Sosyal medya platformlarındaki kullanıcı profillerinin teknik analizini ve fotoğrafların barındırdığı gizli konum verilerinin tespiti süreçlerini anlamak, açık kaynak istihbaratının yüzey ağlardaki gücünü ortaya koymaktadır.

Analizler göstermektedir ki dijital varlıkların tam bir güvenlik taramasından geçirilebilmesi için yüzey ağlardaki verilerin ötesine geçilmesi, internetin alt katmanlarında ve özel veri havuzlarında tarama yapılması zorunludur. Bilgi toplama faaliyetlerinin kapsamını genişletmek, hedef sistemlerin görünmeyen dijital ayak izlerini ortaya çıkarır.

Peki, bu durum pratikte ne anlama geliyor?

Açık kaynak istihbaratı (OSINT) süreçlerinde başarıya ulaşmak, verinin internet ağının hangi katmanında yer aldığını bilmek ve o katmana uygun araçları kullanmakla doğrudan ilişkilidir. Bu doğrultuda, pasif bilgi toplama süreçlerini otomatize eden platformlar ve karanlık ağın yapısal analizi, tehdit istihbaratının çekirdeğini oluşturmaktadır.

İnternetin Üç Katmanı ve Veri Yapıları

İnternet ağı, verilerin erişilebilirlik durumuna ve indekslenme biçimlerine göre üç temel katmandan meydana gelmektedir. Sektörel araştırma sonuçları, küresel ağdaki verilerin yalnızca çok küçük bir kısmının arama motorları tarafından doğrudan listelenebildiğini kanıtlamaktadır. İstihbarat analizlerinde bu katmanların doğru ayrıştırılması, doğru metodolojinin seçilmesini kolaylaştırır.

İnternetin Katmanları Nedir?

İnternet; geleneksel arama motorları tarafından indekslenen Yüzey Web (Surface Web), parola korumalı ve veritabanı odaklı alanları içeren Derin Web (Deep Web) ve erişim için özel şifreleme protokolleri ile tarayıcılar gerektiren Karanlık Ağ (Darknet Web) olmak üzere üç katmandan oluşan dijital bir veri yapısıdır.

Aşağıdaki şema, veri ekosisteminin katmanlar arasındaki dağılımını ve yapısal ilişkilerini görselleştirmektedir.

İnternet altyapısının katmanları şu şekilde ayrışmaktadır:

Yüzey Web (Surface Web): Geleneksel arama motorlarının örümcekleri tarafından serbestçe taranabilen ve indekslenen katmandır. Herkese açık web siteleri, haber portalları ve makaleler bu alanda yer alır.
Derin Web (Deep Web): Standart arama motorları tarafından indekslenmeyen, erişimi parola, abonelik veya özel yetkilendirme gerektiren alanlardır. Akademik veritabanları, kişisel e-posta hesapları, şirket içi ağlar ve bankacılık sistemleri bu katmanda bulunur ve hacimsel olarak internetin en büyük bölümünü oluşturur.
Karanlık Ağ (Darknet Web): Deep Web’in özel bir alt kümesi olup, kasıtlı olarak gizlenmiş ağ altyapılarını ifade eder. Standart tarayıcılarla erişilemeyen, bağlantıların düğümler üzerinden şifrelenerek yönlendirildiği ve anonimliğin esas olduğu katmandır.

Dark Web Navigasyonu İçin Güvenli Erişim Adımları

Karanlık ağ üzerinde gerçekleştirilecek istihbarat çalışmalarında operasyonel güvenliğin (OPSEC) sağlanması bir zorunluluktur. Sistem analizleri, doğrudan korumasız yapılan bağlantıların analistin dijital ayak izini ve gerçek IP adresini açığa çıkarabileceğini göstermektedir. Güvenli bir dark web navigasyonu için şu teknik adımların sırasıyla uygulanması gerekmektedir:

Sanal Özel Ağ (VPN) Yapılandırması: İnternet servis sağlayıcısının karanlık ağa bağlanma girişimini tespit etmesini önlemek ve gerçek konum verisini maskelemek adına güvenilir, log tutmayan bir VPN hizmeti aktif hale getirilir.
Özel Tarayıcı Kurulumu: Karanlık ağda kullanılan şifreli protokolleri ve .onion uzantılı alan adlarını çözümleyebilecek Tor Browser, Waterfox veya Freenet gibi tarayıcılardan biri güvenli bir sanal makine üzerine kurulur.
Arama Motoru Seçimi: Klasik arama motorları bu ağda çalışmadığı için, karanlık ağdaki güncel dizinleri listeleyen DuckDuckGo veya Haystak gibi özelleştirilmiş arama motorları tarayıcı üzerinde yapılandırılır.
Dizin ve Sitelerin Doğrulanması: Kimlik avı ve zararlı yazılım risklerine karşı, erişilecek .onion uzantılı adreslerin doğruluğu güvenilir topluluk dizinleri üzerinden teyit edilerek navigasyon başlatılır.

theHarvester İle Pasif Bilgi Toplama Süreçleri

theHarvester, hedef organizasyonlara ait e-posta adreslerini, alt alan adlarını (subdomain), sunucu isimlerini ve çalışan profillerini açık kaynaklı arama motorlarından, PGP anahtar sunucularından ve sızdırılmış veri havuzlarından toplayan bir bilgi toplama aracıdır. Sızma testi ve siber istihbarat süreçlerinin ilk aşamasında pasif keşif faaliyetlerini gerçekleştirmek amacıyla yaygın olarak tercih edilir.

İşin aslı şu ki, aracı tam kapasite kullanabilmek için bazı veri kaynaklarında API anahtarlarının yapılandırılmış olması gerekmektedir. Araç, Kali Linux dağıtımında yerleşik olarak bulunmakta olup terminal üzerinden komut satırı parametreleriyle çalıştırılır.

Teknik bir analiz gerçekleştirmek amacıyla kullanılan temel theHarvester komut yapısı şu şekildedir:

theHarvester -d hackthissite.org -l 500 -b all

theHarvester -d hackthissite.org -l 500 -b all

Komut setinin içerdiği parametrelerin fonksiyonel açıklamaları aşağıda listelenmiştir:

-d: Taramaya tabi tutulacak ve üzerinde bilgi toplanacak hedef alan adını (domain) ifade eder.
-l: Arama motorlarından çekilecek sonuç sayısının sınırını (limit) belirler.
-b: Verilerin hangi kaynaklardan (Google, Bing, PGP, LinkedIn vb.) toplanacağını belirtir. all parametresi mevcut tüm kaynakların taranmasını sağlar.

Shodan Arama Motoru ve Nesnelerin İnterneti (IoT) Analizi

Shodan arama motoru, standart web sitelerini indeksleyen sistemlerin aksine internete doğrudan bağlı olan cihazları, sunucuları, yönlendiricileri, akıllı ev sistemlerini ve endüstriyel kontrol sistemlerini tarayan özelleştirilmiş bir platformdur. Cihazların dışarıya açık olan portlarını, servis banner bilgilerini ve barındırdıkları zafiyetleri analiz ederek siber güvenlik araştırmacılarına sunar.

Ama burada kritik bir detay var: Shodan üzerinden elde edilen veriler, sistemlerin yanlış yapılandırmalarını ve güncellenmemiş yazılım sürümlerini açıkça ortaya koymaktadır. Örneğin, arayüze os:"windows 7" sorgusu girildiğinde, milenyum sonrasına ait eski işletim sistemlerinin halen internete açık olduğu görülmektedir.

Aşağıdaki tablo, Shodan üzerinde hedef sistem analizi yaparken kullanılan filtreleme parametrelerini ve işlevlerini göstermektedir.

Filtre Parametresi	Kullanım Amacı	Teknik Çıktı
org:	Belirli bir kuruma ait IP bloklarını taramak	Kurumsal sunucular ve açık servisler
port:	Belirli bir portun açık olduğu cihazları listelemek	SSH (22), RDP (3389) gibi erişim noktaları
country:	Taramayı coğrafi olarak ülkelere göre sınırlamak	Ülke bazlı siber varlık dağılımı
city:	Cihazları şehir seviyesinde lokalize etmek	Bölgesel zafiyetli cihaz haritası
product:	Belirli bir yazılım veya donanım modelini bulmak	Apache, nginx veya belirli bir IP kamera sürümü

Shodan’ın sunduğu bir diğer önemli imkan ise belirli IP aralıklarını (örneğin 71.6.146.0/24) sürekli izlemeye (monitoring) alabilmesidir. Bu izleme özelliği sayesinde ağa yeni eklenen cihazlar, değişen port yapılandırmaları ve anlık zafiyet durumları raporlanabilir.

OSINT Otomasyonu ve Yapay Zekanın İstihbarattaki Rolü

Veri hacminin geometrik olarak arttığı dijital ortamlarda, bilgi toplama ve analiz süreçlerinin manuel olarak yürütülmesi operasyonel gecikmelere neden olmaktadır. OSINT otomasyonu, büyük veri setleri içerisindeki anlamlı ilişkileri saniyeler içinde tespit etmeyi kolaylaştırır. Yeni nesil analitik sistemler ve yapay zeka algoritmaları; örüntü tanıma, metin özetleme, görüntü analizi ve siber varlık ilişkilerini haritalandırma süreçlerinde etkin rol oynamaktadır.

Bu otomasyon süreçlerinin görselleştirilmesinde Maltego platformu merkezi bir konumda yer alır. Maltego, elde edilen IP adresleri, alan adları, e-posta adresleri ve şahıs isimleri arasındaki bağlantıları grafiksel bir model üzerinde birbirine bağlayarak siber tehdit haritasını ortaya çıkarır.

Bu Makaleden Anahtar Çıkarımlar

İnternet altyapısı Yüzey Web, Derin Web ve Karanlık Ağ olmak üzere üç farklı erişim ve indeksleme katmanına ayrılmaktadır.

Dark web navigasyonu süreçlerinde operasyonel güvenliği sağlamak için sanal makineler, VPN ve Tor altyapısı birlikte kullanılmalıdır.

theHarvester aracı, hedef sistemlere ait kritik dijital varlık verilerini pasif yöntemlerle tek bir komut üzerinden toplayabilmektedir.

Shodan arama motoru, internete açık yanlış yapılandırılmış cihazları ve endüstriyel sistemleri servis banner bilgileri üzerinden tespit eder.

Siber istihbaratta otomasyon ve yapay zeka entegrasyonu, dağınık haldeki verileri yapılandırılmış istihbarata dönüştürmek için zorunludur.

Sık Sorulan Sorular

Dark Web üzerinde arama yaparken neden Google kullanılamaz?

Google ve benzeri geleneksel arama motorlarının örümcekleri, karanlık ağda kullanılan şifreli protokolleri ve .onion uzantılı yönlendirme yapılarını tarayacak şekilde tasarlanmamıştır. Bu ağdaki siteler kendilerini arama motoru indekslerine kapatırlar ve erişim için Tor gibi özel ağ katmanları gerektirirler.

theHarvester aramalarında neden bazı kaynaklardan veri çekilemiyor?

theHarvester aracının veri topladığı Shodan, LinkedIn veya bazı özel platformlar, sistem güvenliği ve veri kotası sınırlandırmaları nedeniyle API anahtarı (API Key) kullanımı gerektirir. Araç ayarlarına ilgili platformların geçerli API anahtarları eklenmediğinde, bu kaynaklardan veri çekimi başarısız olur.

Shodan üzerinden bir cihazın açık portlarını görmek yasal bir suç oluşturur mu?

Shodan, internete açık olan cihazların kamusal alana yayınladığı servis banner bilgilerini pasif olarak toplayan bir arama motorudur. Shodan üzerinde arama yapmak veya sunulan raporları incelemek yasal bir ihlal oluşturmaz; ancak bu verileri kullanarak hedef sisteme izinsiz erişim denemeleri gerçekleştirmek siber suç kapsamında değerlendirilir.

Etiketler