Ağ Katmanları ve Temel Saldırı Yöntemleri

Bilgi güvenliği, yalnızca uygulama düzeyinde değil, ağ iletişiminin her katmanında bütüncül bir anlayışı gerektirir. Açık Sistemler Ara Bağlantı Modeli (OSI) ve TCP/IP referans modelleri, bu anlayışın temelini oluşturur. Her katman, kendi içinde farklı güvenlik açıklarına ve saldırı vektörlerine sahiptir. Bu yazıda ağ katmanları ayrı ayrı ele alınarak her birinde karşılaşılabilecek saldırı türleri teknik detaylarıyla açıklanacak; her saldırı türü için örnek senaryolar ve savunma yöntemleriyle derinlemesine bir değerlendirme sunulacaktır.

1. Fiziksel Katman (Layer 1)

Bu katman, veri iletimini sağlayan fiziksel altyapıyı kapsar: kablolar, fiber optik hatlar, antenler, teçhizat portları ve diğer donanımsal elemanlar.

Saldırı Yöntemleri:

  • 1.1 Kablosuz Dinleme (Sniffing): Wi-Fi ağlarında yönlendirici ile istemci arasında havada taşınan sinyaller antenler vasıtasıyla toplanarak analiz edilebilir. Özellikle WPA2-PSK şifrelemesinin zayıf parolalarla kullanıldığı durumlarda, handshake verileri toplanarak offline brute-force saldırıları yapılabilir.
  • 1.2 Jammer (Sinyal Boğma): Özellikle IEEE 802.11 ağlarında, belirli frekans aralıklarında sürekli veri gönderen jammer cihazlar, Wi-Fi bağlantılarını engelleyebilir. Bu saldırı, ağın kullanılabilirliğini doğrudan etkiler ve DoS (Hizmet Engelleme) türüne girer.
  • 1.3 Fiziksel Donanım Müdahalesi: Switch, router gibi cihazlara erişim sağlanarak portların manipülasyonu, yetkisiz cihaz bağlantısı veya donanımın yerinden çıkarılması mümkündür. Özellikle sunucu odalarında yetersiz fiziksel güvenlik ciddi tehdit oluşturur.
  • 1.4 Tapping (Fiziksel İzleme): Fiber optik kablolara özel cihazlarla temas edilerek optik sinyallerin kırılması ve verinin pasif olarak izlenmesi mümkündür. Bu saldırılar, genellikle fark edilmesi zor olan endüstriyel düzeyde tehditlerdir.

Savunma Yöntemleri:

  • Sunucu odalarında erişim kontrolleri ve güvenlik kameraları
  • Kablosuz ağlarda WPA3-EAP protokolü
  • Fiziksel kablo hatlarının dış müdahalelere karşı zırhlanması
  • RF spektrum analiz araçları ile jammer tespiti

2. Veri Bağlantı Katmanı (Layer 2)

Bu katman, ağ kartı düzeyinde cihazların birbirine bağlandığı ve çerçeve düzeyinde iletişim kurduğu seviyedir. Ethernet en yaygın protokoldür.

Saldırı Yöntemleri:

  • 2.1 MAC Flooding: Switch’in CAM (Content Addressable Memory) tablosu sahte MAC adresleri ile doldurularak ağ cihazı broadcast moduna zorlanır. Böylece tüm trafik ağdaki her cihaza gönderilir ve saldırgan bu trafiği sniff edebilir.
  • 2.2 ARP Spoofing / ARP Poisoning: Adres Çözümleme Protokolü (ARP), IP adresi ile MAC adresi arasında ilişki kurar. Sahte ARP paketleri göndererek, ağ trafiğinin yönü değiştirilebilir. Bu sayede Man-in-the-Middle saldırıları gerçekleştirilir.
  • 2.3 VLAN Hopping: Saldırgan, bir VLAN’a aitmiş gibi davranarak başka bir VLAN’a geçebilir. Double tagging yöntemiyle iki farklı 802.1Q etiketi kullanılarak bu geçiş yapılabilir.
  • 2.4 STP (Spanning Tree Protocol) Manipülasyonu: Switch’ler arası yedekli bağlantıları engelleyen STP protokolü sahte BPDU (Bridge Protocol Data Unit) mesajlarıyla manipüle edilerek saldırgan switch’i root bridge hâline getirir.

Savunma Yöntemleri:

  • Port Security özelliği ile MAC adresi sınırlaması
  • Dinamik ARP Denetimi (DAI) ve DHCP Snooping yapılandırması
  • VLAN segmentation ve erişim listeleri (ACL)
  • STP Guard / Root Guard özelliklerinin etkinleştirilmesi

3. Ağ Katmanı (Layer 3)

Yönlendirme (routing), IP adresleme ve ağlar arası iletişim bu katmanda gerçekleşir.

Saldırı Yöntemleri:

  • 3.1 IP Spoofing: Paketlerin sahte bir kaynak IP adresi ile gönderilmesi yoluyla sunucular kandırılabilir. Saldırgan kimliğini gizler veya başka bir istemci gibi görünerek sunucunun verdiği tepkileri saptırır.
  • 3.2 ICMP Flood / Smurf Attack: Smurf saldırısında, saldırgan sahte kaynak IP ile ICMP echo request (ping) paketleri gönderir. Yüzlerce sistem bu ping’e yanıt verdiğinde kurban sisteme aşırı trafik oluşur.
  • 3.3 BGP Hijacking: Otonom Sistemler arası Border Gateway Protocol sahte route reklamları ile kandırılarak trafik istenmeyen yönlendiricilere aktarılabilir. Bu saldırılar genellikle büyük ölçekli yönlendirme hatalarına neden olur.
  • 3.4 IP Fragmentation Attacks: Paketler küçük parçalara bölünerek güvenlik cihazları tarafından doğru şekilde birleştirilemezse, güvenlik denetimleri atlatılabilir.

Savunma Yöntemleri:

  • IP Spoofing’e karşı ingress/egress filtreleme (uRPF)
  • ICMP hız sınırlamaları ve ACL’lerle filtreleme
  • BGP oturumlarında TTL Security, MD5 Authentication
  • Fragmentation threshold tanımları ve IPS/IDS sistemleriyle birleştirme kontrolleri

4. Taşıma Katmanı (Layer 4)

Bu katman, uçtan uca bağlantıların kontrolünü ve veri akışını yönetir. TCP ve UDP en bilinen protokollerdir.

Saldırı Yöntemleri:

  • 4.1 SYN Flood: Saldırganlar TCP üç yönlü el sıkışma sürecinde SYN gönderir, ancak ACK yanıtı vermez. Sunucu yarı açık oturumlar biriktikçe kaynakları tükenir.
  • 4.2 UDP Flooding: Hedef sistemin rastgele UDP portlarına veri gönderilerek CPU’nun ICMP Port Unreachable yanıtlarıyla meşgul edilmesi hedeflenir.
  • 4.3 TCP Reset Attack: TCP bağlantılarına sahte RST (reset) bayrağı taşıyan paketler gönderilerek aktif oturumlar zorla sonlandırılır.
  • 4.4 Port Scanning: Saldırgan, ağdaki sistemlerin açık portlarını keşfetmek için SYN, FIN, NULL, Xmas gibi çeşitli tarama tekniklerini kullanır.

Savunma Yöntemleri:

  • SYN Cookies ve bağlantı zaman aşımları ile flood etkisini azaltmak
  • UDP rate-limiting ve deep packet inspection
  • TCP paket imzası doğrulama (sequence number kontrolü)
  • Ağ izleme araçlarıyla (Nmap, Zeek, Wireshark) davranış analizi

5. Oturum Katmanı (Layer 5)

Bu katman, uygulamalar arasında oturumların başlatılması, sürdürülmesi ve sonlandırılmasıyla ilgilidir.

Saldırı Yöntemleri:

  • 5.1 Session Hijacking: Yetkisiz kullanıcı, aktif bir oturumun kimlik doğrulama token’ını çalarak o oturumu devralır. HTTP cookie ele geçirme buna örnektir.
  • 5.2 Session Fixation: Kurban kullanıcıdan önce oturum ID’si belirlenir ve kullanıcı bu ID ile oturum açmaya yönlendirilir. Saldırgan, sabit ID’yi kullanarak oturumu ele geçirir.
  • 5.3 Token Reuse Attack: Tekrar kullanılabilen JWT veya OAuth token’ları ele geçirilerek farklı oturumlarda yeniden kullanılır.

Savunma Yöntemleri:

  • HTTPS zorunluluğu ve cookie’lerde Secure, HttpOnly, SameSite flag’lerinin kullanımı
  • Oturum ID’lerinin rastgele ve tahmin edilemez olması
  • Oturum süresi sınırlamaları ve IP bazlı doğrulama

6. Sunum Katmanı (Layer 6)

Verilerin uygun biçimde sunulmasını ve genellikle şifreleme, sıkıştırma gibi işlemleri içerir.

Saldırı Yöntemleri:

  • 6.1 SSL Stripping: Kullanıcıyı HTTPS yerine HTTP sayfasına yönlendirerek iletilen bilgileri şifrelenmemiş hale getirmek.
  • 6.2 Encoding Exploits: Özellikle XML/JSON gibi veri formatlarında kodlama biçimlerinin istismarı ile veri enjeksiyonu.
  • 6.3 TLS Downgrade Attack: Şifreli bağlantının daha zayıf bir protokol olan SSLv2/v3’e zorlanması.

Savunma Yöntemleri:

  • HSTS (HTTP Strict Transport Security) zorunluluğu
  • Güçlü şifreleme protokolü zorlamaları (TLS 1.2+)
  • Sunucu tarafında doğru TLS yapılandırmaları ve cipher suite sınırlandırmaları

7. Uygulama Katmanı (Layer 7)

Kullanıcının doğrudan etkileşimde bulunduğu katmandır. HTTP, FTP, DNS, SMTP, SNMP gibi protokoller bu katmanda çalışır.

Saldırı Yöntemleri:

  • 7.1 SQL Injection: Kullanıcının giriş verilerinin filtrelenmeden doğrudan SQL sorgularına dahil edilmesiyle veritabanına zararlı komutların çalıştırılması.
  • 7.2 Cross-Site Scripting (XSS): Kullanıcının tarayıcısında zararlı JavaScript kodlarının çalıştırılması. Reflected, stored ve DOM-based türleri mevcuttur.
  • 7.3 Cross-Site Request Forgery (CSRF): Yetkili bir kullanıcının tarayıcısı üzerinden saldırganın hazırladığı bir isteğin farkında olmadan gönderilmesi.
  • 7.4 DNS Tunneling: DNS istekleri içerisine veri gizleyerek firewall’ları aşmak ve dışarı veri sızdırmak.
  • 7.5 API Abuse: Doğrulama eksiklikleri, rate-limit eksiklikleri ve veri filtreleme eksikliği ile RESTful ya da GraphQL API’lerinin kötüye kullanılması.

Savunma Yöntemleri:

  • Parametrik sorgular ve ORM kullanımı
  • CSP (Content Security Policy), input validation, output encoding
  • CSRF token, referrer header doğrulaması
  • DNS analiz sistemleri ile tünelleme tespiti
  • API gateway, JWT ve OAuth 2.0 doğrulama sistemleri

Katmanlı Güvenliğin Geleceği

Ağ güvenliği yalnızca bireysel saldırıları önlemekle kalmamalı, aynı zamanda sistematik bir savunma doktrinine dayanmalıdır. OSI modelinin her katmanı, potansiyel saldırı vektörlerinin ve savunma mekanizmalarının belirginleştiği ayrı bir cephedir. Bu yazıda görüldüğü üzere, her katman için özelleştirilmiş tehditler ve savunma teknikleri geliştirilmelidir.

Günümüzün tehdit ortamı, yalnızca teknik değil aynı zamanda taktiksel refleksleri de zorunlu kılmaktadır. Kurumsal ağlarda Zero Trust (sıfır güven) mimarisi, davranışsal analiz sistemleri, AI destekli IDS/IPS çözümleri, honeypot yapılar ve aktif tehdit avcılığı (threat hunting) stratejileri birlikte düşünülmelidir.

Özellikle hibrit çalışma düzeninde uzaktan erişim ve VPN bağlantılarının artmasıyla, taşıma ve oturum katmanları gibi çoğu zaman göz ardı edilen alanlarda ciddi açıklar oluşabilmektedir. Bu nedenle sadece uygulama katmanını değil, ağın her seviyesini kapsayan bütünleşik güvenlik politikaları geliştirmek şarttır.

Gelecek odaklı ağ savunması, sadece günümüzün saldırılarını engellemek değil, aynı zamanda görünmeyeni öngörmeyi de kapsar. Bu bağlamda; sürekli sızma testi yapılması, kırmızı-mavi takım tatbikatları ve güvenlik olgunluk modelleriyle (SOC Maturity, MITRE ATT&CK) entegre bir yapı oluşturulmalıdır.

Sonuç olarak, ağ güvenliği artık salt teknik bir görev değil; aynı zamanda stratejik bir sorumluluktur. Kurumlar, saldırılara karşı dirençli kalabilmek için katmanlı güvenlik mimarisine ve bu mimariyi sürekli güncel tutacak bilgi güvenliği kültürüne yatırım yapmalıdır.