URL Tabanlı Engelleme

Çalmayı iyi bildikleri gibi sansür ve gözetimi de iyi biliyorlar.

Dün gece Tayyip Erdoğan ile oğlu Bilal Erdoğan arasında geçen telefon konuşmalarına ait ses kaydı Youtube üzerinden yayımlandı. Ses kaydı gerçek mi değil mi diyorsanız veya bu konuyla ilgili bir bilgi almak isterseniz Kıvaç Kitapçı’nın yazdığı “Tayyip Erdogan – Bilal Erdogan Telefon Gorusmesi Analizi” adlı makaleyi okuyabilirsiniz. Dün geceye tekrar dönecek olursak, kayıt yayımlandıktan bir süre sonra erişime engellendi. Fakat her zaman alışık olduğumuz yöntemlerin aksine sayfaya “http” üzerinden eriştiğinizde tarayıcınızdan sanki öyle bir sayfa yokmuş, bağlantınız resetlenmiş gibi hata aldınız. Tahmin edildiği üzere bu URL tabanlı bir engelleme idi. Bu engelleme nasıl yapıldı ve engelin kaynağı neresidir üzerine küçük bir analizi kısaca fakat –olabildiğince– anlaşılır bir dille nasıl yapıldığını açıklayayım:

  • Öncelikle, tcpdump çalıştırıldı ve trafiğe konu olan veri paketlerine monitörleme yapılıp herhangi bir şüpheli durum var mı, varsa neden kaynaklanıyor bu belirlenmeye çalışıldı.
  • dig ile www.youtube.com adresinin DNS kayıtlarına bakıldı.
  • traceroute ile www.youtube.com adresine hangi sunucu veya yönlendiriciler üzerinden gidiliğine bakıldı.
  • Tarayıcıdan ilk olarak URL tabanlı engellenen Youtube sayfasına girildi.
  • Ardından da açık olan –yani engellenmemiş– bir Youtube sayfasına girildi.

Açık olan Youtube videosuna erişim sonucu:

00:20:17.299332 IP (tos 0x0, ttl 48, id 63155, offset 0, flags [none], proto TCP
(6), length 60)
    fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [S.], cksum 0xd7b8
(correct), seq 1852958477, ack 1827879094, win 42540, options [mss
1430,sackOK,TS val 1082331416 ecr 67618,nop,wscale 6], length 0

URL tabanlı engellenen Youtube videosuna erişim sonucu:

00:20:17.325219 IP (tos 0x0, ttl 30, id 0, offset 0, flags [DF], proto TCP (6),
length 62)
fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [R.], cksum 0x3cf3
(correct), seq 1:23, ack 375, win 229, length 22 [RST
x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00]

Bu iki Youtube sayfasına ait tcpdump çıktısının en temel noktası, URL tabalı engellenen sayfanın TTL (yaşam süresi) değeri açık sayfaya göre gelen değerden farklı. Bu fark şunu ifade ediyor;  URL tabanlı engelleme yapılabilmesi için İSS’lerde IPS gibi bir sistemin olması gerekli. Bu sistem ağı monitörleme, istenmeyen aktiviteleri tespit etme, bu aktiviteleri loglama, engelleme veya durdurma ve raporlama işlerini yapmaktadır. URL tabalı engellemenin çalışma sistemi de aynen monitörleme, loglama, engelleme ve erişimleri raporlama üzerinedir. Engelli sayfa çıktısında görüldüğü üzere İSS araya girerek TTL değerini değiştiriyor. Açık sayfada ise İSS tarafından bir müdahalede bulunulmadığı için TTL değeri normal düzeyde, yani gelmesi gereken düzeyde geliyor. Diğer yandan (çıktı olarak vermedim) traceroute sonucuna bakıldığında sorgu Google’a gidiyor. ICMP paketinin zaman aşımına uğradığı IP adresi 209.85.251.24, yani Google ağı içinden. Herhangi bir sorun yok gibi duruyor. Peki tüm bunlardan ne anlamalıyız?

İSS, bir IPS kullanmakta ve IPS de bu mevcut URL tabanlı engellemeyi gerçekleştirmektedir. Bunu da RST (reset) paketi ile istemciye “bu iletişimi kes” mesajı vererek yapmaktadır. O gördüğünüz “sayfa bulunamadı” hatasını da bu yüzden almaktasınız. Ayrıca, RST paketi sunucu tarafından gönderilmemekte ve IPS bunu “istemci engelli bir sayfaya erişmekte, ben de bunu durdurayım” şeklinde görmektedir. Anlaşılan çalmayı öğrendikleri kadar sansür ve gözetimde de bilgi sahibi olmuşlar gibi duruyor. Fakat, bu sonuç sansürün ana kaynağını malesef söyleyemiyor. Bakalım, ilerleyen süreçte yapılan engellere de analiz yapmaya devam edip sansürün ana kaynağına ulaşabilecek miyiz zaman gösterecek. Bakarsınız, bu sürede belki sansürleyecek bir hükümet de kalmaz. Kim bilir.

Son olarak, bu yazı da montaj. TTL lobisi yazdı.

Tagged , , , , , , , , , , , , , , , ,

15 thoughts on “URL Tabanlı Engelleme

  1. […] zorlar. Olmazsa olmazdır. Bunun örneğini çok yakınlarda bir Youtube videosuna yapılan URL tabanlı engeli aşmada ne kadar işe yaradığını görmüştük. Fakat tek sıkıntı, hala ve ısrarlar birçok […]

  2. Anonymous says:

    Şöyle açıklayayım.Örneğin Facebook.Siteye giriyorum https://www.facebook.com olarak gözüküyor fakat sol tarafta kilit simgesi var https yazisinin hemen solunda.Ona tıklıyorum bağlantı şifrelenmemiş diyor.Ama https? SSLstrip midir nedir böyle birşey duymuştum.https trafiğini gözetlemek için yapılıyormuş.Site https olarak gözüküyor ama aslında http ile giriyoruz.Görüntüde https yazıyor yani.Bu neden oluyor?

    • Kus says:

      Her sitede bunu diyor mu? Diyorsa kullandığın tarayıcı ve sertifikalarla ilgili bir sıkıntı var demektir. Demiyorsa Facebook ayarlarına bak. Kullanmadığım için bilmiyorum. Peki hiç arattın mı bu sorunu?

  3. Anonymous says:

    Ben de bir şey sormak istiyorum umarım cevap verirsiniz. Bazı sitelere giriyorum örneğin bu siteye https verisi sanki http gibi oluyor. şifresizmiş gibi yani. Üzerine tıkladığımızda bağlantı güvenli yazıyor ya işte öyle yazmıyor, aradaki bağlantı şifrelenmemiş diyor ama https gibi gözüküyor. Bu neden oluyor? Hadi diyelim sansürleniyoruz ki zaten öyle de :D VPN açıyorum bir tane yine https gibi ama yine şifresiz yazıyor. Başka VPN açıyorum yine öyle. Bu durum tam olarak neden oluyor?

    • Kus says:

      Açıkçası pek bir şey anlamadım. Nerde yazıyor şifresiz olduğu? Bunun dışında bende böyle bir sıkıntı yok. Sadece Network23 ile alakalı olarak yüklenen dosyalar -örneğin resimler- http bağlantı veriyor. Bunu da bir ara söyleyeceğim Network23’e. Belki halledilebilir bir şeydir.

  4. Darksystem says:

    Istedikleri gibi engeleme yapsınlar. Dünya üzere 100 den fazla vps üzerinden bağlanıp, yinede izlerim, indiririm ve paylaşmaya devam ederim..
    Durmak yok… !

  5. Cam Bazz says:

    Merhaba,

    Aynı şekilde bende tcpdump ile trafiğe bakmış, ve Flags [R.], seq 1:23, ack 518, win 115, length 22 gibi sahte bir paket ile ttnet’in bağlantıyı reset ettiğini farketmiştim. Bu çok kötü bir sansürleme yöntemi. Bu sebepten dolayı internet yavaş ve pek çok site ve servise degrade olarak ulaşıyoruz.

    video’lara https olarak erişildiğinde request uri bilinemeyeceği için bağlantıyı resetliyemiyorlar. videoların https:// olarak paylaşılması bu yüzden önemli ve insanların bilmesi gerekiyor.

    bir sonraki adım olarak sahte sertifika üretmeleri ve bir şekilde midm yapmaları gerekiyor ki – bunu yapmak herhalde savaş sebebi olur.

    -c.b.

  6. Mustafa says:

    Peki abi şimdi diyelimki ben youtube’ un ip sini biliyorum ezbere (varsayalım). Bu ip yi adres satırına girersem DNS serverları aşmış olur muyum?

    • Mustafa says:

      Sanırım saçma bir soru oldu:))

    • Kus says:

      Selamlar Mustafa,

      Soru sanki saçma diye cevap vermediğim düşüncesine kapılmayın. Bazı soruları anlayamıyorum ya da konuyla ilgili eksik bilgi sahibiyim. Bunlara da hataya düşmemek için cevap vermiyorum. Eğer dediğin “URL engellense ve ben IP adresini biliyorsam DNS sorgusunu atlatıp sayfaya erişebilir miyim?” gibi bir soruysa, hayır. Fakat, nerde okuduğumu hatırlamıyorum ama biri çalıştığı iş yerinde URL tabanlı bir engellemeyi IP adresini yazarak aştığını yazmıştı. Bana pek makul gelmedi bu durum ama nasıl bir engelleme yapıldığını da bilmiyorum. Bu daha çok URL değil de kelime yasaklanıyor gibi duruyor. O yüzden o kelimeyi içeren adresi yazınca açılmıyor fakat IP yazınca yasaklı kelime aşılıp adres açılıyor. Diğer türlü URL engelleniyorsa bunu aşmak IP yazarak olamaz malesef.

  7. Çok teknik ama yine de kullanmaya çalışacağım

    • Kus says:

      Selamlar Tarık,

      Çok teknik ama yine de kullanmaya çalışacağım

      Demek istediğini pek anlayamadım ama yazının dili aslında o kadar da teknik değil. Kullanmaya çalışacağım derken?

Leave a Reply

Your email address will not be published.