Temel Network Terimleri ve Web Sunucu Servisleri

TCP/IP Protokolü : İki katmanlı haberleşme protokolüdür. Üst katmanda TCP (Transmission Control Protocol) bulunur. Verinin iletimden önce paketlere ayrılmasını ve iletildikten sonra paketlere ayrılmış bilginin düzgün bir şekilde toplanılmasını sağlayan protokoldür. Alt katmanda ise IP (Internet Protocol) paketlerin istenilen ağa gönderilmesini sağlar.

HTTP (Hyper-Text Transfer Protocol: Kullanıcı ile server arasında bilgi alışverişi yapılmasını sağlar. Genel olarak 80  portunu kullanır. Web uygulamalarının çoğu bu servis üzerinden sağlanır.

HTTPS (Secure Hyper-Text Transfer Protocol): Güvenli HTTP’dir. HTTP’den farkı giden ve gelen yanıtlar bir sertifikaya ihtiyaç duyar ve bu sertifika sayesinde paketler şifrelenip iletilir. Genelde 433 portu kullanılır.

SSH: SSH, veya Secure Shell, kullanıcılara sunucularını internet üzerinden kontrol etmesini ve düzenlemesini sağlayan uzak yönetim protokolüdür. Sunucu yönetimi ve dosya aktarımında en çok tercih edilen servistir. Genellikle 22 nolu portu kullanılır.

FTP (File Transfer Control): Dosya aktarım servisidir. Genellikle büyük dosyaların aktarılması için kullanılır. Bu servise eriştikten sonra yeni dosyalar ekleyebilir, düzenleyebilir veya silebilirsiniz. Genellikle 21 numaralı portu kullanılır.

DNS (Domain Name Sytem): Bir isimlendirme sistemidir. Kolay anlaşılabilir ve kullanılabilir makine ve alan isimleri ile makine IP adresleri arasında çift taraflı dönüşümü sağlar. IP adreslerinin gündelik hayatta kullanımı ve hatırlanması pek pratik olmadığı için domain isimlendirme sistemi kullanılır.

SNMP (Simple Network Management Protocol): Ağdaki cihazların kullanım süreleri performansları, cihaz sıcaklıkları, hafıza bellek kullanımları gibi bilgileri üzerinde tutan servistir. Genelde 161 UDP portu kullanılır.

Server ile e-mailler arasındaki iletişimi sağlayan protokoldür. Genellikle 25 portları kullanılır.

RDP ( Remote Desktop Protocol):Windows tabanlı sunucularda sunucuyu görsel olarak

yönetmeye yarayan protokoldür. Genellikle 3389 numaralı port kullanılır.

SQL Servisleri: SQL Server, Oracle veya Mysql gibi veri tabanı sistemlerinin sunucularla

bağlantı sağlamaları için kullanılır. Genelde 1433,1521.3306 portları kullanılır.

Web Sunucu Servisleri

Son kullanıcılar web uygulamalarına istekte bulunur ve bu isteklerle bir sonuca ulaşır. Http sunucu yazılımları ise bu sonuçları, kurulu oldukları işletim sistemleri üzerinden bu  uygulamaları yorumlayıp çıktı olarak kullanıcıya iletir. Bunlardan en yaygın olanları;

Apache ve ISS(Internet Information Service)’ dir.

Apache açık kaynak kodludur ve en uyumlu olarak Linux sistemlerde çalışır. Php ve Java

uygulamaları çalıştırır.

ISS ise sadece Windows sistemlerde çalışır. Genellikle  .NET uygulamaları çalıştırılır.

Domain: Domain web sitesinin tanımlandığı ve tarayıcı üzerinden erişim sağlandığı isimdir.

Domainler sonlarında ki ” .com, .net, .org “ gibi uzantılara göre sınıflandırılır ;

.com -> Ticari amaç için kurulan siteler için kullanılır, en çok tercih edilen domain uzantısıdır.

.net -> Network kısaltmasıdır, en çok bilgilendirme ve internet hakkında ki ticari amaclı siteler içindir.

.org -> Ticari amaç gütmeyen siteler için tercih edilmektedir.

Her ülkeye göre domain adları vardır.

Türkiye de ” .com.tr, org.tr “ vb. yani ” .tr “ uzantılı alan adları ODTU idaresindedir.

Hosting: Kendinize ait bir web sitesi kurmak istiyorsanız önce bir domain (alan adı) almalısınız daha sonra hazırlanmış olan yada hazırlanacak olan web sitenizin dosyalarının  (html, php, asp, fotoğraf dosyaları vs…) çalışacaği bir alan ( disk alanı ) olması gerekir ki  hazırlanan web sitesini hosting alanına yüklemelisiniz. Böylece sitenizi ziyaret etmek  isteyen kullanıcılar browserların da (internet tarayıcılarında örn.:internet explorer, firefox,  netscape, google chrome gibi) sizin domain adresinizi yazdıklarında internet sitenizi görüntüleyebilirler. Web sitenize ait dosyaları saklayan ve internet kullanıcılarının erişimine sunan bu bilgisayarlara web sunucusu (web server), bu veri saklama ve yayınlama işlemine de web hosting denir. (Kaynak:hosting.com.tr)

Http Metodları

Sızma testi yapacak kişiler için önemli olan 3 tane http metodu var.Bunlar GET, POST ve HEAD metodları.

GET: Belirli bir boyut limiti vardır.Parametre olarak gönderdiklerimiz adres satırında  görüntülenir. Kritik bilgilerin iletiminde bu yöntem tercih edilmez.

POST: Bu metodda boyut limiti yoktur. Gönderilen verilen tarayıcı adres kısmında görünmez. Bundan dolayı kullanıcı adı şifre gibi kritik bilgileri göndermek için bu metod kullanılır.

HEAD: Genel olarak get moduna benzer.Fakat head isteği gönderilen sunucu yanıt olarak sayfa içeriğini göndermez bunun yerine HTTP başlık bilgilerini ve HTTP durum kodunu gönderir. Bilgi transferinin önemli olmadığı zamanlarda kullanılan bir metoddur.

HTTP Başlıkları (HTTP Headers)

Gönderilen http istekleri öncelikli olarak anlaşılması için http header’a dönüştürülür. İletildiği makinede de bu istek header olarak karşı tarafa iletilir.

Yukarıda görüldüğü gibi siteye GET metoduyla bir istek attık cevap olarak da 200 kodu geldi bu durum kodlarının belirli anlamları vardır bunlar;

  • 200: İstek başarılı, veriler http response mesajı ile gönderildi.
  • 301: İstenilen obje kalıcı olarak taşındı. Location başlığı ile belirtilen yerde bulabilirsiniz anlamında.
  • 400: Bu durum kodunun anlamı genelde server ın istenilen mesajı anlayamadığını gösteriyor.
  • 404: İstenilen obje serverda bulunmadığını belirtir.

Yukarıda ise bir Post metoduyla atılan isteği görüyoruz. Daha önce de söylendiği gibi kritik bilgilerin yollanmasında başvurulan istek türüdür. Forma yazılan bilgiler paket olarak karşıya gönderiliyor. Gönderilen bilgisayarın tarayıcı, sistem bilgileri, çerezleri ve durum kodlarını görebiliyoruz. İlerleyen konularda bu başlıklarla izni olmayan dosya türlerini sisteme yükleyecek veya siteyi çerezlerle oynayarak yöneticiymiş gibi yetki sahibi olma konularına değineceğiz.

Şehmus POLAT / Febitek Siber Güvenlik Koordinatörü
Fırat Üniversitesi / Elektrik-Elektronik Mühendisliği

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir