Sunucuda Port Scanning Nasıl Tespit Edilir

Port scanning, bir sunucuda açık olan servisleri bulmak için yapılan keşif işlemidir. Saldırgan önce hangi portların açık olduğunu öğrenir. Sonra asıl saldırıya geçer. Bu yüzden port taraması erken uyarı sinyali olarak görülmelidir. Zamanında fark edilirse büyük riskler önlenir.

Bu yazıda port taramasını canlı trafik üzerinden, firewall kayıtlarından, Fail2Ban, IDS ve web sunucu logları üzerinden nasıl tespit edebileceğine bakacağız.

Port Taraması Yapıldığını Gösteren Belirtiler

Port taraması sırasında genelde şu işlemleri görürüz.

• Aynı IP kısa sürede çok sayıda porta istek atar
• Bağlantılar tamamlanmaz, SYN aşamasında kalır
• Firewall loglarında art arda farklı portlara düşen engeller oluşur
• Web loglarında yönetim paneli denemeleri artar

Nmap İle Port Taraması Nasıl Görülür?

Port taramasını saldırgan tarafı genelde Nmap ile yapar.

nmap -sS -Pn 192.168.1.10

nmap -sS -Pn 192.168.1.10

Bu çıktıda

• open → açık port
• closed → kapalı port
• filtered → firewall arkasında olan port olarak görünür.

Saldırgan bu bilgiye göre hedef seçer.

Linux ve Windows ortamlarınız için Nmap kurulumu detayları hakkındaki klavuzu ekte bulabilirsiniz.

tcpdump ile Canlı Port Taraması Tespiti

Sunucuya gelen paketleri anlık izlemek en net tespiti sağlar. Bu komutla sunucuya gelen paketleri gerçek zamanlı izleyerek taramayı daha firewall’a bile ulaşmadan tespit edebiliriz

tcpdump -nn -i eth0 'tcp[tcpflags] == tcp-syn'

tcpdump -nn -i eth0 'tcp[tcpflags] == tcp-syn'

• Aynı IP
• Art arda
• Farklı portlara
  SYN paketleri gönderiyorsa bu aktif port taramasıdır.

ss Komutu ile Anlık Bağlantı Kontrolü

Sunucuda aynı IP’den çok sayıda port denemesi var mı kontrol etmek için bu komutu ele alalım.

ss -tunap

ss -tunap

Sadece IP bazlı sayım almak içinse bunu yazalım.

ss -tunap | awk '{print $6}' | cut -d: -f1 | sort | uniq -c | sort -nr

ss -tunap | awk '{print $6}' | cut -d: -f1 | sort | uniq -c | sort -nr

Tek bir IP’nin onlarca bağlantı isteği oluşturması yüksek ihtimalle taramadır.

Firewall Logları Üzerinden Port Taraması Tespiti

UFW kullanıyorsak

cat /var/log/ufw.log | grep BLOCK

cat /var/log/ufw.log | grep BLOCK

iptables kullanıyorsak

grep "DROP" /var/log/syslog

grep "DROP" /var/log/syslog

Aynı IP arka arkaya farklı portlara düşüyorsa bu klasik keşif taramasıdır.

iptables ile Otomatik Port Scan Engelleme

Aynı IP kısa sürede çok sayıda porta dokunursa otomatik drop etmek için şunu kullanalım.

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j DROP

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j DROP

Ve recent modülü ile

iptables -A INPUT -p tcp --dport 1:65535 -m recent --name portscan --seiptables -A INPUT -p tcp --dport 1:65535 -m recent --name portscan --update --seconds 60 --hitcount 20 -j DROP

iptables -A INPUT -p tcp --dport 1:65535 -m recent --name portscan --seiptables -A INPUT -p tcp --dport 1:65535 -m recent --name portscan --update --seconds 60 --hitcount 20 -j DROP

Bu yapı sayesinde tarama yapan IP otomatik olarak banlanır.

Fail2Ban ile Otomatik Banlama

Fail2Ban servis durumunu kontrol edelim.

systemctl status fail2ban

systemctl status fail2ban

Banlanan IP’leri görmek için bu komutu yazalım. Fail2Ban özellikle SSH, panel ve mail servisleri için çok etkilidir.

fail2ban-client status
fail2ban-client status sshd

fail2ban-client status
fail2ban-client status sshd

Detaylı kural adımlarını öğrenmek için – fail2ban-regex ile Özel Güvenlik Kuralları Oluşturma

Snort ile IDS Üzerinden Port Scan Alarmı Üretme

Snort port taramalarını reconnaissance attack olarak algılar. Nmap çalıştırıldığında anlık alarm verir.

snort -A console -c /etc/snort/snort.conf -i eth0

snort -A console -c /etc/snort/snort.conf -i eth0

SIEM Üzerinden Port Taramasının Grafiksel Takibi

Wazuh, Elastic gibi sistemlerde taramalar ani spike şeklinde görünür. Bu grafikler güvenlik ekiplerinin saldırıyı saniyeler içinde fark etmesini sağlar.

Web Sunucu Loglarında Servis Taraması

Apache için

cat /var/log/apache2/access.log | grep -E "wp-admin|phpmyadmin|\.env"

cat /var/log/apache2/access.log | grep -E "wp-admin|phpmyadmin|\.env"

Nginx için

cat /var/log/nginx/access.log | grep -E "wp-admin|phpmyadmin|\.env"

cat /var/log/nginx/access.log | grep -E "wp-admin|phpmyadmin|\.env"

Sık Sorulan Sorular

Aynı IP’den gelen tarama UDP mi TCP mi nasıl ayırt edilir?

TCP taramaları SYN, ACK bayraklarıyla görünür. UDP taramalarında ise genelde ICMP “Port Unreachable” dönüşleri görülür. tcpdump tcp ve tcpdump udp filtreleriyle kolayca ayrılır.

Dağıtık (distributed) port taraması nasıl tespit edilir?

Dağıtık taramalarda tek IP yerine çok sayıda ASN’den denemeler gelir. Bu tür taramalar klasik firewall eşiklerini geçmez. Tespit için IP bazlı değil, zaman aralığında toplam hedef port sayısını ve kaynak ASN çeşitliliğini analiz eden davranış gerekir. SIEM tarafında “unique destination port count per time window” metriği kullanılır.

nftables ortamında port taraması tespiti nasıl yapılır?

nftables’ta limit rate ve meter objeleri birlikte kullanılarak kaynak IP başına açılan hedef port çeşitliliği ölçülür.

Port taraması yapan IP kernel seviyesinde nasıl kalıcı banlanır?

ipset create blacklist hash:ip
ipset add blacklist 1.2.3.4
iptables -A INPUT -m set --match-set blacklist src -j DROP

ipset create blacklist hash:ip
ipset add blacklist 1.2.3.4
iptables -A INPUT -m set --match-set blacklist src -j DROP

Bu yapı yeniden başlatmada bile kalıcıdır.