Bloga geri dön
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Etik hacking ve pentest için proxy: IP'yi gizleme ve güvenli bir şekilde korumayı aşma yöntemleri

Pentest sırasında proxy kullanımı için kapsamlı rehber: proxy türünün seçilmesinden, zincirlerin ayarlanmasına ve IP rotasyonuna kadar koruma sistemlerini aşmak için.

📅4 Mart 2026
```html

Penetrasyon testi (pentest) ve etik hackleme sırasında gerçek IP adresinizi gizlemek kritik öneme sahiptir — yalnızca farklı konumlardan saldırıları simüle etmek için değil, aynı zamanda kendi altyapınızı korumak için de. WAF, IDS ve IPS gibi koruma sistemleri, bir IP'den gelen şüpheli etkinlikleri hızla engeller ve daha fazla test yapmayı imkansız hale getirir. Bu yazıda, pentest için hangi proxy'lerin kullanılacağını, IP rotasyonunun nasıl ayarlanacağını ve modern koruma sistemlerini nasıl aşacağımızı inceleyeceğiz.

Pentest için proxy'ye neden ihtiyaç var

Penetrasyon testi, sistem sahibinin onayı ile gerçekleştirilen yasal bir aktivitedir. Ancak teknik olarak bir saldırı gibi görünür ve koruma sistemleri buna uygun şekilde tepki verir. Proxy'ler, pentest sırasında birkaç kritik görevi yerine getirir:

1. Gerçek IP adresinin korunması. Yasal testlerde bile, gerçek konumunuzu ve altyapınızı ifşa etmemek önemlidir. Dış perimetreyi test ediyorsanız, IP'niz çeşitli güvenlik sistemlerinin kara listesine girebilir ve bu gelecekte sorunlar yaratabilir. Ayrıca, bug bounty programlarıyla çalışırken, zafiyetin ifşasına kadar anonim kalmak önemlidir.

2. Rate limiting ve IP engellerinin aşılması. Modern WAF (Web Uygulama Güvenlik Duvarı) ve IDS (Saldırı Tespit Sistemi), bir IP'den gelen istek sayısını izler. Port taraması, brute force veya fuzzing yaparken, limitleri hızla aşabilir ve yasaklanabilirsiniz. Proxy'ler aracılığıyla IP rotasyonu, yükü dağıtmanıza ve test etmeye devam etmenize olanak tanır.

3. Farklı coğrafi konumlardan saldırı simülasyonu. Bazı koruma sistemleri coğrafi engelleme uygular veya farklı bölgeler için farklı kurallar belirler. Tam bir test için, sistemin ABD, Avrupa, Asya'dan gelen isteklere nasıl tepki verdiğini kontrol etmeniz gerekir. Farklı ülkelerden IP'lere sahip proxy'ler, fiziksel bir hareket olmadan bu tür testleri gerçekleştirmenizi sağlar.

4. Dağıtılmış saldırıların (DDoS simülasyonu) test edilmesi. DDoS saldırılarına karşı dayanıklılığı test ederken, birçok IP adresinden gelen trafiği simüle etmeniz gerekir. Proxy havuzları, gerçekçi bir yük oluşturmanıza ve sistemlerin dağıtılmış bir saldırıyla nasıl başa çıktığını test etmenize olanak tanır.

5. Fingerprinting ve TLS analizinin aşılması. Gelişmiş koruma sistemleri yalnızca IP'yi değil, aynı zamanda TLS parmak izlerini, User-Agent'ı ve HTTP başlıklarını da analiz eder. Proxy kullanımı, doğru istemci ayarlarıyla birlikte, bu tür analizleri aşmanıza ve daha derinlemesine test yapmanıza yardımcı olur.

Etik hackleme için hangi proxy türleri uygundur

Pentest için kullanılan farklı proxy türleri, göreve bağlı olarak değişir. Temel seçenekleri ve uygulamalarını inceleyelim:

Proxy Türü Avantajlar Dezavantajlar Uygulama
HTTP/HTTPS Basit ayar, uygulama düzeyinde çalışma Sadece web trafiği, başlıklar görünür Web uygulamalarının test edilmesi, sitelerin taranması
SOCKS5 Herhangi bir protokol, UDP desteği, kimlik doğrulama Biraz daha karmaşık ayar Port taraması, herhangi bir protokolle çalışma
Konut Gerçek sağlayıcı IP'leri, düşük güven puanı Daha pahalı, değişken hız Sıkı WAF'ları aşma, coğrafi kısıtlamaların test edilmesi
Veri Merkezleri Yüksek hız, istikrar, düşük fiyat Proxy olarak kolayca tanınır Kapsamlı tarama, brute force, fuzzing
Mobil En yüksek güven puanı, dinamik IP'ler En pahalı, daha düşük hız Mobil uygulamaların test edilmesi, sıkı engellerin aşılması

SOCKS5 protokolü vs HTTP/HTTPS. Pentest için SOCKS5 tercih edilir çünkü daha düşük bir seviyede çalışır ve her türlü trafiği geçirir — TCP, UDP, DNS istekleri. Bu, Nmap, Metasploit, sqlmap gibi araçlar kullanırken kritik öneme sahiptir, çünkü bu araçlar yalnızca HTTP ile çalışmakla kalmaz. HTTP proxy'leri yalnızca tarayıcı veya özel web uygulama tarayıcıları (Burp Suite, OWASP ZAP) aracılığıyla web testi için uygundur.

SSH tünelleri ve VPN. Bazı pentesterlar, proxy yerine SSH tünelleri (dinamik port yönlendirme) veya VPN kullanır. SSH tüneli, SOCKS proxy gibi çalışır ve çoğu görev için uygundur, ancak bir SSH sunucusunun bulunmasını gerektirir. VPN tüm trafiği şifreler ve IP'yi değiştirir, ancak adreslerin rotasyonu için daha az esneklik sunar — VPN sunucusunu değiştirdiğinizde tüm bağlantılar kopar.

Konut vs veri merkezleri: hangisini seçmeli

Konut proxy'leri ile veri merkezi proxy'leri arasındaki seçim, hedef sisteme ve koruma seviyesine bağlıdır.

Konut proxy'leri ne zaman kullanılmalı:

  • Gelişmiş bot tespiti olan sistemlerin test edilmesi (Cloudflare, Akamai, PerimeterX)
  • Coğrafi kısıtlamaların ve uygulamaların bölgesel sürümlerinin kontrol edilmesi
  • Veri merkezlerini engelleyen mobil uygulamalar ve API'lerin test edilmesi
  • Maksimum gizliliğin önemli olduğu bug bounty programları
  • Sosyal mühendislik ve sosyal medya üzerinden OSINT istihbaratı

Konut proxy'leri, gerçek internet sağlayıcılarının IP adreslerini içerir ve bunlar sıradan kullanıcılar tarafından kullanılır. Koruma sistemleri, bu sağlayıcının tüm aralığını engelleyemez, çünkü bu, meşru kullanıcıları da engeller. Bu tür IP'lerin güven puanı önemli ölçüde daha yüksektir, bu da bot tespiti kontrollerinden geçmelerini sağlar.

Veri merkezi proxy'leri ne zaman kullanılmalı:

  • Kapsamlı port ve hizmet taramaları (Nmap, Masscan)
  • Parola ve dizin brute force (Hydra, Gobuster, ffuf)
  • Web uygulamalarının fuzzing'i (Burp Intruder, wfuzz)
  • Sıkı koruma olmayan iç sistemlerin test edilmesi
  • Hız ve trafik hacminin önemli olduğu görevler

Veri merkezi proxy'leri, konut proxy'lerine göre 5-10 kat daha hızlı çalışır ve çok daha ucuzdur. Çoğu pentest görevi için, karmaşık koruma sistemlerini aşmayı gerektirmeyen durumlarda, en iyi seçimdirler. Hız, binlerce portu tararken veya web sunucusunda binlerce yolu denemek için kritik öneme sahiptir.

Kombine yaklaşım. Deneyimli pentesterlar, her iki proxy türünü de kullanır: veri merkezleri, başlangıç keşfi ve kapsamlı tarama için, konut proxy'leri ise belirli zafiyetlerin hedefli test edilmesi ve korumanın aşılması için. Örneğin, hızlı veri merkezi proxy'leri aracılığıyla port taraması yapabilir ve ardından bulunan zafiyetleri konut IP'leri aracılığıyla istismar ederek tespit edilme riskini minimize edebilirsiniz.

Proxy zincirlerinin ayarlanması

Proxy zincirleri, trafiği ardışık olarak birden fazla proxy sunucusu üzerinden yönlendirme tekniğidir. Zincirdeki her sunucu yalnızca bir önceki proxy'nin IP'sini görür, bu da gerçek istek kaynağını izlemeyi önemli ölçüde zorlaştırır.

Linux'ta proxychains'in kurulumu ve ayarlanması: 

# Kurulum
sudo apt-get install proxychains4

# Konfigürasyonun düzenlenmesi
sudo nano /etc/proxychains4.conf

proxychains4.conf için bir konfigürasyon örneği: 

# Çalışma modu: dinamik (ulaşılamayan proxy'leri geçer)
dynamic_chain

# Sessiz mod (proxy hakkında bilgi vermez)
quiet_mode

# DNS istekleri proxy üzerinden (anonimlik için önemlidir)
proxy_dns

# Proxy listesi (sırasıyla eklenir)
[ProxyList]
socks5  192.168.1.100  1080  kullanıcı adı  şifre
socks5  45.67.89.123   1080
http    34.56.78.90    8080  kullanıcı      şifre

Proxychains'in çalışma modları:

  • dynamic_chain — mevcut tüm proxy'leri sırayla kullanır, ulaşılamayanları atlar. Pentest için idealdir.
  • strict_chain — tüm proxy'leri sıkı bir sırayla kullanır, birinin ulaşılamaması durumunda bağlantıyı keser.
  • random_chain — her bağlantı için listeden rastgele bir proxy seçer.

Pentest araçlarıyla kullanımı: 

# Nmap üzerinden proxy zinciri
proxychains4 nmap -sT -Pn target.com

# Metasploit
proxychains4 msfconsole

# Sqlmap
proxychains4 sqlmap -u "http://target.com/page?id=1" --dbs

# Gobuster (dizin brute force)
proxychains4 gobuster dir -u http://target.com -w wordlist.txt

# Curl
proxychains4 curl https://target.com

Proxy zincirleri kullanırken önemli noktalar:

  • Zincirdeki her proxy gecikme ekler — 3 proxy'den oluşan bir zincir, ping'i 50ms'den 500ms'ye çıkarabilir
  • DNS istekleri proxy üzerinden gitmelidir (proxy_dns), aksi takdirde gerçek IP'niz DNS üzerinden sızabilir
  • Tüm araçlar proxychains üzerinden düzgün çalışmaz — bazıları raw soketler kullanır
  • Nmap için yalnızca TCP taraması kullanın (-sT), SYN taraması (-sS) proxy üzerinden çalışmaz

Alternatif: Tor + proxychains. Anonimliği artırmak için Tor'u ek proxy'lerle birleştirebilirsiniz. Tor zaten 3 düğümden oluşan bir zincir kullanır, proxy eklemek Tor'a girişten önce veya çıkıştan sonra ek bir koruma katmanı oluşturur: 

# Konfigürasyon: Proxy → Tor → Hedef
[ProxyList]
socks5  45.67.89.123   1080  # Dış proxy
socks5  127.0.0.1      9050  # Yerel Tor

IP rotasyonu: engellerden nasıl kaçınılır

IP adreslerinin rotasyonu, rate limiting ve IP tabanlı engellerin aşılması için anahtar bir tekniktir. Modern WAF, belirli bir süre içinde bir IP'den gelen istek sayısını izler (örneğin, dakikada 100 istek). Limitin aşılması geçici veya kalıcı bir engellemeye yol açar.

Proxy rotasyon türleri:

1. Proxy sağlayıcısında rotasyon (Rotating proxies). Bazı sağlayıcılar, her istekte otomatik olarak çıkan IP'yi değiştiren tek bir endpoint (IP:port) sunar. Bu en basit seçenektir — kodda değişiklik gerektirmez, sadece bir proxy adresi belirtirsiniz. 

# Rotating proxy ile örnek (Python + requests)
import requests

proxies = {
    'http': 'http://user:pass@rotating.proxy.com:8080',
    'https': 'http://user:pass@rotating.proxy.com:8080'
}

# Her istek yeni bir IP ile gider
for i in range(100):
    response = requests.get('https://api.ipify.org', proxies=proxies)
    print(f"İstek {i}: IP = {response.text}")

2. Uygulama düzeyinde rotasyon (Proxy pool). Bir proxy listesi alırsınız ve kodunuzda geçiş mantığını uygularsınız. Bu daha fazla kontrol sağlar: değişim sıklığını yönetebilir, çalışmayan proxy'leri hariç tutabilir ve yükü dağıtabilirsiniz. 

# Proxy havuzu ile rotasyon örneği (Python)
import requests
import random
from itertools import cycle

# Proxy listesi
proxy_list = [
    'http://user:pass@45.67.89.1:8080',
    'http://user:pass@45.67.89.2:8080',
    'http://user:pass@45.67.89.3:8080',
    'http://user:pass@45.67.89.4:8080',
]

# Ardışık rotasyon için döngüsel iterator
proxy_cycle = cycle(proxy_list)

def get_with_rotation(url):
    proxy = next(proxy_cycle)
    proxies = {'http': proxy, 'https': proxy}
    
    try:
        response = requests.get(url, proxies=proxies, timeout=10)
        return response
    except requests.exceptions.RequestException as e:
        print(f"Proxy {proxy} ile hata: {e}")
        return None

# Kullanım
for i in range(20):
    response = get_with_rotation('https://httpbin.org/ip')
    if response:
        print(f"İstek {i}: {response.json()}")

3. Oturum bazlı rotasyon (Session-based). Durumun (çerezler, oturumlar) korunması gereken görevler için proxy'lerin oturumla bağlanması kullanılır. Bir proxy, bir oturum içindeki tüm isteklere kullanılır, ardından yeni bir oturum için değiştirilir. 

# Oturum bazlı rotasyon
import requests

class ProxySession:
    def __init__(self, proxy_list):
        self.proxy_list = proxy_list
        self.current_proxy_index = 0
    
    def new_session(self):
        session = requests.Session()
        proxy = self.proxy_list[self.current_proxy_index]
        session.proxies = {'http': proxy, 'https': proxy}
        
        # Sonraki oturum için bir sonraki proxy'ye geç
        self.current_proxy_index = (self.current_proxy_index + 1) % len(self.proxy_list)
        
        return session

# Kullanım
proxy_manager = ProxySession(proxy_list)

# Proxy 1 ile oturum 1
session1 = proxy_manager.new_session()
session1.get('https://target.com/login')
session1.post('https://target.com/api', data={'key': 'value'})

# Proxy 2 ile oturum 2
session2 = proxy_manager.new_session()
session2.get('https://target.com/login')

Göreve bağlı rotasyon stratejileri:

  • Parola brute force — başarısız girişimlerin limitini aşmamak için her 5-10 denemede IP'yi değiştirin
  • Port taraması — IDS'nin bir kaynaktan taramayı fark etmemesi için her 100-500 portta IP'yi değiştirin
  • Web formlarının fuzzing'i — her 20-50 istekte rotasyon, farklı kullanıcıları simüle etme
  • OSINT veri toplama — sosyal medya veya arama motorlarına API isteklerinde her istekte rotasyon

Proxy'lerin çalışabilirliğinin izlenmesi. Rotasyon sürecinde bazı proxy'ler çalışmayı durdurabilir. Çalışmayan proxy'leri kontrol etmek ve hariç tutmak önemlidir: 

# Proxy kontrolü ve filtreleme
def check_proxy(proxy):
    try:
        response = requests.get(
            'https://httpbin.org/ip',
            proxies={'http': proxy, 'https': proxy},
            timeout=5
        )
        return response.status_code == 200
    except:
        return False

# Liste filtreleme
working_proxies = [p for p in proxy_list if check_proxy(p)]
print(f"Çalışan proxy'ler: {len(working_proxies)}/{len(proxy_list)}")

Proxy'lerin pentest araçlarıyla entegrasyonu

Çoğu pentest aracı, proxy üzerinden çalışma desteği sunar. Popüler araçlar için ayarları inceleyelim:

Burp Suite. Web uygulamalarını test etmek için temel araçlardan biri. Proxy ayarları:

  • Kullanıcı seçenekleri → Bağlantılar → Yukarı Akış Proxy Sunucuları
  • Ekle → proxy adresini, portunu, türünü (HTTP/SOCKS) belirtin
  • Rotasyon için "Proxy Rotator" gibi eklentiler kullanılabilir

OWASP ZAP. Açık kaynaklı Burp Suite alternatifidir:

  • Araçlar → Seçenekler → Bağlantı → Çıkan proxy sunucusunu kullan
  • Adres, port, kimlik doğrulamasını belirtin
  • Tüm trafik türleri için SOCKS proxy destekler

Nmap. Port ve hizmet tarayıcısı. Proxy desteği yok (bazı NSE scriptleri için HTTP CONNECT hariç), proxychains üzerinden kullanılır: 

# Sadece TCP taraması proxy üzerinden çalışır
proxychains4 nmap -sT -Pn -p 80,443,8080 target.com

# SYN taraması raw soketler gerektirir ve proxy üzerinden çalışmaz
# nmap -sS target.com  # PROXYCHAINS üzerinden ÇALIŞMAZ

Sqlmap. SQL enjeksiyonlarını otomatik olarak bulma ve istismar etme aracı: 

# Tek proxy
sqlmap -u "http://target.com/page?id=1" --proxy="socks5://user:pass@45.67.89.1:1080"

# Proxy listesi dosyası (rotasyon)
sqlmap -u "http://target.com/page?id=1" --proxy-file=proxies.txt

# Tor üzerinden
sqlmap -u "http://target.com/page?id=1" --tor --tor-type=SOCKS5

Metasploit Framework. Exploit geliştirme ve yürütme platformu: 

# Proxychains üzerinden başlatma
proxychains4 msfconsole

# Veya Metasploit içinde ayarlama
msf6 > setg Proxies socks5:45.67.89.1:1080
msf6 > setg ReverseAllowProxy true

# Belirli bir modül için
msf6 exploit(windows/smb/ms17_010_eternalblue) > set Proxies socks5:45.67.89.1:1080

Gobuster / ffuf. Dizin ve parametre brute force araçları: 

# Gobuster
gobuster dir -u http://target.com -w wordlist.txt -p socks5://45.67.89.1:1080

# ffuf ile proxy
ffuf -u http://target.com/FUZZ -w wordlist.txt -x socks5://45.67.89.1:1080

# ffuf ile replay-proxy üzerinden rotasyon
ffuf -u http://target.com/FUZZ -w wordlist.txt -replay-proxy http://rotating.proxy.com:8080

Hydra. Çeşitli protokoller için parola brute force: 

# Proxychains üzerinden (tüm protokoller için)
proxychains4 hydra -l admin -P passwords.txt ssh://target.com

# HTTP için yerel destek (sınırlı)
hydra -l admin -P passwords.txt target.com http-get -s 8080 -m /admin

Nuclei. Şablon tabanlı modern zafiyet tarayıcısı: 

# HTTP proxy
nuclei -u https://target.com -proxy-url http://user:pass@45.67.89.1:8080

# SOCKS5
nuclei -u https://target.com -proxy-url socks5://user:pass@45.67.89.1:1080

# Birden fazla proxy (rotasyon)
nuclei -list targets.txt -proxy-url http://proxy1.com:8080,http://proxy2.com:8080

WAF, IDS ve diğer koruma sistemlerinin aşılması

Modern koruma sistemleri, saldırı tespitinde birçok yöntem kullanır. Proxy'ler, aşma stratejisinin yalnızca bir parçasıdır. Kapsamlı bir yaklaşımı inceleyelim:

1. IP tabanlı engellerin aşılması. En basit koruma seviyesi — IP ile engellemedir. Proxy rotasyonu ile rate limitlerine uyularak çözülür:

  • İstekler arasında gecikmeler kullanın (Python'da time.sleep)
  • HTTP 429 (Too Many Requests) aldığınızda IP'yi değiştirin
  • İnsan davranışını taklit edin — istekler arasında rastgele aralıklar

2. Coğrafi engellerin aşılması. Bazı sistemler tüm ülkeleri veya bölgeleri engeller. Gerekli ülkenin konut proxy'lerini kullanın: 

# Örnek: farklı ülkelerden test
countries = ['US', 'GB', 'DE', 'FR']

for country in countries:
    proxy = f'http://user-country-{country}:pass@proxy.com:8080'
    response = requests.get('https://target.com', proxies={'http': proxy, 'https': proxy})
    print(f"{country}: Durum {response.status_code}")

3. Fingerprinting'in aşılması (tarayıcı parmak izleri). Gelişmiş WAF'lar, TLS parmak izlerini, HTTP başlıklarını ve başlıkların sırasını analiz eder. Gerçek tarayıcıları taklit eden kütüphaneler kullanın: 

# curl-impersonate — tarayıcıların TLS parmak izlerini taklit etme
curl_chrome116 --proxy socks5://45.67.89.1:1080 https://target.com

# Python: requests + curl_cffi (Cloudflare'ı aşma)
from curl_cffi import requests

response = requests.get(
    'https://target.com',
    proxies={'https': 'socks5://45.67.89.1:1080'},
    impersonate='chrome116'
)

4. Bot tespitinin aşılması (Cloudflare, PerimeterX, Akamai). Bu sistemler JavaScript çağrıları, canvas fingerprinting, WebGL ve fare hareketi analizini kullanır. Çözümler:

  • Doğru ayarlarla headless tarayıcılar kullanın (Playwright, Puppeteer)
  • Anti-tespit teknikleri uygulayın: WebGL, Canvas, AudioContext değiştirme
  • Konut proxy'lerini gerçekçi User-Agent'lerle birleştirin
  • Hazır çözümler kullanın: undetected-chromedriver, playwright-stealth
# Playwright ile proxy ve anti-tespit
from playwright.sync_api import sync_playwright

with sync_playwright() as p:
    browser = p.chromium.launch(
        proxy={
            'server': 'socks5://45.67.89.1:1080',
            'username': 'user',
            'password': 'pass'
        }
    )
    
    context = browser.new_context(
        user_agent='Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
        viewport={'width': 1920, 'height': 1080},
        locale='en-US',
        timezone_id='America/New_York'
    )
    
    # Webdriver'ı maskeleme
    context.add_init_script("""
        Object.defineProperty(navigator, 'webdriver', {get: () => undefined})
    """)
    
    page = context.new_page()
    page.goto('https://target.com')
    # ... sonraki işlemler

5. IDS/IPS'nin aşılması (Saldırı Tespit/Önleme Sistemleri). Bu sistemler, ağ trafiğini saldırı imzaları açısından analiz eder:

  • Paket parçalama — yükü küçük parçalara ayırın
  • Obfuscation — yükü kodlayın (base64, URL-encoding, Unicode)
  • Saldırıyı zamana yayma — uzun aralıklarla yavaş tarama
  • Proxy rotasyonu — her saldırı aşamasını farklı IP'lerden gerçekleştirin
# Nmap: IDS'yi aşmak için yavaş tarama
proxychains4 nmap -sT -Pn -T2 --scan-delay 5s -p- target.com

# -T2: yavaş zamanlama şablonu
# --scan-delay 5s: port denemeleri arasında 5 saniye
# Proxy rotasyonu ile kombinasyon, taramayı neredeyse görünmez hale getirir

6. CAPTCHA'nın aşılması. Agresif testler sırasında CAPTCHA ile karşılaşabilirsiniz. Seçenekler:

  • Agresifliği azaltma — daha az istek, daha fazla gecikme
  • CAPTCHA çözme hizmetlerini kullanma (2captcha, Anti-Captcha) — bug bounty için
  • CAPTCHA olmayan alternatif endpoint'ler arama (API, mobil sürümler)

Proxy kullanırken operasyonel güvenlik (OPSEC)

Proxy kullanırken bile, kimliğinizi veya konumunuzu açığa çıkarabilecek hatalar yapabilirsiniz. Operasyonel güvenlik (OPSEC), bu tür riskleri en aza indirmek için bir dizi uygulamadır.

Proxy kullanırken yaygın sızıntılar:

1. DNS sızıntıları. Proxy kullanırken bile, DNS istekleri doğrudan sağlayıcınızdan gidebilir ve gerçek konumunuzu açığa çıkarabilir: 

# DNS sızıntısını kontrol etme
dig @8.8.8.8 target.com  # DNS isteği doğrudan Google DNS'e gider

# Çözüm: DNS'yi proxy üzerinden kullanmak
# Proxychains'te: proxy_dns
# Python requests'te: domainler yerine IP kullanın veya DNS over HTTPS ayarlayın

2. WebRTC sızıntıları (tarayıcı araçları için). WebRTC, proxy üzerinden bile gerçek IP'nizi açığa çıkarabilir:

  • Tarayıcıda WebRTC'yi devre dışı bırakın veya uzantılar kullanın (WebRTC Leak Shield)
  • Playwright/Puppeteer kullanırken — WebRTC'yi izinler aracılığıyla engelleyin

3. Zaman dilimi ve yerel ayar sızıntıları. Zaman diliminiz ve dil ayarlarınız, proxy IP'siyle uyuşmayabilir: 

# Playwright'ta zaman dilimini doğru ayarlama
context = browser.new_context(
    proxy={'server': 'socks5://us-proxy.com:1080'},
    locale='en-US',  # US proxy ile uyuşuyor
    timezone_id='America/New_York',  # ABD zaman dilimi
    geolocation={'latitude': 40.7128, 'longitude': -74.0060}  # NY koordinatları
)

4. Çerez ve oturum sızıntıları. Farklı proxy'lerle aynı çerezleri kullanmayın — bu, isteklerinizi bağlar:

  • Her proxy = temiz çerezlerle yeni bir oturum
  • Gerekmedikçe aynı hesapla farklı IP'lerden giriş yapmayın
  • Tarayıcı konteynerleri veya ayrı profiller kullanın

5. Parmak izinin tutarlılığı. Tarayıcı parmak izi, proxy IP'siyle uyuşmalıdır:

  • US proxy + tarayıcıda Rusça = şüpheli
  • Mobil proxy + masaüstü User-Agent = uyumsuzluk
  • Tutarlı parmak izleri oluşturma araçları kullanın

Pentestçiler için OPSEC önerileri:

  • Pentest için özel bir VM kullanın — ana sistemden izole edin
  • Loglar ve kalıntılar — şifreli disklerde saklayın, proje tamamlandıktan sonra silin
  • Proxy'leri ayırın — farklı projeler için farklı proxy havuzları kullanın
  • Yasal ve yasadışı trafiği aynı proxy üzerinden karıştırmayın
  • Proxy'leri sızıntılar için kontrol edin — düzenli olarak ipleak.net, browserleaks.com üzerinden test edin
  • Dokümantasyon — proxy kullanım kayıtlarını müşteri raporları için tutun (hangi IP'ler, ne zaman)

Hukuki yönler. Yasal pentest yaparken bile önemlidir:

  • Müşteriden yazılı izin (çalışma kapsamı) alın
  • Anlaşmalı kapsamın dışına çıkmayın — yalnızca izin verilen sistemleri test edin
  • Kullanılan proxy IP adreslerini müşteriye bildirin, sistemlerinde beyaz liste için
  • Test edilen sistemlerin bulunduğu ülkenin yasalarına uyun

Sonuç

Proxy'ler, modern bir pentester ve bilgi güvenliği uzmanı için gerekli bir araçtır. Gerçek IP'yi gizlemeye, koruma sistemlerini aşmaya, farklı konumlardan saldırıları simüle etmeye ve engellerden kaçınmak için yükü dağıtmaya olanak tanır. Proxy türünün seçimi, göreve bağlıdır: kapsamlı tarama için hızlı veri merkezi proxy'leri, karmaşık WAF ve bot tespitini aşmak için yüksek güven puanına sahip konut proxy'leri uygundur.

Proxy kullanırken dikkat edilmesi gereken ana noktalar: rate limiting'i aşmak için doğru IP rotasyonu ayarları, proxychains veya yerel destek aracılığıyla araçlarla entegrasyon, DNS, WebRTC veya parmak izi yoluyla gerçek IP'nin sızmasını önlemek için operasyonel güvenliğe uyum. Teknik önlemlerin (proxy zincirleri, anti-tespit teknikleri, obfuscation) ve doğru OPSEC'in kombinasyonu, etkili ve güvenli test yapmayı sağlar.

Etik hackleme görevleri için, gelişmiş koruma sistemlerini test ederken konut proxy'lerini ve kapsamlı tarama ve hızın önemli olduğu görevler için veri merkezi proxy'lerini kullanmanızı öneririz. Doğru proxy seçimi ve ayarları, test etkinliğini önemli ölçüde artırır ve tespit risklerini minimize eder.

```