/ ag-sniffing-ve-promiscuous-modu-donanimsal-analiz
Siber İstihbarat // Taktik Rapor

Ağ Sniffing ve Promiscuous Modu: NIC Düzeyinde Paket Yakalama Mekanizmaları

Tbp. Demir
26 MAY 2026
8 DK OKUMA

Ağ Arayüz Kartı (NIC) Filtreleme Mimarisi

Klasik bir ethernet ağında, Ağ Arayüz Kartı (NIC
  • Network Interface Card), gelen veri çerçevelerinin (Ethernet Frames) hedef MAC adresini inceler. Eğer gelen çerçevenin hedef MAC adresi, kartın kendi fiziksel MAC adresi ile veya bir çoklu gönderim (Multicast/Broadcast) adresi ile eşleşmiyorsa, NIC bu paketi donanımsal olarak reddeder (drop). Bu mimari, işlemcinin gereksiz ağ trafiğiyle meşgul olmasını önlemek üzere tasarlanmıştır.

    • Ancak ağ analizi ve siber istihbarat faaliyetlerinde bu donanımsal filtrelemenin aşılması gerekir. Bu aşamada devreye **Promiscuous Mod (Karışık Mod)** girer.

    #

    Promiscuous Mod Çalışma Mantığı

    NIC, Promiscuous moda alındığında donanımsal MAC filtrelemesi tamamen devre dışı kalır. Kartın alıcı antenine veya fiziksel portuna ulaşan tüm elektrik/ışık sinyalleri çözülerek çerçeve haline getirilir ve doğrudan işletim sisteminin ağ yığınına (Kernel Network Stack) iletilir.

    ```
    [ Gelen Ethernet Çerçevesi ]
    |
    v
    +-----------------------------+
    | MAC Filtre Kontrolü | --(Eşleşmiyorsa)-> [ Promiscuous Mod KAPALI ise ] -> Paket Çöpe Atılır (Drop)
    +-----------------------------+
    |
    (Eşleşiyorsa veya Promiscuous Mod AÇIK ise)
    v
    +-----------------------------+
    | Kernel Alanı (libpcap/OS) | -> Paket Yakalama Tamamlanır
    +-----------------------------+
    ```

    #

    libpcap ve WinPcap Alt Yapısı

    Paketlerin işletim sistemi çekirdeğinden (kernel space) kullanıcı alanına (user space) kopyalanması sürecinde `libpcap` (Linux) ve `WinPcap/Npcap` (Windows) kütüphaneleri kritik rol oynar. Bu kütüphaneler:
    1. **Ring Buffer (Halka Arabellek):** Gelen paketlerin paket kaybı yaşanmadan hızlıca depolanmasını sağlar.
    2. **BPF (Berkeley Packet Filter):** Paketlerin kullanıcı alanına kopyalanmadan önce çekirdek seviyesinde filtrelenmesini sağlayarak işlemci yükünü minimize eder.

    #

    Aktif Sniffing ve Engelleme

    Anahtarlamalı (switched) modern ağlarda, sadece promiscuous moda geçmek yetmez. Port yönlendirmelerini manipüle etmek için **ARP Zehirlenmesi (ARP Poisoning)** veya **MAC Flood** teknikleri de eş zamanlı olarak uygulanmalıdır.

    "Bir ordunun haberleşme ağı, onun sinir sistemidir. Sinir sistemi felç edilmiş bir dev, sadece büyük bir hedeftir."

    — Gençtürkler Savunma Doktrini, Madde 14 
    // TACTICAL_JAMMING_NODE_INIT
function analyzeSpectrum(band: string, durationMs: number) {
  const anomalies = AIEngine.detect(band, durationMs);
  if (anomalies.threatLevel > 0.8) {
    const pattern = anomalies.frequencyPattern;
    JammerSys.directEnergy({
      targetPattern: pattern,
      power: 'MAX',
      spatialFocus: true 
    });
    return 'TARGET_NEUTRALIZED';
  }
}

    Tbp. Demir

    Siber İstihbarat Analisti

    Kritik altyapıların siber savunması ve sızma testleri konularında sertifikalı uzmandır. Devlet düzeyinde siber tatbikatlarda mavi takım lideri olarak görev almıştır.

    Tüm Raporlarını Gör
    ENABLED
    OPERATIONAL CAPACITY: 98%