Yeni Nesil Ağ Analiz Aracı Bettercap: Özellikleri ve Temel Komutları

 ⚠️ Yasal Uyarı: Bettercap, ağ güvenliği uzmanları, penetrasyon testçileri ve eğitimciler için tasarlanmış güçlü bir güvenlik aracıdır. Bu bilgiler ve komutlar yalnızca yetkili olduğunuz, size ait olan veya test etmek için açık izin aldığınız ağlarda kullanılmalıdır. İzinsiz sistemlerde veya genel ağlarda kullanılması yasa dışıdır ve ciddi sonuçlar doğurabilir.

Bettercap Nedir?

1. Bettercap'e Giriş

Bettercap, ağ keşfi, ağ analizi, saldırı simülasyonu ve güvenlik testleri için geliştirilmiş güçlü bir ağ güvenliği framework'üdür.

Günümüzde birçok sızma testi uzmanı ve SOC analisti tarafından kullanılmaktadır. Bettercap, eski nesil araçlar olan:

• Ettercap

• Arpspoof

• Dsniff

• SSLStrip

gibi araçların yerini alabilecek kadar kapsamlı özellikler sunar.

Başlıca Özellikleri

✅ Ağ keşfi

✅ ARP Spoofing

✅ MITM (Man In The Middle)

✅ DNS Spoofing

✅ Paket Yakalama

✅ HTTP Proxy

✅ HTTPS Downgrade Tespitleri

✅ WiFi Ağ Analizi

✅ Bluetooth Analizi

✅ BLE (Bluetooth Low Energy) Keşfi

✅ Captive Portal

✅ Credential Yakalama

✅ Script ve Otomasyon Desteği

---

Bettercap Mimarisi

Bettercap modüler bir yapı kullanır.

Temel bileşenler:

+------------------+
| Bettercap Core   |
+------------------+
         |
         +---- net.probe
         +---- arp.spoof
         +---- dns.spoof
         +---- net.sniff
         +---- http.proxy
         +---- wifi.recon
         +---- ble.recon

Her özellik ayrı bir modül şeklinde çalışır.

---

2. Kurulum

Kali Linux

sudo apt update
sudo apt install bettercap

Kontrol:

bettercap --version

---

Güncelleme

sudo bettercap -eval "caplets.update"

---

Bettercap Başlatma

sudo bettercap

Örnek ekran:

bettercap >

Artık interaktif konsoldasınız.

---

3. Yardım Komutları

Tüm komutları listele:

help

Modülleri görüntüle:

modules

Belirli modül hakkında bilgi:

help arp.spoof

---

4. Ağ Keşfi (Host Discovery)

Yerel ağdaki cihazları tespit etmek için:

net.probe on

Bulunan cihazları göster:

net.show

Örnek:

192.168.1.1
192.168.1.10
192.168.1.15
192.168.1.20

---

Pasif Keşif

net.recon on

Ağ trafiğini dinleyerek cihazları keşfeder.

Bu yöntem daha sessizdir.

---

5. Paket Yakalama (Sniffing)

Modülü aç:

net.sniff on

Yakalanan trafik:

HTTP
DNS
FTP
SMTP
POP3
IMAP

gibi protokolleri analiz eder.

---

Kayıt Dosyası Oluşturma

set net.sniff.output sniff.pcap

Ardından:

net.sniff on

Wireshark ile açılabilir.

---

6. ARP Protokolü

ARP:

IP → MAC

eşlemesi yapar.

Örnek:

192.168.1.1
↓
AA:BB:CC:DD:EE:FF

---

7. ARP Spoofing Mantığı

Bettercap'in en bilinen özelliklerinden biri ARP manipülasyonu yapabilmesidir.

Mantık:

Kurban <--> Gateway
olması gerekirken
Kurban <--> Siz <--> Gateway

şeklinde trafik akışı oluşturulabilir.

Bu teknik yalnızca izinli laboratuvar ortamlarında ve yetkili güvenlik testlerinde kullanılmalıdır.

---

IP Forwarding

Linux'ta yönlendirme aktif olmalıdır:

echo 1 > /proc/sys/net/ipv4/ip_forward

Kontrol:

cat /proc/sys/net/ipv4/ip_forward

---

8. Hedef Belirleme

Örnek:

set arp.spoof.targets 192.168.1.50

Birden fazla:

set arp.spoof.targets 192.168.1.50,192.168.1.60

---

9. ARP Modülü

Aktif et:

arp.spoof on

Durdur:

arp.spoof off

Durum:

arp.spoof

---

10. DNS Analizi

DNS sorgularını izleme:

dns.spoof on

Log örneği:

google.com
youtube.com
facebook.com

istekleri görülebilir.

---

11. HTTP Proxy

Modül:

http.proxy on

HTTP trafiğini analiz etmeye yarar.

---

Proxy Logları

events.stream on

Tüm olayları görüntüler.

---

12. HTTPS Trafiği

Modern siteler:

HTTPS + HSTS

kullandığından içerik doğrudan okunamaz.

Bettercap daha çok:

• Alan adları

• Sertifika bilgileri

• Bağlantı meta verileri

üzerinde analiz yapar.

---

13. WiFi Keşif Modülü

Kablosuz kart monitör modunda olmalıdır.

Başlat:

wifi.recon on

Ağları göster:

wifi.show

---

Örnek çıktı:

SSID          Kanal   Şifreleme
--------------------------------
EvWiFi          6      WPA2
Ofis            1      WPA3
CafeWiFi       11      WPA2

---

14. Bluetooth Keşfi

Başlat:

ble.recon on

Bulunan cihazlar:

ble.show

---

Örnek:

Samsung Watch
AirPods
Mi Band

---

15. Captive Portal

Bettercap sahte giriş sayfası oluşturabilen modüllere sahiptir.

Kurumsal testlerde:

• Farkındalık eğitimleri

• Red Team çalışmaları

• Sosyal mühendislik simülasyonları

için kullanılabilir.

---

16. Caplet Nedir?

Caplet = Bettercap script dosyası

Örnek:

test.cap

İçeriği:

net.probe on
net.sniff on

Çalıştır:

caplet test.cap

---

17. Log Yönetimi

Tüm olayları izle:

events.stream on

Dosyaya yaz:

set events.output events.log

---

18. SOC ve DFIR Açısından Bettercap

SOC uzmanları Bettercap'i şu amaçlarla kullanabilir:

• Ağ görünürlüğü sağlama

• Trafik analizi

• Protokol inceleme

• Olay müdahalesi laboratuvarları

• Tehdit simülasyonları

• Güvenlik farkındalık testleri

---

19. Bettercap ve MITRE ATT&CK

Bettercap ile gözlemlenebilecek bazı teknikler:

ATT&CK ID	Teknik
T1040	Network Sniffing
T1557	Adversary-in-the-Middle
T1595	Active Scanning
T1016	System Network Discovery
T1046	Network Service Discovery

Bu eşleştirmeler savunma ekiplerinin algılama kuralları geliştirmesine yardımcı olur.

---

20. Savunma ve Tespit Yöntemleri

ARP manipülasyonu ve MITM benzeri saldırıları tespit etmek için:

Linux

arp -a

Windows

arp -a

Şüpheli MAC değişiklikleri araştırılmalıdır.

---

IDS/IPS

• Suricata

• Zeek

• Snort

ARP anomalilerini tespit edebilir.

---

Kurumsal Koruma

• Dynamic ARP Inspection (DAI)

• DHCP Snooping

• Port Security

• 802.1X

• VLAN Segmentation

---

Bettercap'in Avantajları

✔ Modern arayüz

✔ Çok hızlı

✔ Modüler yapı

✔ WiFi desteği

✔ Bluetooth desteği

✔ Script desteği

✔ Aktif geliştirme

✔ Linux desteği

---

Bettercap'in Dezavantajları

✖ Öğrenme eğrisi yüksektir

✖ Bazı modüller root yetkisi ister

✖ Yanlış kullanım ağ kesintilerine yol açabilir

✖ Kablosuz analiz için uygun donanım gerekir

---

Sonuç

Bettercap, günümüzde ağ güvenliği ve sızma testi alanında kullanılan en güçlü açık kaynak araçlardan biridir. Ağ keşfi, paket analizi, WiFi ve Bluetooth keşfi, trafik görünürlüğü ve güvenlik laboratuvarları oluşturma gibi birçok amaçla kullanılabilir. Ancak özellikle MITM ve trafik yönlendirme özellikleri nedeniyle yalnızca yetkili, kontrollü ve yasal ortamlarda kullanılmalıdır.

Bettercap'i öğrenirken en faydalı sıra şu şekildedir:

1. Ağ temelleri (TCP/IP, ARP, DNS)

2. net.probe

3. net.recon

4. net.sniff

5. WiFi analizi

6. Bluetooth analizi

7. Caplet yazımı

8. SOC/DFIR laboratuvarları

9. MITRE ATT&CK eşleştirmeleri

10. Kurumsal tespit ve savunma teknikleri

Bu sırayla ilerlerseniz Bettercap'i hem saldırı simülasyonu hem de savunma perspektifinden çok daha etkili şekilde öğrenebilirsiniz.

Bettercap Nedir?

Bettercap, İsviçre çakısı niteliğinde, kapsamlı bir ağ analiz ve güvenlik test çerçevesidir. Başlangıçta Ettercap'e bir alternatif olarak Ruby ile yazılmış, daha sonra performans ve esneklik için Go diliyle tamamen baştan kodlanmıştır. WiFi, Bluetooth Low Energy (BLE), kablosuz HID (klavye/fare) ve Ethernet ağlarında "Ortadaki Adam" (Man-In-The-Middle - MITM) saldırılarını simüle etmek, ağ trafiğini analiz etmek ve güvenlik açıklarını tespit etmek için kullanılır.

Temel Özellikleri

• Modüler Yapı: Her özellik bir modül olarak çalışır ve bağımsız olarak açılıp kapatılabilir.

• Olay Tabanlı (Event-Driven): Ağda yeni bir cihaz bulunduğunda veya bir şifre yakalandığında tetiklenen olaylarla otomasyon sağlar.

• Caplet Desteği: Tekrarlayan işlemleri otomatize etmek için ".cap" uzantılı komut dosyaları (script) kullanmanıza olanak tanır.

• Web UI: Terminal arayüzünün yanı sıra, görsel olarak çok daha zengin bir web arayüzü sunar.

Kurulum

Eğer Kali Linux veya Parrot OS gibi bir penetrasyon testi dağıtımı kullanıyorsanız, Bettercap genellikle depolarda bulunur.

Terminal üzerinden kurulum:

Bash

sudo apt update

sudo apt install bettercap

 

Eğer Web arayüzünü (Web UI) de kullanmak isterseniz, Bettercap içerisinden bu arayüzü indirmeniz gerekir:

Bash

sudo bettercap -eval "caplets.update; ui.update; q"

Temel Kullanım ve Etkileşimli Kabuk

Bettercap'i başlattığınızda sizi etkileşimli bir terminal kabuğu (interactive shell) karşılar. Kendi ağ arayüzünüzü belirterek başlatmak en iyi pratiktir (Örneğin, Wi-Fi için wlan0 veya kablolu bağlantı için eth0).

Bash

sudo bettercap -iface wlan0

 

Bettercap kabuğuna düştüğünüzde kullanabileceğiniz en temel komut help komutudur.

• help: Aktif ve pasif tüm modülleri listeler.

• help <modül_adı>: İlgili modülün nasıl kullanılacağını ve hangi parametreleri aldığını gösterir (Örn: help arp.spoof).

• active: Şu anda arka planda çalışan modülleri gösterir.

Önemli Modüller ve Pratik Örnekler

Aşağıda Bettercap'in en çok kullanılan modüllerinin adım adım nasıl çalıştırılacağı anlatılmaktadır.

1. Ağ Keşfi (Reconnaissance)

Bir ağa bağlandığınızda, ağdaki diğer cihazları bulmak ilk adımdır. Bettercap, ARP istekleri göndererek ağı tarar.

• Taramayı Başlatmak:

• Bash

• net.probe on

•  

• Bulunan Cihazları Listelemek:

• Bash

• net.show

•  

• Bu komut, ağdaki cihazların IP adreslerini, MAC adreslerini ve üretici bilgilerini (Vendor) bir tablo halinde sunar.

2. ARP Spoofing (Ortadaki Adam Saldırısı Simülasyonu)

ARP Spoofing, hedefin trafiğini kendi bilgisayarınız üzerinden geçirmeye zorlayan temel MITM tekniğidir.

• Hedefi Belirlemek: (Örneğin, hedef cihazın IP'si 192.168.1.15 olsun)

• Bash

• set arp.spoof.targets 192.168.1.15

• Saldırıyı Başlatmak:

• Bash

• arp.spoof on

•  

• Not: Modül varsayılan olarak çift yönlü (fullduplex) çalışır. Hem hedefe hem de yönlendiriciye (router) sahte ARP paketleri gönderir.

3. Paket Dinleme (Sniffing)

Trafik sizin üzerinizden akmaya başladığında, bu trafiğin içindeki şifresiz verileri (HTTP istekleri, FTP şifreleri vb.) okuyabilirsiniz.

• Sniffer'ı Başlatmak:

• Bash

• net.sniff on

•  

• Eğer trafiği daha sonra Wireshark gibi bir araçla detaylı analiz etmek isterseniz, verileri bir .pcap dosyasına kaydedebilirsiniz:

• Bash

• set net.sniff.output /home/user/Desktop/trafik.pcap net.sniff on

4. DNS Spoofing

Hedef kullanıcının gitmek istediği bir web sitesini (örneğin google.com) sizin belirlediğiniz sahte bir IP adresine yönlendirmenizi sağlar.

• Yönlendirilecek Adresleri Belirlemek:

• Bash

• set dns.spoof.domains facebook.com, *.facebook.com

• Sahte IP'yi Belirlemek (Genelde kendi IP'niz):

• Bash

• set dns.spoof.address 192.168.1.10

• Modülü Başlatmak:

• Bash

• dns.spoof on

•  

Caplets (Otomasyon)

Bettercap'in en güçlü yanlarından biri Caplets sistemidir. Her seferinde yukarıdaki komutları tek tek yazmak yerine, bunları bir metin dosyasına (Örn: saldiri.cap) kaydedip Bettercap'i bu dosya ile başlatabilirsiniz.

saldiri.cap içeriği:

Plaintext

net.probe on

set arp.spoof.targets 192.168.1.15

arp.spoof on

net.sniff on

 

Çalıştırmak için:

Bash

sudo bettercap -iface wlan0 -caplet saldiri.cap

 

Bettercap, siber güvenlik dünyasında bir ağın ne kadar savunmasız olabileceğini anlamak için harika bir öğretmendir. Ağ içi şifreleme (HTTPS, VPN, vb.) ve statik ARP tabloları gibi önlemlerin neden hayati olduğunu uygulamalı olarak gösterir.

 

Güvenlik kurallarım gereği, HTTPS/HSTS atlatma (bypassing) veya SSL stripping (SSL soyma) gibi saldırıları ağlar üzerinde uygulamaya yönelik çalıştırılabilir komut dizileri, caplet yapılandırmaları veya doğrudan istismar (exploit) adımları sağlayamam.

Bunun yerine, bu sistemlerin arkasındaki teknik mantığı, Bettercap'in modern mimarisini ve HTTPS/HSTS protokollerinin ağ trafiğini nasıl güvence altına aldığını teorik olarak açıklayabilirim. Özellikle 11. sınıf öğrencileri için hazırlanan CTF (Capture The Flag) senaryolarında ve siber güvenlik laboratuvar eğitimlerinde, saldırıların anatomisi kadar bu defansif mimarilerin neden hayati olduğunu anlamak büyük önem taşır.

Bettercap'in Olay Güdümlü (Event-Driven) Mimarisi

Eski nesil ağ araçlarının aksine, Bettercap'in Go diliyle yeniden yazılan mimarisi tamamen olaylar (events) üzerine kuruludur. Ağda gerçekleşen en ufak bir hareket bir olay olarak kaydedilir ve yayınlanır.

• Olay (Event) Akışı: Sisteme yeni bir cihaz bağlandığında (endpoint.new), bir HTTP isteği yapıldığında (net.sniff.http) veya bir WiFi istemcisi ağ aradığında (wifi.client.probe), Bettercap bu durumları JSON formatında bir stream (akış) üzerinden anlık olarak raporlar.

• Otomasyon ve Tetikleyiciler (Triggers): Sistem yöneticileri veya test uzmanları, belirli olaylar gerçekleştiğinde otomatik olarak başka komutların çalışmasını sağlayabilir. Örneğin, ağa yeni bir IP adresi dahil olduğunda, araca manuel bir komut girmeye gerek kalmadan otomatik olarak bir port taraması başlatacak modüler zincirler kurulabilir.

HTTPS ve SSL Stripping (SSL Soyma) Kavramı

Bir ağda "Ortadaki Adam" (MITM) konumuna gelmek, şifreli trafiği okumak için yeterli değildir. Kullanıcı ile sunucu arasındaki trafik HTTPS (TLS/SSL) ile şifrelendiğinde, paketler yakalansa bile içerikleri okunamaz.

Geçmişte bu durumu aşmak için Moxie Marlinspike tarafından SSL Stripping tekniği tanıtılmıştır:

1. Kullanıcı bir web sitesine HTTP (şifresiz) üzerinden gitmek ister.

2. Trafiği dinleyen araç bu isteği yakalar ve sunucuya HTTPS (şifreli) olarak kendi üzerinden iletir.

3. Sunucudan gelen şifreli ve güvenli yanıtı alır, şifresini çözer (çünkü sunucu ile olan oturumu araç kurmuştur) ve kullanıcıya HTTP olarak iletir.

4. Kullanıcı internette normal şekilde gezindiğini zannederken, aslında tüm veriler şifresiz (HTTP) olarak iletilir ve ağdaki araç tarafından okunur.

HSTS (HTTP Strict Transport Security) ile Savunma

SSL Stripping saldırılarını tarihe gömen teknoloji HSTS'dir. HSTS, web sunucusunun tarayıcıya gönderdiği bir güvenlik başlığıdır (header).

• Çalışma Mantığı: Bir site tarayıcıya Strict-Transport-Security başlığını gönderdiğinde, tarayıcı şu kuralı hafızasına kazır: "Bu siteye bundan sonra yalnızca ve kesinlikle HTTPS ile bağlanacağım."

• Saldırıların Engellenmesi: Bir saldırgan trafiği HTTP'ye düşürmeye (downgrade) çalışsa bile, kurbanın tarayıcısı HSTS kuralı gereği şifresiz bağlantı kurmayı reddeder ve kullanıcıya geçilemeyen bir güvenlik uyarısı gösterir.

HSTS Preload Lists (Ön Yüklü Listeler):

HSTS'nin tek zayıf noktası, kullanıcının siteye yaptığı "ilk" bağlantıydı (çünkü tarayıcı HSTS kuralını henüz almamıştır). Bu durumu çözmek için tarayıcı geliştiricileri (Google, Mozilla vb.) Preload List adı verilen sabit listeler oluşturdu. Popüler web siteleri bu listeye gömülüdür ve tarayıcı kurulduğu andan itibaren bu sitelere asla HTTP ile gitmemesi gerektiğini bilir.

HSTS Atlatma Teorisi (HSTS Hijack)

Günümüzde araçların HSTS'yi aşmak için denediği teorik yöntemler (HSTS Hijacking), HSTS protokolünün kendisini kırmaktan ziyade, kullanıcıyı HSTS kaydı olmayan alan adlarına yönlendirme hilesine dayanır.

• Kullanıcı guvenlisite.com adresine gitmek istediğinde, araç DNS (Alan Adı Sistemi) trafiğine müdahale eder.

• Kullanıcıyı, görsel olarak benzeyen ancak HSTS kaydı bulunmayan sahte bir alt alan adına (örneğin ww.guvenlisite.com veya harf oyunlarıyla oluşturulmuş farklı bir domaine) yönlendirmeye çalışır.

• Ancak modern tarayıcılar, DNS over HTTPS (DoH) kullanımı, sertifika şeffaflığı (Certificate Transparency) ve gelişmiş oltalama tespit algoritmaları sayesinde bu tür yönlendirme girişimlerini büyük ölçüde tespit edip engellemektedir.

Laboratuvar Ağlarında Korunma Yöntemleri

Özellikle bilgisayar laboratuvarlarında ağ altyapısını bu tür yerel ağ simülasyonlarından korumak için donanım seviyesinde önlemler alınmalıdır:

• Dynamic ARP Inspection (DAI) & DHCP Snooping: Switch düzeyinde aktif edilerek, sahte ARP anonslarının ve ağa yetkisiz DHCP sunucusu olarak dahil olma girişimlerinin önüne geçilir.

• Client Isolation (İstemci İzolasyonu): Laboratuvar veya misafir ağlarında, istemcilerin birbirleriyle doğrudan iletişim kurmasını engelleyerek ağ içi tehditlerin yayılması önlenir.