Skip to main content
Birçoğunuz Tor’u kurup kullanırken “neden bazı torda sürekli Hollanda veya Almanya ip’si görüyor ve CAPTCHA sürekli ekranımı sarıyor” diye sormuşsunuzdur.

Tor Devresi Nasıl Çalışıyor?

Tor trafiğiniz üç relay üzerinden geçer:
  1. Giriş (Guard/Entry) düğümü – Senin ip’ni sadece bu düğüm bilir.
  2. Orta (Middle) düğümü – Ara aktarma.
  3. Çıkış (Exit) düğümü – Şifresiz olarak hedef siteye bağlanır.
Burada kritik nokta exit düğümü. Çünkü ziyaret ettiğin web sitesi, forum, banka vs. sadece çıkış ip’sini görür. Tor’un bütün “anonimlik” iddiası, çıkış düğümünün senin gerçek IP’ni bilmemesine dayanır. Ama çıkış düğümünü izleyen birisi trafiğin içeriğini görebilir ve zamanlama analizleri yapabilir.

Sorun Nerede Başlıyor?

Tor ağı 2025-2026 itibarıyla yaklaşık 8.000-10.000 relay’e sahip. Bunların içinden exit relay sayısı 2.000-2.500 civarında. Ve bu çıkış kapasitesinin büyük bir kısmı Avrupa’da, özellikle Almanya ve Hollanda’da toplanmış durumda. Neden bu iki ülke diye sorarsanız, yüksek bant genişliği sağlayan veri merkezleri bol evet ve en çok gönüllü operatör bulunduran ülkede burası.
Image
Almanya’da olan bu yoğunlaşma, Tor’un “dağıtık ve dirençli” avantajını dezavantaja çeviriyor. Birkaç ülkenin elinde çok fazla çıkış trafiği olunca, o ülkelerin polisi ve istihbaratı için işler kolaylaşıyor. Tor devresi kırılmaz değil, eğer tüm düğümler ilişkili ülkelerden geçiyorsa devlet tarafının seni bulması kolaylaşıyor.

Gerçek Hayattan Örnekler ve Operasyonlar

2024’te Alman medyasında kaynak
  • Alman Federal Kriminal Dairesi, Boystown soruşturmasında (2019-2021) timing attack kullandı.
  • Hem giriş hem çıkış düğümlerini uzun süre izlediler.
  • Şüpheli kişilerin Tor devrelerindeki giriş-çıkış trafiğini zaman damgalarıyla eşleştirdiler.
  • Hollanda, ABD, Kanada ve Avustralya ile işbirliği yaptılar.
Sonuç olarak birçok tor kullanıcısı dark web platform yöneticileri dahil deanonimize edildi. Ayrıca 2024 Ağustos’unda Artikel 5 e.V. gibi tanınmış Alman relay operatörlerine polis baskını yapıldı. Silahlı polis ev ve ofise girdi, faturalar ve log’lar alındı. kaynak Hollanda’da da bir benzer hikayedir. Çıkış operatörleri sık sık yasal uyarı alıyor, bazı veri merkezleri hesapları askıya alıyor. Birkaç yıl önce Rotterdam’da büyük bir exit node kümesinin hesapları dondurulmuştu. Kısaca bu iki ülkede exit node işletmek yasal ve fiziksel risk taşıyor. Polis “notice-and-takedown” istiyor, ISP’ler (örneğin O2/Telefónica) mahkeme kararıyla belirli relay’lere bağlanan müşterileri aylarca log’lamak zorunda kalıyor.
Önemli NOT: Bu verdiğim bilgiler ve öneriler ortalama bir kullanıcı için fazla korkutucu ve uygulaması zor olabilir. bu anlattığıım şeyler sıradan her kullanıcı için değil büyük ölçüde kişiselleştirilmiş istihbarat analizleri ve ağ korelasyonları ile olmakta. Eğer büyük bir hedef değilseniz sizin tora bağlanmanız kimsenin umrunda değil, kimse sıradan bi adam için bu kadar pahalı ve uzun süren bir operasyon kullanmaz.

Timing / Correlation Attack

En tehlikeli kısım bu. Alman yetkililerin kullandığı yöntemlerin en başında bu geliyor.
  1. ISP, senin Tor ağına bağlandığını ve hangi guard node’a bağlandığını görebilir. internet bağlanımı sırasında ne kadar veri kullanmış bunun verisini görebiliyor.
  2. Bilinen Tor giriş relay’lerini izliyorlar (kim bağlanıyor, ne zaman?).
  3. Aynı anda bilinen exit relay’lerini izliyorlar (hangi siteden ne zaman trafik çıkıyor?).
  4. Zamanlama, paket boyutu ve trafik paternlerini karşılaştırıyorlar.
Eğer devrenin hem girişi hem çıkışı Almanya/Hollanda eksenliyse (ki olasılık yüksek), korelasyon yapmak çok daha kolay oluyor. Tor’un kendi dokümanları da uzun zamandır “eğer rakip giriş ve çıkış arasında korelasyon yapabiliyorsa seni deanonimize edebilir” diyor. Bu teori değil, pratikte kanıtlandı. Trafik, sabit boyutlu “cells” (eski versiyonlarda 512 byte, yeni olanlarda 514 byte) halinde akar. Cells şifrelenir ama boyutu değişmez. Paketler arasında rastgele gecikme eklenmez (çünkü latency’yi öldürür), ağır paddingde default olarak yok.
  • Bir mesaj gönderdiğinizde belirli bir burst oluşur.
  • inter-arrival times, 10 saniyelik pencerelerdeki cell sayısı, upload/download, toplam hacim… hepsi circuit boyunca büyük ölçüde korunur.
Bu paternler, şifreli olsa bile fingerprint bırakır, bu bilinen birşeydi ve Alman yetkililer de bunu pratikte uyguladı.

Almanların Yöntemi

BKA’nın yaptığı şey, klasik end-to-end korelasyonun biraz modifiye edilmiş, hedef odaklı haliydi.
  1. Uzun süreli relay monitoring: Almanya’daki data center’larda çalışan yüzlerce Tor relay’ini (entry guard ve middle dahil) aylarca izlediler. Muhtemelen kendi işlettiği ya da yasal erişim sağladığı node’lar (istihbarat işin içindeydi). Her node’da gelen/giden trafiğin timestamplerini, cell sayılarını, burst paternlerini log’adılar.
  2. Known activity yaratma: Şüpheliler eski Ricochet kullanıyordu bu P2P onion-to-onion mesajlaşma aracı, düşük trafikli ve pattern’leri net belli oluyordu. Yetkililer şüpheliyle chat üzerinden iletişim kurdu. Mesaj gönderme anlarını tam olarak biliyorlardı. Bu, “known signal” yarattı: “Tam saat 14:37’de şu boyutta bir burst olacak.”
  3. Timing correlation ile entry guard tespiti:
    • Şüphelinin trafiği o anda belirli bir entry guard’tan girerken, o guard’da aynı timing ve hacimde bir client burst’ü gözlendi.
    • Statistical matching yapıldı: Zaman serileri (time series) karşılaştırıldı. Örneğin, 1-5 saniyelik pencerelerde packet rate vektörleri, Pearson correlation katsayısı, cosine similarity ya da daha sofistike yöntemlerle (sliding window subset sum gibi) eşleştirildi.
    • Guard’lar az sayıda client’a hizmet ettiği için (Tor guard selection’ı bandwidth ve stability’ye göre yapıyor), eşleşme nispeten kolaylaşıyordu. Circuit multiplexing olsa bile, low-traffic uygulamada (Ricochet gibi) noise azdı.
  4. ISP’den IP yakalama: Guard node’un IP’si biliniyor. Mahkeme emriyle Telefónica (ISP) o guard’a o dakikalarda bağlanan gerçek client IP’lerini verdi. Guard log’ları + ISP log’ları + timing match = şüphelinin gerçek IP’si. Sonra normal polisiye yöntemlerle kimlik tespit.
Raporlara göre aynı soruşturmada dört kez başarılı oldular. Bu, tek seferlik bir şans değil; yıllarca sürdürülen, istatistiksel güvenilirliği yüksek bir operasyondu.

Pratikte Kendi Gözlemlerim

  • Birçok banka, kripto borsası, forum Almanya/Hollanda çıkış İP adreslerini otomatik şüpheli görüyor ve CAPTCHA + hesap kilidi ile karşı karşıya kalıyorum.
  • Cloudflare, Google vs. “Tor exit from DE/NL” diye ekstra doğrulama istiyor.
  • Reklam ve coğrafi hedefleme bile bazen “Hollanda” gösteriyor.
Bu yüzden torrc’ye şu satırları eklemeni öneririm. 
ExcludeExitNodes {de},{nl}
StrictNodes 1
Bu komut çıkış havuzunu küçültüyor, bağlantı hızını düşürüyor ve yeni bir risk yaratıyor.
Daha az çeşitlilik ile anonimliğini küçültmüş oluyorsun, Tor ağının birincil hedefi seni kalabalığın içerisinde kaybetmektir, ancak böyle bir işlemde kendini 2 büyük layer ülkesinden soyutlayıp farklı ülkelere yöneltmiş olursun. Bu durum fngerprint riskini artırır, varyasyonu düşürür ve daha öngörülebilir trafik üretir

Peki Çözüm Ne?

Tor hâlâ güçlü bir araç ama artık tek başına yeterli değil. Özellikle devlet ve istihbarat seviyesinde tehdit modelinde şu adımları öneririm:
Image
  • Çıkış ülkesini kısıtla (ExcludeExitNodes ,,…).
  • Bridge kullan (obfs4, snowflake, meek).
  • Whonix + Tor veya Tails ile katman ekle.
  • Kritik işlerde Tor’u SimpleX veya kendi hidden service’lerle birleştir.
  • Mümkünse kendi guard relay’ini bile çalıştır (ama exit değil!).
  • Her zaman threat modeling yap: “Karşımdaki kim? Ne kadar kaynakları var?”
Tüm bu önerilerim çok büyük bir tehdidiniz yoksa geçerlidir, eğer istihbarat seviyesinde bir tehditten kaçıyorsanız, Qubesin appVM özelliği ile whonixi entegre etmeniz gerek. Tek cümleyle bu öneriyi verdim ancak bu ileri düzeyde teknik ve çok uğraştırıcı bir konu, sözüm olsun bi yazımda tek tek anlatacağım. Ancak kısa bir anlatmak gerekirse: Qubes üzerinde Whonix çalıştırdığınızda, trafik tek bir düzlemde akmaz. Şemayı kafanızda şöyle canlandırın:

1. Donanım Katmanı (sys-net)

Qubes’ta ağ kartınız (Wi-Fi veya Ethernet) bile izole edilmiştir. sys-net adlı bu makine, ağ kartının sürücülerini barındırır. Eğer bir saldırgan Wi-Fi sürücüsündeki bir açıktan (exploit) sızarsa, sadece internete erişimi olan ama içinde hiçbir verinizin olmadığı bu boş kutuya hapsolur..

2. sys-firewall

sys-net’ten gelen trafik doğrudan Whonix’e gitmez. Arada bir firewall katmanı bulunur. Bu, karmaşık ağ yapılandırmalarında istenmeyen paketlerin sızmasını engeller.

3. sys-whonix

Bu VM’in tek bir görevi vardır: Kendisine gelen her türlü paket akışını alıp Tor ağına (Tor circuit) zorla sokmak. Bu katmanda asla tarayıcı açılmaz ve sadece Tor servisleri ve sdwdate çalışır.

4. anon-whonix / Workstation

Sizin ekranınızda gördüğünüz, terminali kullandığınız veya Tor Browser’ı açtığınız yerdir. Bu makinenin dünyadan haberi yoktur. O, interneti sadece sys-whonix üzerinden gelen bir yerel ağ sanır.
  • IP Leak Engelleme: Bir malware anon-whonix’e sızıp “Gerçek IP adresim ne?” diye sorsa bile, alacağı cevap Gateway’in yerel IP’si olacaktır. Gerçek IP adresiniz fiziksel olarak bu katmanda mevcut değildir. Ancak exploit, kullanıcı hatası, metadata leak gibi kullanıcı hatası durumlarda sizi kurtaramaz.

Disposable

Qubes + Whonix kombinasyonunun en ölümcül silahı DisposableVM’dir. Şüpheli bir .pdf dosyası mı inceleyeceksiniz veya bilinmeyen bir script mi koşturacaksınız? Saniyeler içinde geçici bir Whonix-Workstation açarsınız. İşinizi bitirip pencereyi kapattığınızda, o makine RAM’den tamamen silinir. Sızan bir malware varsa, makineyle birlikte yok olur. İz bırakmak fiziksel olarak imkansız hale gelir.

Kimler İçin?

Bu yapı her gün video izleyen veya oyun oynayan “ortalama” kullanıcı için değildir.
  1. Devlet düzeyinde bir gözlemden kaçınıyorsanız,
  2. Yüksek riskli zafiyet araştırmaları yapıyorsanız,
  3. “ip sızıntısı” riskinin bedeli sizin için çok ağırsa
Qubes + Whonix iyi bir alternatif olabilir. Aksi takdirde bu çile çekilmez, kişisel görüşüm şudur: Eğer büyük bir tehdit altında değilseniz bu kadar zahmete girmenize gerek yok, bridge + tor sizin için genelde sağlam kapıdır.
Teknik Not: Bu yapıyı kuracaksanız en az 16GB RAM ve VT-d destekli bir işlemciyi gözden çıkarmalısınız. Donanım seviyesinde izolasyonun bedeli, donanım kaynaklarını cömertçe kullanmaktır. Hiçbir araç %100 garanti vermez; en güçlü saldırı vektörü genellikle kullanıcı hatası veya metadata leak’lerdir.