İnternette gerçekleştirdiğimiz her etkileşim—bir web sayfasının yüklenmesi, bir video konferansın başlatılması veya basit bir alan adı sorgusu—arka planda çalışan DNS ve WebRTC gibi görünmez protokollerin kusursuz işleyişine dayanır. Ancak bu muhafızlar, dijital dünyada sadece veri taşımakla kalmaz; aynı zamanda hakkımızda sessizce veri sızdırırlar. Siber güvenlikte artık tehdit sadece “ne” gönderdiğinizle değil, bu verilerin ağlar arasındaki “zamanlamaları” ve protokollerin katı kurallarıyla da ilişkilidir. Modern siber savunma stratejilerinde, geleneksel şifrelemenin arkasına saklanan bu ikincil sinyaller, kimliğimizi ele veren “sessiz ihanetlere” dönüşebiliyor.
İşte ağ mimarisinin derinliklerinde saklı, stratejik siber güvenlik vizyonunuzu değiştirecek 5 teknik gerçek.
1. Zamanın Ruhu: DNS Saldırılarını Saptamanın Beklenmedik Yolu
DNS zehirlenmesi (DNS poisoning), kullanıcıları sahte adreslere yönlendiren en köklü tehditlerden biridir. Geleneksel olarak bu saldırıları tespit etmek için devasa paket inceleme (DPI) süreçleri gerekir. Ancak DNS zehirlenmesi saldırılarını tespit etmek için geliştirilen, yanıt sürelerinin istatistiksel analizine dayalı akademik çalışma, DNS hiyerarşisindeki matematiksel düzenin, saldırı tespitinde devrimsel bir anahtar sunduğunu kanıtlıyor: Zamanlama Analizi.
DNS yanıt süreleri kaotik değildir; sunucunun hiyerarşideki seviyesine (Root, TLD, SLD) göre istatistiksel bir düzen izler.
“Bir Poisson dağılımı, bir olayın belirli bir zaman aralığında meydana gelme olasılığının istatistiksel bir dağılımıdır.”
Bu istatistiksel model sayesinde, saldırganın enjekte ettiği sahte paketler, beklenen zaman aralıklarındaki “boşluklara” düştüğünde %99 başarı oranıyla tespit edilebilmektedir. Stratejik olarak bu yaklaşım, dünya genelindeki DNS sunucularının yaklaşık %80’inin henüz benimsemediği DNSSEC gibi protokol güncellemelerine ihtiyaç duymadan, mevcut mirası (legacy) koruma altına alabilmektedir. Deneylerde, yerel “j” root sunucusu (12ms) ve “b” gTLD sunucusunun (15ms) hızı gibi uç örnekler bile Poisson modeliyle doğrulanmıştır. Bu yöntem, ağ ekipmanında değişiklik gerektirmemesi sayesinde SOC (Güvenlik Operasyon Merkezi) ekiplerine kesintisiz ve maliyeti düşük bir savunma katmanı sunar.
2. mDNS Maskesi: Gizlilik Sağlıyor mu, Yoksa Yeni Bir Parmak İzi mi?
WebRTC (Web Real-Time Communication), tarayıcılar arası doğrudan iletişim için mDNS (Çok Noktaya Yayın DNS) kullanarak yerel IP adreslerini .local uzantılı rastgele dizilerle maskeler. Ancak WebRTC protokolünün modern internet tarayıcılarında (2025 sürümleri) neden olduğu IP adresi sızıntılarını açıklayan belgesindeki güncel (2025) analizler, bu “maskeleme” hamlesinin bir Metadata Exfiltration (metadata sızıntısı) vektörüne dönüştüğünü gösteriyor.
Brave ve Chrome gibi Chromium tabanlı tarayıcılar yerel IP’yi gizlese de, oluşturulan mDNS tanımlayıcılarının oturum boyunca sabit kalması, kullanıcıları takip etmek (fingerprinting) için kusursuz bir araç sağlar. Firefox’un masaüstü sürümü ise bu noktada stratejik bir fark yaratarak “sahte aday” (pseudo-candidate) modelini kullanır ve hiçbir tanımlayıcı sızdırmaz. Bu durum, siber güvenlik stratejistleri için kritik bir ders niteliğindedir: Maskeleme, her zaman anonimlik sağlamaz; bazen sadece takibi daha “benzersiz” kılar.
3. Mobil Tehdit: 4G ve CGNAT’ın Görünmeyen Riskleri
Mobil ağlar, siber saldırganlar için keşif (Passive Reconnaissance) aşamasında paha biçilemez metadata sızıntıları barındırır. WebRTC üzerinden sızan ve ilk kez belgelenen bir tehdit olan CGNAT (Taşıyıcı Sınıfı NAT) sızıntısı, 4G ağlarında IP adreslerinin abone düzeyinde bir takip mekanizmasına dönüşmesine neden olur.
Aşağıdaki tablo, 2025 build tarayıcı testlerine dayanan sızıntı karakteristiğini özetlemektedir:
| Özellik | Ev Wi-Fi Sızıntıları | Mobil 4G (CGNAT) Sızıntıları |
|---|---|---|
| Sızıntı Odağı | Yerel Ağ (LAN) merkezli | Abone ve Operatör merkezli |
| Tespit Edilen Adres | 192.168.x.x (Yerel IP) | 10.x.x.x (Operatör İç Ağ / Subscriber) |
| Takip Riski | Sınırlı (Yerel ağ içi) | Yüksek (Abone düzeyinde korelasyon) |
| Atak Yüzeyi | mDNS ile kısmen maskeli | Çoğu mobil tarayıcıda doğrudan sızıntı |
4. Android Paradoksu: Masaüstü Daha mı Güvenli?
Yaygın inanışın aksine, mobil platformların “sandboxed” (kumandalı) mimarisi protokol düzeyinde daha zayıf bir koruma sunabiliyor. Buna “Android Paradoksu” denir. Masaüstü Firefox, IP sızıntılarını pseudo-candidate ile mükemmel şekilde engellerken, Android sürümünün aynı ağda dahili IP adreslerini doğrudan sızdırdığı görülmüştür.
Bunun temel nedeni, Android üzerindeki tarayıcıların işletim sistemine ait “paylaşılan sistem bileşenlerine” (shared system components) daha bağımlı olmasıdır. Masaüstündeki gelişmiş izolasyon mekanizmaları, mobil mimarideki uyumluluk zorunlulukları nedeniyle aynı verimlilikte çalışamaz. Chrome (v136-139 buildleri) ise her iki platformda da en “sızıntı eğilimli” (leakage-prone) tarayıcı olarak Attack Surface Management (Atak Yüzeyi Yönetimi) planlarında en riskli bileşen olarak öne çıkmaktadır.
5. Mutlak Korunma Mümkün mü? Tor ve Geleceğin Protokolleri
Yapılan tüm kapsamlı test senaryolarında; LAN, mDNS ve CGNAT dahil her türlü metadata exfiltration girişimini tamamen engelleyebilen tek yapı Tor Browser‘dır. Tor, ağ kimliğini anonimleştirerek protokol seviyesindeki tüm ikincil sinyalleri durdurur.
Ancak Tor’un hız ve uyumluluk feragatleri, onu her senaryo için uygun kılmaz. Bu nedenle, geleceğin protokol standardı olarak önerilen çözüm, Firefox desktop tarafından halihazırda uygulanan “pseudo-candidate” modelidir. Bu modelde tarayıcılar, gerçek bir P2P bağlantısı onaylanana kadar hiçbir yerel kimlik bilgisi paylaşmaz. Bu, gizliliği bir kullanıcı tercihi olmaktan çıkarıp ağın varsayılan kuralı haline getiren bir yeniden tasarımdır.
Sonuç olarak; Dijital mahremiyet, sadece şifrelenmiş tünellerin arkasına saklanmak değildir. Mahremiyet; DNS yanıtlarındaki Poisson zamanlamalarından WebRTC’nin CGNAT metadata izlerine kadar, protokollerin altındaki görünmez matematiksel modellere olan bağımlılığımızı yönetmektir. Bu durum, modern siber dünyada İstatistiki Gizlilik Sızıntısı (Statistical Privacy Leakage) olarak adlandırılan yeni bir cephe açmıştır.
Kullandığınız tarayıcı size gizlilik vaat ederken, arka planda zamanlamalarınız ve ağ kimliğiniz üzerinden hakkınızda neler anlatıyor olabilir?
