İÇİNDEKİLER:
Şimdi herkesin yaşadığı klasik, bir siteye girmeye çalışıyorsun sayfa açılmıyor dönüp duruyor. VPN açıyorsun o da sıkıntılı bağlanmıyor falan. Hız yerlerde sürünüyor bazı uygulamalar tekliyor. Sen de kendi kendine diyorsun ki acaba benim internette mi sorun var modem mi bozuldu? Aslında çoğu zaman sorun senin internetinde değil sorun senin internet trafiğinin arasına giren ve yolladığın her paketi tek tek inceleyen devasa sistemlerde.
Bu sistemlerin adına DPI diyorlar yani ''Deep Packet Inspection'' Türkçesi derin paket inceleme. Türkiye'de ve dünyada Telekom şirketleri bu teknolojiyi kullanarak internet trafiğini izliyor filtreliyor ve keyfi isterse de engelliyor. Peki bu zımbırtı tam olarak nasıl çalışıyor hangi yöntemlerle atlatılıyor. Bu rehberde konuyu en ince detayına kadar öğreneceksiniz.
Not: Yazım hatalarım olabilir, kusura bakmayın. Yazıyı Telegram kanalımda paylaştığım için pek dikkat etmiyorum genelde.
Bölüm 1 DPI Nedir ve Nasıl Çalışır
1.1 Temel Mantık:
İnternette veri iletimi dediğimiz olay paketler halinde oluyor dostlar. Web sitesine girdiğinde sayfanın içeriği binlerce küçük pakete bölünüp sana ulaşıyor. Her paketin iki temel kısmı var.
Biri header yani başlık kısmı. Paketin nereden geldiği nereye gittiği hangi protokolü kullandığı gibi bilgiler burada yazar.
Diğeri Payload yani yük kısmı. Asıl içerik burada. Mesela bir videonun verileri bir mesajın metni dosyanın parçası hep burada.
Eskiden güvenlik duvarları sadece başlığa bakardı. Bu paket şu IP adresine gidiyor şu portu kullanıyor derdi ve ona göre karar verirdi geçsin mi kalsın mı diye. Ama DPI farklı çalışıyor. DPI paketin içine dalıyor. Payload kısmını açıyor ne taşındığına bakıyor. Sanki PTT kuryesi zarfı açıp içindeki mektubu okuyormuş gibi düşünün.
1.2 DPI Nasıl Çalışıyor:
Paket Yakalama yapıyorlar önce. Ağ üzerinden geçen tüm trafik DPI cihazına yönlendiriliyor veya kopyalanıyor.
Sonra Protokol Tanıma aşaması geliyor. Sistem önce trafiğin hangi protokolü kullandığını belirliyor. HTTP mi HTTPS mi DNS mi Torrent mi VPN mi diye bakıyor. Bu aşamada sadece port numarasına bakmıyorlar çünkü akıllı kullanıcılar port numaralarını değiştirebilir bunu biliyorlar. DPI trafiğin imzasına bakıyor.
İmza Tabanlı Tespit yapıyorlar. Her protokolün kendine özgü bir imzası vardır. Mesela OpenVPN trafiği belirli bir el sıkışma paketiyle başlar. BitTorrent'in kendine özgü bir başlangıç sekansı var. WireGuardın paket boyutları ve zamanlaması çok karakteristiktir hemen belli eder kendini.
Sadece imzaya bakmak yetmez bir de ''Davranışsal Analiz'' yapıyorlar. Gelişmiş DPI sistemleri trafiğin davranışını da analiz eder. Paket boyutları ve dağılımına bakarlar zamanlama desenlerine bakarlar bağlantı süresi ve sıklığını kontrol ederler. Bir de Entropy yani rastgelelik seviyesine bakarlar.
Tüm bunlardan sonra Karar Verme aşaması gelir. Trafiği geçir yavaşlat engelle veya loglayıp kaydet derler.
1.3 DPI Cihazları ve Üreticileri:
Dünyada bu DPI teknolojisini üreten büyük firmalar var. Bunların başında şunlar geliyor.
Sandvine diye Kanadalı bir firma var dünyanın en yaygın kullanılan DPI çözümlerinden biri. Türkiye dahil birçok ülkede Telekom şirketleri bunu kullanıyor başımızın belası.
Allot Communications var İsrailli bunlar özellikle mobil operatörlerde yaygın.
Huawei ve ZTE var Çinli firmalar özellikle gelişmekte olan ülkelerde tercih ediliyor.
Cisco ve Juniper var Amerikalı bunlar daha çok kurumsal çözümler üretiyor.
Procera Networks vardı onu da Sandvine satın aldı zaten.
Bu cihazlar genelde operatörlerin ana omurga ağlarına yerleştirilir. Yani senin evinden çıkan her paket mecburen bu cihazlardan geçer kaçış yok.
Bölüm 2 Türkiye'de DPI Kullanımı
2.1 Hangi Operatörler Kullanıyor:
Türkiye'deki büyük telekomünikasyon şirketlerinin tamamı bu DPI teknolojisini kullanıyor. Türk Telekom, Vodafone, Turkcell hepsi ağlarında bu cihazlardan bulunduruyor. Sadece sansür için değil aynı zamanda trafik yönetimi yani yoğun saatlerde bant genişliği ayarı yapmak için yasal dinleme mahkeme kararıyla olan işler için hizmet kalitesi düzenlemeleri ve abone analizi pazarlama amaçlarıyla da kullanılıyor.
2.2 Türkiye'de Engelleme Nasıl Yapılıyor
DNS Zehirleme en basit yöntem. Operatörün DNS sunucusu yasaklı siteye yanlış IP adresi döndürür. Bu yöntem DNS değiştirerek kolayca atlatılır çerez bir yöntem.
IP Bloklama var sitenin IP adresi doğrudan engellenir. Bu da VPN veya proxy ile atlatılabilir.
SNI Filtreleme işte burası sakat. DPI'ın devreye girdiği nokta burası. HTTPS bağlantısında bile bağlantının başında Server Name Indication denen bir alan şifrelenmeden gönderilir. DPI bu alanı okuyarak hangi siteye bağlanmaya çalıştığını görür ve engeller.
Tam DPI Analizi de yapıyorlar bazı durumlarda trafik tamamen analiz edilir. VPN protokolleri tespit edilip engellenebilir veya yavaşlatılabilir.
2.3 BTK ve Yasal Çerçeve
Bilgi Teknolojileri ve İletişim Kurumu yani BTK Türkiye'de internet düzenlemelerinden sorumlu kurum. 5651 sayılı internet kanunu çerçevesinde site engellemeleri yapılıyor. BTK operatörlere hangi sitelerin engelleneceğini bildiriyor ve operatörler bunu DPI sistemleri üzerinden uyguluyor. Ayrıca bazı dönemlerde mesela Twitter, YouTube yasakları veya seçim zamanlarında VPN trafiğinin de yavaşlatıldığı veya engellendiği oldu biliyorsunuz bunları.
Bölüm 3 DPI Tespit Yöntemleri Seni Nasıl Yakalıyorlar
3.1 Protokol İmzaları:
Her protokolün kendine özgü parmak izi var demiştik.
OpenVPN varsayılan olarak UDP 1194 portu kullanır. El sıkışma paketi belli bir byte ile başlar. TLS modunda bile tanınabilir bir desen bırakır.
WireGuard UDP tabanlıdır. Sabit boyutlu el sıkışma paketleri vardır. Yüksek entropy trafiği üretir hemen anlaşılır.
Shadowsocks tamamen şifreli trafiktir ama bağlantı kurulum deseni hala tanınabilir.
Tor bilinen relay IP adresleri var. Karakteristik TLS sertifikaları kullanır. Bridge yani köprü kullanılmadığında kek gibi tespit edilir.
3.2 Trafik Analizi
Şifreleme içeriği gizler ama her şeyi gizleyemez.
Paket Boyutu Dağılımı normal web trafiği ile VPN trafiği farklı boyut dağılımlarına sahip.
Zamanlama Analizi insan davranışı öngörülebilir. Bir kişi webde gezinirken paketler arasında boşluklar olur. Ama yayın izlerken veya VPN kullanırken trafik daha düzenli akar.
Entropy Analizi şifreli trafik yüksek rastgeleliğe sahip. Normal HTTP trafiği düşük rastgelelik içerir. DPI sistemleri bu farkı anında çakar.
Bağlantı Davranışı tek bir IP adresine uzun süreli sürekli bağlantı şüphe çeker. Normal web trafiğinde birçok farklı IP adresine kısa bağlantılar yapılır.
3.3 Active Probing Aktif Sondaj
Çin'in güvenlik duvarı bunu yoğun kullanıyor ve Türkiye dahil bazı ülkeler de uygulamaya başladı. Sistem şüpheli bir bağlantı tespit ettiğinde o sunucuya kendi bağlantı isteğini gönderiyor. Sunucu bir VPN sunucusu gibi yanıt verirse şak diye engelleniyor.
Mesela Shadowsocks kullandığını düşünelim. DPI sistemi trafiği şüpheli buldu ve senin bağlandığın IP adresine kendi isteğini gönderdi. Sunucu Shadowsocks protokolüyle yanıt verdi. Artık o IP engelli listesinde geçmiş olsun.
Bölüm 4 DPI'dan Kaçınma Teknikleri
4.1 Obfuscation Gizleme Nedir:
Obfuscation VPN veya proxy trafiğini normal trafik gibi gösterme tekniğidir. Amaç DPI sisteminin trafiği tanıyamamasını sağlamak ben VPN değilim normal siteyim dedirtmek.
4.2 Popüler Obfuscation Yöntemleri
OBFS4 Tor Bridge Tor projesi tarafından geliştirilen gelişmiş bir gizleme protokolü. Trafiği tamamen rastgele görünümlü hale getiriyor. Aktif sondaj saldırılarına karşı da koruma sağlıyor.
Shadowsocks artı AEAD Şifreleme Çin'de geliştirilen bir proxy protokolü. Çin'in duvarını atlatmak için tasarlandı. Modern versiyonları AEAD kullanıyor.
V2Ray ve Xray Shadowsocksun daha gelişmiş versiyonu. Birçok farklı protokolü destekliyor. VMess var V2Rayin kendi protokolü. VLESS daha hafif versiyonu. Trojan var HTTPS trafiği gibi görünüyor.
Trojan GFW HTTPS trafiğini taklit ediyor. Gerçek bir TLS bağlantısı kuruluyor DPI sistemi normal bir HTTPS trafiği görüyor. Çok etkili ama sunucu kurulumu biraz karışık.
Cloak Shadowsocks veya OpenVPN'i normal HTTPS trafiği gibi gösteriyor. Gerçek TLS sertifikası kullanıyor.
XTLS Xray V2Rayin gelişmiş versiyonu olan Xrayin protokolü. TLS trafiğini çok verimli şekilde taklit ediyor.
WebSocket artı TLS VPN trafiğini websocket protokolü üzerinden taşıyor. Cloudflare gibi CDN'lerin arkasına gizlenebiliyor. DPI sistemi sadece normal bir web sitesi trafiği görüyor.
Meek Tor trafiği büyük bulut sağlayıcılarının Amazon Azure Google gibi yerlerin üzerinden yönlendiriyor. DPI sistemi senin amazona bağlandığını sanıyor.
4.3 DNS Şifreleme
DNS sorguları normalde şifresiz gider. Operatör hangi sitelere girmeye çalıştığını görebilir. Bunu engellemek için şunlar var.
DNS over HTTPS yani DoH DNS sorgularını HTTPS üzerinden yapıyor. Firefox Chrome gibi tarayıcılar destekliyor bunu açın.
DNS over TLS yani DoT DNS sorgularını TLS ile şifreliyor. Android 9 ve üstü iOS 14 ve üstü destekliyor.
DNSCrypt DNS trafiğini şifreleyen eski ama hala etkili bir protokol.
4.4 ECH Encrypted Client Hello
SNI filtrelemeyi atlatmak için geliştirilmiş yeni bir teknoloji. Normalde HTTPS bağlantısında SNI alanı şifrelenmez ve DPI buradan site adını okur demiştik ya işte ECH ile bu alan da şifreleniyor. Henüz çok yaygın değil ama Cloudflare ve Firefox desteklemeye başladı. Gelecekte SNI filtrelemeyi işe yaramaz hale getirebilir.
4.5 Pratik Atlatma Yöntemleri
VPN Seçimi normal VPN'ler ExpressVPN NordVPN gibi genelde yeterli ama DPI yoğun dönemlerde obfuscation destekleyen VPN'ler tercih edilmeli. Mullvad wireguard artı obfuscation var. ProtonVPN Stealth protokolü var. Windscribe Stealth modları var.
Kendi Sunucunu Kurma en güvenli yöntem kendi sunucunu kurmak. Yurt dışında ucuz bir VPS al DigitalOcean Vultr linode olabilir. V2Ray Xray veya Outline kur. Websocket TLS CDN kombinasyonu kullan. DPI sistemi için tespit edilmesi çok zor olur.
Port Seçimi 443 portu yani HTTPS portu en güvenli seçim. Operatörler 443ü engelleyemez çünkü tüm HTTPS trafiği buradan geçer hayat durur yoksa.
Fallback Stratejisi tek bir yönteme bağlı kalma. Birincil yöntemin engellenirse alternatifin hazır olsun. Birincil olarak V2Ray websocket TLS kullan. İkincil olarak Shadowsocks cloak kullan. Üçüncül olarak Tor obfs4 bridge kullan.
Bölüm 5 Mobil Cihazlarda DPI
Mobil Ağlarda DPI:
Mobil operatörler Turkcell, Vodafone, Telekom de DPI kullanıyor. Üstelik mobil ağlarda ek zorluklar var. NAT yani birçok kullanıcı aynı IP adresini paylaşıyor. Daha fazla metadata var konum bilgisi IMEI numarası falan. Uygulama mağazası kısıtlamaları var VPN uygulamaları bazen kaldırılabiliyor.
5.2 Android için Çözümler
V2RayNG var V2Ray protokolünü destekleyen açık kaynak uygulama kraldır.
SagerNet var birçok protokolü destekliyor shadowsocks v2ray trojan.
Orbot Torun resmi Android uygulaması.
Nebulo DNS şifreleme için.
5.3 iOS için Çözümler
Shadowrocket ücretli ama en kapsamlı çözüm paraya kıyın alın.
Surge profesyonel düzey yine ücretli.
Orbot iOS için de var.
1.1.1.1 Cloudflare WARP protokolüyle VPN benzeri koruma sağlıyor bazen iş görür.
Bölüm 6 İleri Düzey Konular
6.1 Fingerprinting ve Nasıl Kaçınılır:
DPI sistemleri sadece protokolleri değil kullandığın yazılımı bile tespit edebilir.
TLS Fingerprinting JA3 JA3S dedikleri olay her tarayıcı ve uygulama TLS bağlantısı kurarken kendine özgü bir imza bırakıyor. DPI sistemi bu imzayı okuyarak bu Firefox bu Chrome bu OpenVPN istemcisi diyebiliyor.
Korunma yolu uTLS gibi kütüphaneler farklı tarayıcıların imzalarını taklit edebiliyor. V2Ray ve Xray bunu destekliyor.
HTTP2 Fingerprinting HTTP2 protokolü de parmak izi bırakıyor. Frame boyutları önceliklendirme ayarları gibi detaylardan anlıyolar.
6.2 Traffic Shaping ve Throttling
DPI sadece engellemek için kullanılmıyor bazen trafik yavaşlatılıyor. YouTube 1080p yerine 480P'ye zorlanabilir. Torrent trafiği yavaşlatılabilir. VPN trafiği yavaşlatılabilir tam engel yerine süründürürler. Bunu anlamanın yolu VPN açıkken ve kapalıyken hız testleri yapmak. Belirgin fark varsa throttling uygulanıyor olabilir.
6.3 QUIC ve HTTP3
Google'ın geliştirdiği QUIC protokolü UDP tabanlı ve şifreli. DPI için analiz etmesi daha zor. Ama bazı operatörler QUICi tamamen engelleyerek tarayıcıları TCP'ye zorluyor çakallar.
6.4 Timing Correlation Saldırıları
Eğer bir istihbarat servisi hem seni hem de bağlandığın sunucuyu izleyebiliyorsa zamanlama analiziyle trafiği eşleştirebilir. Bu tür saldırılardan korunmak çok zor. Tor bile buna karşı tam koruma sağlamıyor haberiniz olsun.
Bölüm 7 Ülke Bazlı DPI Uygulamaları
7.1 Çin Great Firewall:
Dünyanın en gelişmiş DPI sistemi adamlarda. Aktif sondaj yoğun kullanılıyor. VPN sunucuları otomatik tespit edilip engelleniyor. Yapay zeka ile trafik analizi yapıyorlar. Protokol beyaz listesi yaklaşımı var yani izin verilenler dışında her şey şüpheli.
7.2 İran
Çin'e benzer ama daha az sofistike. Throttling yani hız kesme yoğun kullanılıyor. Bazı dönemlerde internet tamamen kesiliyor. Ulusal intranet planları var kendi içlerine kapanacaklar.
7.3 Rusya TSPU
2019'da kurulan sistem. Tüm operatörlere DPI cihazı zorunluluğu getirdiler. Merkezi kontrol var. Henüz tam kapasite çalışmıyor ama gelişiyor.
7.4 Türkiye
Sandvine ve diğer ticari DPI çözümleri kullanılıyor. SNI filtreleme aktif en çok bu can yakıyor. VPN'ler çoğunlukla çalışıyor ama dönemsel yavaşlamalar yaşanıyor. DNS zehirleme de yaygın.
Bölüm 8 Gizlilik ve Güvenlik Önerileri
8.1 Katmanlı Koruma:
Tek bir çözüme güvenme. Katmanlı yaklaşım kullan.
Cihaz düzeyi disk şifreleme güvenli boot yapın.
Ağ düzeyi VPN veya proxy kullanın.
Uygulama düzeyi uçtan uca şifreli mesajlaşma Signal falan kullanın.
Davranış düzeyi opsec yani operasyonel güvenlik dikkatli olun.
8.2 VPN Seçerken Dikkat Edilecekler
Loglama politikası no log iddiasını bağımsız denetimle kanıtlayabilenleri seçin sallayanları değil.
Lokasyon 14 eyes ülkeleri dışında tercih etmeye çalışın.
Protokol desteği wireguard ve obfuscation desteği olsun.
Kill Switch bağlantı koparsa trafiği kesmeli yoksa kabak gibi ortada kalırsınız.
Ödeme kripto para veya nakit kartla ödeme seçeneği varsa on numara olur.
8.3 Operasyonel Güvenlik OPSEC
Farklı aktiviteler için farklı profiller kullanın. Tarayıcı fingerprintinge karşı önlem alın Firefox artı uBlock Origin artı arkenfox userjs yapın. Gerçek kimlikle ilişkilendirilebilecek bilgi paylaşmayın. Aynı cihazı hem anonim hem normal aktiviteler için kullanmayın.
Bölüm 9 Teknik Kaynaklar ve Araçlar
9.1 Test Araçları
OONI Probe internet sansürünü test etmek için ooni.org adresinden indirebilirsin. Hangi sitelerin engellendiğini DPI'ın ne kadar aktif olduğunu gösterir.
Wireshark ağ trafiğini analiz etmek için. Kendi trafiğini inceleyerek DPI'ın ne gördüğünü anlayabilirsin.
MTR ve traceroute paketlerin hangi yoldan gittiğini görmek için kullanılır.
9.2 Sunucu Kurulum Kaynakları
V2Ray GitHub'dan ''v2fly v2ray Core'' diye aratın.
Xray yine GitHub'dan ''xtls xray Core'' diye bakın.
Outline getoutline.org Google jigsaw projesi kurulumu çok kolay.
Algo VPN GitHub'da var wireguard tabanlı.
9.3 Topluluklar ve Güncel Bilgi
Ntc party net4people sansür atlatma tartışmaları dönüyor burada tavsiye ediyorum.
Reddit dumbclub Çin'den çıkış yöntemleri konuşuluyor.
Tor project blog yeni tehditler ve çözümler için.
Eff electronic frontier foundation dijital haklar için takip edin.
Bölüm 10 Sık Sorulan Sorular
Soru: VPN kullanmak yasak mı:
Cevap: Türkiye'de VPN kullanmak yasak değil. Ama VPN üzerinden yasa dışı içeriğe erişmek hala yasa dışı ona göre.
Soru: Operatörüm VPN kullandığımı görebilir mi:
Cevap: Evet normal VPN trafiği görülebilir. Ama obfuscation kullanırsan tespit etmesi çok zorlaşır.
Soru: ücretsiz VPN güvenli mi:
Cevap: Genelde hayır. Ürün için para vermiyorsan ürün sensin demektir. Ücretsiz VPN'ler trafiğini kaydedip satabilir satıyolar da zaten.
Soru: Tor yeterli mi:
Cevap: Çoğu amaç için yeterli. Ama torun bilinen relayleri engellenebilir. Bridge kullanman gerekebilir.
Soru: DPI beni bireysel olarak hedef alabilir mi:
Cevap: Teknik olarak evet ama çoğu DPI sistemi toplu filtreleme yapar. Bireysel hedefleme için istihbarat servisi düzeyinde kaynak gerekir o kadar da değil yani.
Sonuç:
DPI teknolojisi güçlü ama aşılmaz değil sonuçta. Önemli olan nasıl çalıştığını anlamak ve buna göre önlem almak. Her yeni engelleme tekniği yeni bir atlatma yöntemi doğuruyor. Bu kedi fare oyunu devam edecek kaçarı yok.
Unutmayın dijital gizlilik bir haktır. Bu araçları ve teknikleri kullanmak bu hakkını korumak için. Ama her zaman yasal sınırlar içinde kalın ve sorumlu davranın başınızı yakmayın.
Teknoloji sürekli gelişiyor. Bugün işe yarayan yöntem yarın işe yaramayabilir. Saygılar.
UYARI: Bu makale eğitim amaçlı hazırlanmıştır
- Giriş: İnternetin Görünmez Denetçileri (Neden Siteler Açılmıyor?)
- Bölüm 1:DPI Nedir ve Nasıl Çalışır?
- Temel Mantık (Zarf ve Mektup Hesabı)
- Teknik Çalışma Prensibi
- DPI Cihazları ve Üreticileri
- Bölüm 2:Türkiye'de DPI Kullanımı
- Hangi Operatörler Kullanıyor?
- Engelleme Yöntemleri (DNS Zehirleme, IP Bloklama, SNI Filtreleme)
- BTK ve Yasal Çerçeve
- Bölüm 3:DPI Tespit Yöntemleri (Seni Nasıl Yakalıyorlar?)
- Protokol İmzaları
- Trafik Analizi (Paket Boyutu ve Zamanlama)
- Active Probing (Aktif Sondaj/Tuzaklama)
- Bölüm 4:DPI'dan Kaçınma Teknikleri (Çözüm Yolları)
- Obfuscation (Gizleme) Nedir?
- Popüler Yöntemler (V2Ray, Shadowsocks, Trojan, WebSocket+TLS)
- DNS Şifreleme (DoH, DoT)
- ECH (Encrypted Client Hello)
- Pratik Atlatma Stratejileri
- Bölüm 5:Mobil Cihazlarda DPI ve Koruma
- Mobil Ağların Zorlukları (NAT vs.)
- Android İçin Çözümler
- iOS İçin Çözümler
- Bölüm 6:İleri Düzey Konular
- Fingerprinting (Parmak İzi) ve Korunma
- Traffic Shaping ve Throttling (Hız Kesme)
- QUIC ve HTTP/3
- Bölüm 7: Ülke Bazlı DPI Uygulamaları (Çin, Rusya, İran, Türkiye)
- Bölüm 8:Gizlilik ve Güvenlik Önerileri
- Katmanlı Koruma
- VPN Seçerken Dikkat Edilecekler
- Operasyonel Güvenlik (OPSEC)
- Bölüm 9: Teknik Kaynaklar, Araçlar ve Topluluklar
- Bölüm 10: Sık Sorulan Sorular (SSS)
- Sonuç
Giriş:
Selam, forumda böyle bir rehbere rastlayamadım, bence herkesin bilmesi gereken bir olay. Vaktinde Vodafone'da çalıştığım için az çok bilgi sahibiyim. Konuda eksik yanlış hatırladığım bilgiler olabilir elbet.Şimdi herkesin yaşadığı klasik, bir siteye girmeye çalışıyorsun sayfa açılmıyor dönüp duruyor. VPN açıyorsun o da sıkıntılı bağlanmıyor falan. Hız yerlerde sürünüyor bazı uygulamalar tekliyor. Sen de kendi kendine diyorsun ki acaba benim internette mi sorun var modem mi bozuldu? Aslında çoğu zaman sorun senin internetinde değil sorun senin internet trafiğinin arasına giren ve yolladığın her paketi tek tek inceleyen devasa sistemlerde.
Bu sistemlerin adına DPI diyorlar yani ''Deep Packet Inspection'' Türkçesi derin paket inceleme. Türkiye'de ve dünyada Telekom şirketleri bu teknolojiyi kullanarak internet trafiğini izliyor filtreliyor ve keyfi isterse de engelliyor. Peki bu zımbırtı tam olarak nasıl çalışıyor hangi yöntemlerle atlatılıyor. Bu rehberde konuyu en ince detayına kadar öğreneceksiniz.
Not: Yazım hatalarım olabilir, kusura bakmayın. Yazıyı Telegram kanalımda paylaştığım için pek dikkat etmiyorum genelde.
Bölüm 1 DPI Nedir ve Nasıl Çalışır
1.1 Temel Mantık:
İnternette veri iletimi dediğimiz olay paketler halinde oluyor dostlar. Web sitesine girdiğinde sayfanın içeriği binlerce küçük pakete bölünüp sana ulaşıyor. Her paketin iki temel kısmı var.
Biri header yani başlık kısmı. Paketin nereden geldiği nereye gittiği hangi protokolü kullandığı gibi bilgiler burada yazar.
Diğeri Payload yani yük kısmı. Asıl içerik burada. Mesela bir videonun verileri bir mesajın metni dosyanın parçası hep burada.
Eskiden güvenlik duvarları sadece başlığa bakardı. Bu paket şu IP adresine gidiyor şu portu kullanıyor derdi ve ona göre karar verirdi geçsin mi kalsın mı diye. Ama DPI farklı çalışıyor. DPI paketin içine dalıyor. Payload kısmını açıyor ne taşındığına bakıyor. Sanki PTT kuryesi zarfı açıp içindeki mektubu okuyormuş gibi düşünün.
1.2 DPI Nasıl Çalışıyor:
Paket Yakalama yapıyorlar önce. Ağ üzerinden geçen tüm trafik DPI cihazına yönlendiriliyor veya kopyalanıyor.
Sonra Protokol Tanıma aşaması geliyor. Sistem önce trafiğin hangi protokolü kullandığını belirliyor. HTTP mi HTTPS mi DNS mi Torrent mi VPN mi diye bakıyor. Bu aşamada sadece port numarasına bakmıyorlar çünkü akıllı kullanıcılar port numaralarını değiştirebilir bunu biliyorlar. DPI trafiğin imzasına bakıyor.
İmza Tabanlı Tespit yapıyorlar. Her protokolün kendine özgü bir imzası vardır. Mesela OpenVPN trafiği belirli bir el sıkışma paketiyle başlar. BitTorrent'in kendine özgü bir başlangıç sekansı var. WireGuardın paket boyutları ve zamanlaması çok karakteristiktir hemen belli eder kendini.
Sadece imzaya bakmak yetmez bir de ''Davranışsal Analiz'' yapıyorlar. Gelişmiş DPI sistemleri trafiğin davranışını da analiz eder. Paket boyutları ve dağılımına bakarlar zamanlama desenlerine bakarlar bağlantı süresi ve sıklığını kontrol ederler. Bir de Entropy yani rastgelelik seviyesine bakarlar.
Tüm bunlardan sonra Karar Verme aşaması gelir. Trafiği geçir yavaşlat engelle veya loglayıp kaydet derler.
1.3 DPI Cihazları ve Üreticileri:
Dünyada bu DPI teknolojisini üreten büyük firmalar var. Bunların başında şunlar geliyor.
Sandvine diye Kanadalı bir firma var dünyanın en yaygın kullanılan DPI çözümlerinden biri. Türkiye dahil birçok ülkede Telekom şirketleri bunu kullanıyor başımızın belası.
Allot Communications var İsrailli bunlar özellikle mobil operatörlerde yaygın.
Huawei ve ZTE var Çinli firmalar özellikle gelişmekte olan ülkelerde tercih ediliyor.
Cisco ve Juniper var Amerikalı bunlar daha çok kurumsal çözümler üretiyor.
Procera Networks vardı onu da Sandvine satın aldı zaten.
Bu cihazlar genelde operatörlerin ana omurga ağlarına yerleştirilir. Yani senin evinden çıkan her paket mecburen bu cihazlardan geçer kaçış yok.
Bölüm 2 Türkiye'de DPI Kullanımı
2.1 Hangi Operatörler Kullanıyor:
Türkiye'deki büyük telekomünikasyon şirketlerinin tamamı bu DPI teknolojisini kullanıyor. Türk Telekom, Vodafone, Turkcell hepsi ağlarında bu cihazlardan bulunduruyor. Sadece sansür için değil aynı zamanda trafik yönetimi yani yoğun saatlerde bant genişliği ayarı yapmak için yasal dinleme mahkeme kararıyla olan işler için hizmet kalitesi düzenlemeleri ve abone analizi pazarlama amaçlarıyla da kullanılıyor.
2.2 Türkiye'de Engelleme Nasıl Yapılıyor
DNS Zehirleme en basit yöntem. Operatörün DNS sunucusu yasaklı siteye yanlış IP adresi döndürür. Bu yöntem DNS değiştirerek kolayca atlatılır çerez bir yöntem.
IP Bloklama var sitenin IP adresi doğrudan engellenir. Bu da VPN veya proxy ile atlatılabilir.
SNI Filtreleme işte burası sakat. DPI'ın devreye girdiği nokta burası. HTTPS bağlantısında bile bağlantının başında Server Name Indication denen bir alan şifrelenmeden gönderilir. DPI bu alanı okuyarak hangi siteye bağlanmaya çalıştığını görür ve engeller.
Tam DPI Analizi de yapıyorlar bazı durumlarda trafik tamamen analiz edilir. VPN protokolleri tespit edilip engellenebilir veya yavaşlatılabilir.
2.3 BTK ve Yasal Çerçeve
Bilgi Teknolojileri ve İletişim Kurumu yani BTK Türkiye'de internet düzenlemelerinden sorumlu kurum. 5651 sayılı internet kanunu çerçevesinde site engellemeleri yapılıyor. BTK operatörlere hangi sitelerin engelleneceğini bildiriyor ve operatörler bunu DPI sistemleri üzerinden uyguluyor. Ayrıca bazı dönemlerde mesela Twitter, YouTube yasakları veya seçim zamanlarında VPN trafiğinin de yavaşlatıldığı veya engellendiği oldu biliyorsunuz bunları.
Bölüm 3 DPI Tespit Yöntemleri Seni Nasıl Yakalıyorlar
3.1 Protokol İmzaları:
Her protokolün kendine özgü parmak izi var demiştik.
OpenVPN varsayılan olarak UDP 1194 portu kullanır. El sıkışma paketi belli bir byte ile başlar. TLS modunda bile tanınabilir bir desen bırakır.
WireGuard UDP tabanlıdır. Sabit boyutlu el sıkışma paketleri vardır. Yüksek entropy trafiği üretir hemen anlaşılır.
Shadowsocks tamamen şifreli trafiktir ama bağlantı kurulum deseni hala tanınabilir.
Tor bilinen relay IP adresleri var. Karakteristik TLS sertifikaları kullanır. Bridge yani köprü kullanılmadığında kek gibi tespit edilir.
3.2 Trafik Analizi
Şifreleme içeriği gizler ama her şeyi gizleyemez.
Paket Boyutu Dağılımı normal web trafiği ile VPN trafiği farklı boyut dağılımlarına sahip.
Zamanlama Analizi insan davranışı öngörülebilir. Bir kişi webde gezinirken paketler arasında boşluklar olur. Ama yayın izlerken veya VPN kullanırken trafik daha düzenli akar.
Entropy Analizi şifreli trafik yüksek rastgeleliğe sahip. Normal HTTP trafiği düşük rastgelelik içerir. DPI sistemleri bu farkı anında çakar.
Bağlantı Davranışı tek bir IP adresine uzun süreli sürekli bağlantı şüphe çeker. Normal web trafiğinde birçok farklı IP adresine kısa bağlantılar yapılır.
3.3 Active Probing Aktif Sondaj
Çin'in güvenlik duvarı bunu yoğun kullanıyor ve Türkiye dahil bazı ülkeler de uygulamaya başladı. Sistem şüpheli bir bağlantı tespit ettiğinde o sunucuya kendi bağlantı isteğini gönderiyor. Sunucu bir VPN sunucusu gibi yanıt verirse şak diye engelleniyor.
Mesela Shadowsocks kullandığını düşünelim. DPI sistemi trafiği şüpheli buldu ve senin bağlandığın IP adresine kendi isteğini gönderdi. Sunucu Shadowsocks protokolüyle yanıt verdi. Artık o IP engelli listesinde geçmiş olsun.
Bölüm 4 DPI'dan Kaçınma Teknikleri
4.1 Obfuscation Gizleme Nedir:
Obfuscation VPN veya proxy trafiğini normal trafik gibi gösterme tekniğidir. Amaç DPI sisteminin trafiği tanıyamamasını sağlamak ben VPN değilim normal siteyim dedirtmek.
4.2 Popüler Obfuscation Yöntemleri
OBFS4 Tor Bridge Tor projesi tarafından geliştirilen gelişmiş bir gizleme protokolü. Trafiği tamamen rastgele görünümlü hale getiriyor. Aktif sondaj saldırılarına karşı da koruma sağlıyor.
Shadowsocks artı AEAD Şifreleme Çin'de geliştirilen bir proxy protokolü. Çin'in duvarını atlatmak için tasarlandı. Modern versiyonları AEAD kullanıyor.
V2Ray ve Xray Shadowsocksun daha gelişmiş versiyonu. Birçok farklı protokolü destekliyor. VMess var V2Rayin kendi protokolü. VLESS daha hafif versiyonu. Trojan var HTTPS trafiği gibi görünüyor.
Trojan GFW HTTPS trafiğini taklit ediyor. Gerçek bir TLS bağlantısı kuruluyor DPI sistemi normal bir HTTPS trafiği görüyor. Çok etkili ama sunucu kurulumu biraz karışık.
Cloak Shadowsocks veya OpenVPN'i normal HTTPS trafiği gibi gösteriyor. Gerçek TLS sertifikası kullanıyor.
XTLS Xray V2Rayin gelişmiş versiyonu olan Xrayin protokolü. TLS trafiğini çok verimli şekilde taklit ediyor.
WebSocket artı TLS VPN trafiğini websocket protokolü üzerinden taşıyor. Cloudflare gibi CDN'lerin arkasına gizlenebiliyor. DPI sistemi sadece normal bir web sitesi trafiği görüyor.
Meek Tor trafiği büyük bulut sağlayıcılarının Amazon Azure Google gibi yerlerin üzerinden yönlendiriyor. DPI sistemi senin amazona bağlandığını sanıyor.
4.3 DNS Şifreleme
DNS sorguları normalde şifresiz gider. Operatör hangi sitelere girmeye çalıştığını görebilir. Bunu engellemek için şunlar var.
DNS over HTTPS yani DoH DNS sorgularını HTTPS üzerinden yapıyor. Firefox Chrome gibi tarayıcılar destekliyor bunu açın.
DNS over TLS yani DoT DNS sorgularını TLS ile şifreliyor. Android 9 ve üstü iOS 14 ve üstü destekliyor.
DNSCrypt DNS trafiğini şifreleyen eski ama hala etkili bir protokol.
4.4 ECH Encrypted Client Hello
SNI filtrelemeyi atlatmak için geliştirilmiş yeni bir teknoloji. Normalde HTTPS bağlantısında SNI alanı şifrelenmez ve DPI buradan site adını okur demiştik ya işte ECH ile bu alan da şifreleniyor. Henüz çok yaygın değil ama Cloudflare ve Firefox desteklemeye başladı. Gelecekte SNI filtrelemeyi işe yaramaz hale getirebilir.
4.5 Pratik Atlatma Yöntemleri
VPN Seçimi normal VPN'ler ExpressVPN NordVPN gibi genelde yeterli ama DPI yoğun dönemlerde obfuscation destekleyen VPN'ler tercih edilmeli. Mullvad wireguard artı obfuscation var. ProtonVPN Stealth protokolü var. Windscribe Stealth modları var.
Kendi Sunucunu Kurma en güvenli yöntem kendi sunucunu kurmak. Yurt dışında ucuz bir VPS al DigitalOcean Vultr linode olabilir. V2Ray Xray veya Outline kur. Websocket TLS CDN kombinasyonu kullan. DPI sistemi için tespit edilmesi çok zor olur.
Port Seçimi 443 portu yani HTTPS portu en güvenli seçim. Operatörler 443ü engelleyemez çünkü tüm HTTPS trafiği buradan geçer hayat durur yoksa.
Fallback Stratejisi tek bir yönteme bağlı kalma. Birincil yöntemin engellenirse alternatifin hazır olsun. Birincil olarak V2Ray websocket TLS kullan. İkincil olarak Shadowsocks cloak kullan. Üçüncül olarak Tor obfs4 bridge kullan.
Bölüm 5 Mobil Cihazlarda DPI
Mobil Ağlarda DPI:
Mobil operatörler Turkcell, Vodafone, Telekom de DPI kullanıyor. Üstelik mobil ağlarda ek zorluklar var. NAT yani birçok kullanıcı aynı IP adresini paylaşıyor. Daha fazla metadata var konum bilgisi IMEI numarası falan. Uygulama mağazası kısıtlamaları var VPN uygulamaları bazen kaldırılabiliyor.
5.2 Android için Çözümler
V2RayNG var V2Ray protokolünü destekleyen açık kaynak uygulama kraldır.
SagerNet var birçok protokolü destekliyor shadowsocks v2ray trojan.
Orbot Torun resmi Android uygulaması.
Nebulo DNS şifreleme için.
5.3 iOS için Çözümler
Shadowrocket ücretli ama en kapsamlı çözüm paraya kıyın alın.
Surge profesyonel düzey yine ücretli.
Orbot iOS için de var.
1.1.1.1 Cloudflare WARP protokolüyle VPN benzeri koruma sağlıyor bazen iş görür.
Bölüm 6 İleri Düzey Konular
6.1 Fingerprinting ve Nasıl Kaçınılır:
DPI sistemleri sadece protokolleri değil kullandığın yazılımı bile tespit edebilir.
TLS Fingerprinting JA3 JA3S dedikleri olay her tarayıcı ve uygulama TLS bağlantısı kurarken kendine özgü bir imza bırakıyor. DPI sistemi bu imzayı okuyarak bu Firefox bu Chrome bu OpenVPN istemcisi diyebiliyor.
Korunma yolu uTLS gibi kütüphaneler farklı tarayıcıların imzalarını taklit edebiliyor. V2Ray ve Xray bunu destekliyor.
HTTP2 Fingerprinting HTTP2 protokolü de parmak izi bırakıyor. Frame boyutları önceliklendirme ayarları gibi detaylardan anlıyolar.
6.2 Traffic Shaping ve Throttling
DPI sadece engellemek için kullanılmıyor bazen trafik yavaşlatılıyor. YouTube 1080p yerine 480P'ye zorlanabilir. Torrent trafiği yavaşlatılabilir. VPN trafiği yavaşlatılabilir tam engel yerine süründürürler. Bunu anlamanın yolu VPN açıkken ve kapalıyken hız testleri yapmak. Belirgin fark varsa throttling uygulanıyor olabilir.
6.3 QUIC ve HTTP3
Google'ın geliştirdiği QUIC protokolü UDP tabanlı ve şifreli. DPI için analiz etmesi daha zor. Ama bazı operatörler QUICi tamamen engelleyerek tarayıcıları TCP'ye zorluyor çakallar.
6.4 Timing Correlation Saldırıları
Eğer bir istihbarat servisi hem seni hem de bağlandığın sunucuyu izleyebiliyorsa zamanlama analiziyle trafiği eşleştirebilir. Bu tür saldırılardan korunmak çok zor. Tor bile buna karşı tam koruma sağlamıyor haberiniz olsun.
Bölüm 7 Ülke Bazlı DPI Uygulamaları
7.1 Çin Great Firewall:
Dünyanın en gelişmiş DPI sistemi adamlarda. Aktif sondaj yoğun kullanılıyor. VPN sunucuları otomatik tespit edilip engelleniyor. Yapay zeka ile trafik analizi yapıyorlar. Protokol beyaz listesi yaklaşımı var yani izin verilenler dışında her şey şüpheli.
7.2 İran
Çin'e benzer ama daha az sofistike. Throttling yani hız kesme yoğun kullanılıyor. Bazı dönemlerde internet tamamen kesiliyor. Ulusal intranet planları var kendi içlerine kapanacaklar.
7.3 Rusya TSPU
2019'da kurulan sistem. Tüm operatörlere DPI cihazı zorunluluğu getirdiler. Merkezi kontrol var. Henüz tam kapasite çalışmıyor ama gelişiyor.
7.4 Türkiye
Sandvine ve diğer ticari DPI çözümleri kullanılıyor. SNI filtreleme aktif en çok bu can yakıyor. VPN'ler çoğunlukla çalışıyor ama dönemsel yavaşlamalar yaşanıyor. DNS zehirleme de yaygın.
Bölüm 8 Gizlilik ve Güvenlik Önerileri
8.1 Katmanlı Koruma:
Tek bir çözüme güvenme. Katmanlı yaklaşım kullan.
Cihaz düzeyi disk şifreleme güvenli boot yapın.
Ağ düzeyi VPN veya proxy kullanın.
Uygulama düzeyi uçtan uca şifreli mesajlaşma Signal falan kullanın.
Davranış düzeyi opsec yani operasyonel güvenlik dikkatli olun.
8.2 VPN Seçerken Dikkat Edilecekler
Loglama politikası no log iddiasını bağımsız denetimle kanıtlayabilenleri seçin sallayanları değil.
Lokasyon 14 eyes ülkeleri dışında tercih etmeye çalışın.
Protokol desteği wireguard ve obfuscation desteği olsun.
Kill Switch bağlantı koparsa trafiği kesmeli yoksa kabak gibi ortada kalırsınız.
Ödeme kripto para veya nakit kartla ödeme seçeneği varsa on numara olur.
8.3 Operasyonel Güvenlik OPSEC
Farklı aktiviteler için farklı profiller kullanın. Tarayıcı fingerprintinge karşı önlem alın Firefox artı uBlock Origin artı arkenfox userjs yapın. Gerçek kimlikle ilişkilendirilebilecek bilgi paylaşmayın. Aynı cihazı hem anonim hem normal aktiviteler için kullanmayın.
Bölüm 9 Teknik Kaynaklar ve Araçlar
9.1 Test Araçları
OONI Probe internet sansürünü test etmek için ooni.org adresinden indirebilirsin. Hangi sitelerin engellendiğini DPI'ın ne kadar aktif olduğunu gösterir.
Wireshark ağ trafiğini analiz etmek için. Kendi trafiğini inceleyerek DPI'ın ne gördüğünü anlayabilirsin.
MTR ve traceroute paketlerin hangi yoldan gittiğini görmek için kullanılır.
9.2 Sunucu Kurulum Kaynakları
V2Ray GitHub'dan ''v2fly v2ray Core'' diye aratın.
Xray yine GitHub'dan ''xtls xray Core'' diye bakın.
Outline getoutline.org Google jigsaw projesi kurulumu çok kolay.
Algo VPN GitHub'da var wireguard tabanlı.
9.3 Topluluklar ve Güncel Bilgi
Ntc party net4people sansür atlatma tartışmaları dönüyor burada tavsiye ediyorum.
Reddit dumbclub Çin'den çıkış yöntemleri konuşuluyor.
Tor project blog yeni tehditler ve çözümler için.
Eff electronic frontier foundation dijital haklar için takip edin.
Bölüm 10 Sık Sorulan Sorular
Soru: VPN kullanmak yasak mı:
Cevap: Türkiye'de VPN kullanmak yasak değil. Ama VPN üzerinden yasa dışı içeriğe erişmek hala yasa dışı ona göre.
Soru: Operatörüm VPN kullandığımı görebilir mi:
Cevap: Evet normal VPN trafiği görülebilir. Ama obfuscation kullanırsan tespit etmesi çok zorlaşır.
Soru: ücretsiz VPN güvenli mi:
Cevap: Genelde hayır. Ürün için para vermiyorsan ürün sensin demektir. Ücretsiz VPN'ler trafiğini kaydedip satabilir satıyolar da zaten.
Soru: Tor yeterli mi:
Cevap: Çoğu amaç için yeterli. Ama torun bilinen relayleri engellenebilir. Bridge kullanman gerekebilir.
Soru: DPI beni bireysel olarak hedef alabilir mi:
Cevap: Teknik olarak evet ama çoğu DPI sistemi toplu filtreleme yapar. Bireysel hedefleme için istihbarat servisi düzeyinde kaynak gerekir o kadar da değil yani.
Sonuç:
DPI teknolojisi güçlü ama aşılmaz değil sonuçta. Önemli olan nasıl çalıştığını anlamak ve buna göre önlem almak. Her yeni engelleme tekniği yeni bir atlatma yöntemi doğuruyor. Bu kedi fare oyunu devam edecek kaçarı yok.
Unutmayın dijital gizlilik bir haktır. Bu araçları ve teknikleri kullanmak bu hakkını korumak için. Ama her zaman yasal sınırlar içinde kalın ve sorumlu davranın başınızı yakmayın.
Teknoloji sürekli gelişiyor. Bugün işe yarayan yöntem yarın işe yaramayabilir. Saygılar.
UYARI: Bu makale eğitim amaçlı hazırlanmıştır
Son düzenleyen: Moderatör:
