← Tüm Yazılar
DERİN ANALİZINFO18 Temmuz 2026 · 18 dk okuma

Honeypot (Bal Küpü) Nedir? Türleri, Kurulumu ve Sahadan Gerçek Veriler

Honeypot (bal küpü) nedir, low/high interaction farkı, honeytoken, T-Pot ve Cowrie gibi açık kaynak araçlar, kurulum yol haritası ve Türkiye hukuki çerçevesi. Tellal honeypot ağının gerçek saha verileriyle kapsamlı rehber.

Analiz: Erdem Özyurt · SiberKale Tellal

İçindekiler 38
📘Referans rehber · Saha verisi dönemi: 11–18 Temmuz 2026 · OPSEC-filtreli

Honeypot (Türkçesiyle “bal küpü”), saldırganları çekmek için bilerek savunmasız gösterilen bir tuzak sistemdir. Meşru hiçbir kullanıcısı olmadığı için ona gelen her bağlantı tanımı gereği şüpheli kabul edilir. Bu tek cümle, honeypot’u diğer tüm güvenlik araçlarından ayıran şeyi özetler: yanlış pozitif üretmesi neredeyse imkânsızdır, çünkü orada olması gereken hiçbir “normal” trafik yoktur.

Bu rehber honeypot’un ne olduğunu, kırk yıllık tarihçesini, türlerini, 2026’nın açık kaynak araç ekosistemini, saldırganların bu tuzakları nasıl fark ettiğini, hukuki çerçevesini ve kendi honeypot’unuzu kurmanın yol haritasını kapsıyor. Anlatının omurgasını ansiklopedik bilgi oluşturuyor; ete kemiğe bürünmesini ise SiberKale Tellal’ın Türkiye odaklı honeypot ağından gelen gerçek gözlem verileri sağlıyor.

3,93M7 günlük dış-kaynaklı event
29.474Benzersiz saldırgan IP
52 snİlk saldırıya kadar geçen süre (sektör ölçümü)
~15 snYeni IP'nin "hayatta kalma süresi" (SANS ISC, canlı)
🎯 Bu rehber kimin için?

SOC analistleri için honeypot verisinin nasıl istihbarata dönüştüğünü, KOBİ ve kurum BT ekipleri için iç ağda erken uyarı kurmanın yolunu, meraklılar için ise alanın kavram haritasını içeriyor. Kurulum bölümü mimari seviyede bir yol haritasıdır; adım adım komut rehberi değildir.


Honeypot (Bal Küpü) Nedir?

Alanın standart tanımı Lance Spitzner’a aittir: honeypot, “değeri taranmasında, saldırıya uğramasında veya ele geçirilmesinde yatan bir güvenlik kaynağıdır” (Spitzner, Honeypots: Tracking Hackers, 2002). Bu tanımın inceliği şudur: honeypot’un değeri onu kullanmaktan değil, ona saldırılmasından doğar. Normal bir sunucu iş yaptığı için değerlidir; honeypot ise saldırıya uğradığı için değerlidir.

Tanımı tanım yapan üç unsur vardır:

  1. Meşru trafiği yoktur. Honeypot’a hiç kimsenin iş amacıyla bağlanmaması gerekir. Dolayısıyla ona gelen her paket, her giriş denemesi, her komut bir sinyaldir. Bu, gürültü/sinyal oranını tersine çevirir: geleneksel güvenlik araçları milyonlarca meşru olay içinde birkaç kötücül olayı arar, honeypot ise sadece kötücül olay görür.
  2. Etkileşim gözlemlenmek için tasarlanmıştır. Honeypot saldırganı durdurmaya değil, davranışını kaydetmeye odaklıdır. Hangi kullanıcı adlarını denedi, hangi komutları çalıştırdı, hangi zararlıyı indirdi. Bunların tamamı loglanır.
  3. Kontrollü ve izoledir. İyi kurulmuş bir honeypot, saldırganın onu gerçek sistemlere sıçrama tahtası olarak kullanmasına izin vermez.

Honeypot ne değildir?

Honeypot bir savunma değil, bir gözlem aracıdır. Aşağıdaki tablo onu komşu teknolojilerden ayırır:

AraçAna işleviYanlış pozitifTrafik beklentisi
HoneypotSaldırgan davranışını gözlemlemeNeredeyse sıfırSadece kötücül
IDS/IPSBilinen saldırı imzalarını tespit/engellemeYüksek olabilirKarışık (meşru + kötücül)
EDRUç noktada davranış analizi + müdahaleOrtaAğırlıkla meşru
SIEMLog toplama/korelasyonKural kalitesine bağlıTüm kurumsal trafik
FirewallPolitikaya göre trafik filtrelemeDüşükKarışık

Honeypot bunların yerini almaz; onları besler. Ürettiği yüksek güvenilirlikli göstergeler (IoC’ler) firewall kural setine, IDS imza listesine ve SIEM korelasyon mantığına akar.


Kısa Tarihçe: Cuckoo’s Egg’den Deception Technology’ye

Honeypot fikri, bir kavram olarak adlandırılmadan çok önce sahada uygulandı.

TarihOlayÖnemi
Ağustos 1986Clifford Stoll, Lawrence Berkeley Lab’de 75 sentlik muhasebe farkından bir izinsiz erişimi çözdüİlk belgelenmiş “saldırganı izleme” vakası
1989The Cuckoo’s Egg kitabı yayımlandıSDI temalı sahte dosyalarla kurulan tuzak, ilk honeypot benzeri uygulama sayılır
Ocak 1991Bill Cheswick’in “An Evening with Berferd” olayıBir saldırganın kontrollü ortamda bilinçli gözlemi
1999Honeynet Project kurulduHoneypot araştırmasını kurumsallaştıran topluluk
Ekim 2001Tom Liston, Code Red solucanına tepki olarak LaBrea tarpit’i yazdı”Yavaşlatma” temelli savunmanın doğuşu
Eylül 2002Spitzner’ın Honeypots: Tracking Hackers kitabıAlanın standart tanımı ve taksonomisi
Aralık 2002Niels Provos honeyd’i yayınladıSanal honeypot ağlarını tek makinede kurma
Temmuz 2003Spitzner “Honeytokens: The Other Honeypot” makalesiSunucu değil veri temelli tuzak kavramı
2014–2015Kippo’dan Cowrie fork’uBugün en yaygın SSH honeypot’unun doğuşu
2015Thinkst Canarytokens.org yayına alındıHoneytoken’ı herkese ücretsiz açtı
2024–2026LLM tabanlı honeypot’lar (Beelzebub, Galah) T-Pot’a girdiYapay zekâyla üretilen sahte sistem cevapları

Bu kırk yıllık yayın, tek kişilik dedektiflik işinden (Stoll) endüstriyel deception platformlarına ve yapay zekâ destekli tuzaklara uzanan bir olgunlaşma çizgisidir.


Etkileşim Seviyeleri: Low, Medium, High ve Tarpit

Honeypot’ları sınıflandırmanın en temel ekseni, saldırgana ne kadar oynama alanı verdikleridir. Bu taksonominin kaynağı Spitzner’ın 2002 kitabıdır (Spitzner sonradan 2003’te sınıflandırmayı “niyet” ekseninde sadeleştirse de, üçlü şema literatürde bugün de kullanılır).

SeviyeÖrnek yazılımYakaladığıRiskBakım
Low interactionHoneyd, sshesameBağlantı denemesi, port taramasıÇok düşükDüşük
Medium interactionCowrie, DionaeaKomut dizisi, credential, indirilen zararlıDüşük-ortaOrta
High interactionGerçek işletim sistemli izole VMTam saldırı zinciri, 0-day davranışıYüksekYüksek
TarpitLaBreaSaldırgan zamanı (yavaşlatma)DüşükDüşük

Düşük etkileşim honeypot’ları yalnızca bir servisin varlığını taklit eder. Örneğin sshesame gelen SSH komutlarını kabul edip loglar ama gerçekte hiçbir şey çalıştırmaz. Ucuzdur, risksizdir, ama saldırgan derinlemesine bir şey yapamadığı için topladığı veri sığdır.

Orta etkileşim honeypot’ları sahte ama inandırıcı bir ortam sunar. Cowrie, saldırgana gerçekçi bir sahte dosya sistemi ve komut çıktısı vererek oturumu uzatır; indirilen zararlıyı yakalar ama gerçek bir kabuk vermez. Tellal ağının SSH/Telnet gözlemlerinin çoğu bu katmandan gelir.

Yüksek etkileşim honeypot’ları gerçek bir işletim sistemi çalıştırır. En zengin veriyi verirler (saldırganın gerçek davranışını, hatta bilinmeyen exploit’leri görürsünüz) ama en tehlikelileri de bunlardır: yanlış izole edilirse saldırganın sıçrama tahtasına dönüşürler.

Tarpit ayrı bir felsefedir: saldırganı yakalamak değil yavaşlatmaktır. LaBrea, kullanılmayan IP adreslerini sahiplenip gelen bağlantıları askıda tutarak tarayıcının zamanını çalar.

⚠️ Yüksek etkileşimin bedeli

High-interaction honeypot gerçek bir sistem olduğu için gerçek bir sorumluluktur. Egress (dışarı çıkan) trafik sıkı kısıtlanmazsa, ele geçirilen honeypot üçüncü taraflara saldırmak için kullanılabilir ve bu sizin hukuki sorumluluğunuza girer. Başlangıç için düşük/orta etkileşim neredeyse her zaman doğru tercihtir.


Honeypot Türleri ve Taksonomi

Etkileşim seviyesi bir eksen; ne taklit ettikleri ise ayrı bir eksendir.

Sunucu honeypot’ları

En yaygın türdür: bir servis (SSH, web, veritabanı, SMB, ICS) taklit eder ve o servise gelen saldırıları toplar. Tellal ağındaki sensörlerin çoğu bu sınıftadır.

İstemci honeypot’ları (honeyclient)

Bunlar tersine çalışır: sunucu beklemek yerine, kötücül olabilecek sitelere/dosyalara bilerek gider ve saldırıya uğrayıp uğramadığını gözlemler. Drive-by-download ve zararlı barındıran sunucuları avlamak için kullanılır.

Honeytoken ve honeycredential

Honeytoken bir sistem değil, bir veri parçasıdır: sahte bir veritabanı kaydı, sahte bir belge, sahte bir API anahtarı, sahte bir kullanıcı hesabı. Meşru hiçbir kullanımı olmadığı için ona her erişim şüphelidir. Terimi 2003’te Augusto Paes de Barros ortaya attı, Spitzner aynı yıl “Honeytokens: The Other Honeypot” makalesiyle popülerleştirdi. Bugün Thinkst’in ücretsiz ve açık kaynak Canarytokens servisi bu fikri herkese açar; 2025-2026’da SAML kimlik sağlayıcı token’ı ve yapay zekâ ajanlarına yönelik MCP sunucu token’ı gibi modern varyantlar ekledi.

🔍 Sahadan honeytoken örneği: 345gs5662d34

Tellal Cowrie sensörlerinde bu tuhaf credential 7 günlük pencerede yine top 3 giriş denemesi arasında (307 deneme). Bu, belirli bir cihaz ailesinin fabrika şifresini deneyen otomatik bir botnet imzasıdır; nisan ayındaki analizde kökenini inceledik. Pratik öneri: Bu dizeyi kendi SIEM'inizde bir arama kuralı olarak tanımlayın. İç ağınızdaki herhangi bir sistemde bu credential denenirse, o kaynak büyük olasılıkla ele geçirilmiştir.

Honeynet ve dağıtık sensör ağları

Tek honeypot yerine, farklı servisleri taklit eden çok sayıda sensörün ağıdır. Merkezî bir toplama katmanına log akıtırlar. Tellal’ın gözlem altyapısı bu modeldedir: farklı protokolleri dinleyen ayrı sensörler, tek bir analiz katmanını besler.

Deception technology: honeypot’un kurumsal evrimi

2010’ların sonunda honeypot fikri, iç ağa serpiştirilen sahte varlıklarla (decoy) saldırganı erken yakalamayı hedefleyen ticari “deception technology” pazarına dönüştü. Bu kategorinin bugünkü durumunu ilerideki bölümde ele alıyoruz.


Açık Kaynak Honeypot Ekosistemi (2026)

Honeypot kurmak isteyen için 2026’da zengin ama eşit olmayan bir açık kaynak dünyası var. Aşağıdaki tablo, projelerin bakım durumunu 18 Temmuz 2026 itibarıyla GitHub aktivitesine göre özetliyor. Kritik nokta: bir aracın popüler olması, bakımlı olduğu anlamına gelmiyor.

AraçTaklit ettiğiBakım durumuSon sürüm
CowrieSSH / TelnetAktif (haftalık tempo)v3.0.6 · Tem 2026
OpenCanaryÇoklu servisAktifv0.9.8 · May 2026
MailoneySMTPAktif (2025’te canlandı)v2.1.0 · Ara 2025
ElasticPotElasticsearchAktif (yeni depoda)
ConPotICS / SCADAYarı uykuda0.6.0 · 2018
Tanner / SNAREWebYarı uykuda2018–2020
DionaeaSMB / FTP / MySQLFiilen terk edilmiş0.11.0 · 2020
HeraldingCredential (çok protokol)Fiilen terk edilmiş1.0.7 · 2020
HoneydSanal ağlarFiilen terk edilmiş2007
⚠️ "T-Pot içindeyse bakımlıdır" yanılgısı

T-Pot platformu, Dionaea ve Heralding gibi fiilen terk edilmiş honeypot'ları üretimde çalıştırmaya devam eder; nadir yamalar orijinal geliştiricilerden değil, T-Pot bakımcısından gelir. Bir aracın büyük bir dağıtımın parçası olması, üstünde aktif geliştirme yapıldığını garanti etmez. Kritik ortamlarda araç seçerken son commit tarihine bakın.

T-Pot: hepsi bir arada platform

Deutsche Telekom Security’nin geliştirdiği T-Pot, 2015’ten beri en yaygın honeypot dağıtım platformudur. Onlarca honeypot sensörünü, Elastic Stack analiz katmanını ve Suricata ağ izlemesini tek bir Docker tabanlı sistemde birleştirir. En son etiketli sürümü 24.04.1’dir (Aralık 2024) ve içinde 30 honeypot barındırır; klasik sensörlerin tamamı (Cowrie, Dionaea, ConPot, Heralding, Mailoney, ElasticPot, Honeytrap) hâlâ dahildir. 24.04 sürümü, projenin tarihindeki en büyük değişikliklerden birini getirdi: ilk LLM tabanlı honeypot’lar (SSH için Beelzebub, HTTP için Galah) bu sürümle geldi.

T-Pot’un dağıtık mimarisi Hive/Sensor olarak adlandırılır: Hive tam kurulumdur (analiz katmanı dahil), Sensor ise yalnızca honeypot çalıştırıp loglarını şifreli bir kanaldan Hive’a iletir. Tellal’ın gözlem altyapısı bu ailenin araçlarına dayanır.

Hangi senaryoya hangi sensör?

  • Genel internet gürültüsünü ölçmek: Cowrie (SSH/Telnet) + Dionaea (SMB/veritabanı) çekirdek ikilisidir.
  • İç ağda erken uyarı: OpenCanary hafif, düşük bakımlı ve tam da bunun için tasarlanmıştır.
  • Endüstriyel sistem (OT) tehdidi: ConPot, PLC/SCADA protokollerini taklit eder.
  • E-posta altyapısı tehdidi: Mailoney açık-relay taramalarını yakalar.

Honeypot Ne Yakalar? Tellal Sahasından Bir Hafta

Teori burada sahaya iniyor. Aşağıdaki rakamlar Tellal honeypot ağının 11–18 Temmuz 2026 penceresinde topladığı, OPSEC filtresinden geçirilmiş gözlemlerdir.

📊Gözlem penceresi: 11–18 Temmuz 2026 · İç ağ ve altyapı adresleri filtrelenmiştir
3,93MToplam dış-kaynaklı event
2,88MPasif fingerprint (P0f) kaydı
161KCowrie SSH/Telnet olayı
%56Türkiye kaynaklı trafik (tek dalga şişkin)

Hangi sensörün ne kadar olay gördüğü, honeypot’un “ne yakaladığı” sorusunun en somut cevabıdır:

Sensör7 günlük eventEn çok hedeflenen port
P0f (pasif fingerprint)2.876.704443, 80, 22
Suricata (ağ izleme)813.81180, 443, 22
Cowrie (SSH/Telnet)161.78322
Fatt (pcap fingerprint)46.53122, 80, 443
Mailoney (SMTP)11.47325
Tanner/SNARE (web)10.14480
Dionaea6.1013306 (tamamı MySQL)

SSH/Telnet: brute-force’un sonu gelmiyor

Cowrie’nin gördüğü en yaygın giriş denemeleri, saldırganların hâlâ en basit şifreleri denediğini gösteriyor. Denenen kullanıcı adı/şifre çiftlerinin başında admin/admin (557), support/support (531) ve fabrika şifresi 345gs5662d34 (307) geliyor. Kullanıcı adı tarafında root tek başına 8.764 denemeyle domine ediyor. Bu davranışın ele geçirme sonrası nereye evrildiğini, kalıcılık ve profilleme playbook’unu mdrfckr verim katsayısı analizinde ve Dota botnet profilinde detaylandırdık.

SMB: 2017’nin hayaleti hâlâ dolaşıyor

Suricata’nın yakaladığı imzalar arasında DoublePulsar/EternalBlue (2017’nin MS17-010 açığı) kalıntıları düzenli olarak beliriyor. Dokuz yıllık bir SMB açığının hâlâ ilk sıralarda olması, honeypot verisinin en çarpıcı bulgularından biri. Bu, eski açıkların genel baskınlığının bir parçası: bir feed sağlayıcısının 2026 ölçümünde, 2015 öncesi CVE’ler 2023-2024 CVE’lerinden dört kat fazla exploit trafiği çekiyor. Yani saldırganlar yeni açıkların peşinde koşmak yerine, hâlâ yamalanmamış eski açıkları taramaya devam ediyor. Bu dalganın Türkiye kesitini DoublePulsar dört kat artış analizinde ve TR Radar kesitinde işledik.

IoT ve DVR: Mirai türevleri ve CVE-2024-3721

Suricata’nın bu haftaki imzaları arasında TBK DVR-4104/4216 komut enjeksiyonu (CVE-2024-3721) 1.105 alertle öne çıkıyor. Bu, ucuz IoT/DVR cihazlarını Mirai türevi botnet’lere katmayı hedefleyen sürekli bir kampanyanın parçası. Cihaz tarafı analizini TBK DVR IoT zararlı yazısında ele aldık.

ICS/SCADA ve credential istihbaratı

Endüstriyel protokollere yönelik tarama, ConPot gibi sensörlerin özel değeridir; bu dalganın 14 kat sıçradığı dönemi ICS/SCADA analizinde belgeledik. Credential tarafında ise saldırganların artık genel şifre değil, uygulamaya özel kullanıcı adları (odoo, frappe ve benzeri) denediği yeni bir çağa geçtik; bunu uygulama-spesifik credential yazısında inceledik.

Bir haftanın kampanya özeti

GözlemSensörHacimAyrıntı
SSH brute-forceCowrie161K olayroot/admin + fabrika şifreleri
MySQL taramaDionaea6.101 (tamamı 3306)Tek portta yoğunlaşmış dalga
TBK DVR exploitSuricata1.105 alertCVE-2024-3721
SMTP relay avıMailoney11K olayAçık-relay taraması
Tek ASN floodP0f + Suricata2,18M olay5.269 IP, 18 Temmuz’da tek günde

Son satır, honeypot’un bir “olay” yakalamasının nasıl göründüğünü canlı gösteriyor: 18 Temmuz’da tek bir hosting sağlayıcısının ASN’inden, 5.269 farklı IP’yle, 443 ve 80 portlarını neredeyse eşit hedefleyen koordineli bir web tarama dalgası geldi ve o günün event sayısını on kata çıkardı. Bu tür ani sıçramalar, honeypot verisinin ham istatistik yorumunu neden dikkat gerektirdiğinin de örneğidir: o haftanın “%56 Türkiye” rakamı büyük ölçüde bu tek dalganın eseridir ve tek başına “Türkiye’den saldırı artıyor” diye okunamaz.

🔍 Saldırı altyapısı ucuz hosting'e taşınıyor

Bu haftanın en çok event üreten ASN'lerinin çoğu Türkiye merkezli hosting/VDS operatörleri. Bu, feed'imizdeki yeni IoC'lerin belirgin bir bölümünün TR kaynaklı olması bulgusuyla tutarlı. Önemli olan şudur: buradaki "Türkiye kaynaklı" ifadesi Türk kullanıcıları değil, saldırganların kiraladığı Türkiye'deki sunucuları işaret eder. Saldırgan altyapısı giderek ucuz bulut/hosting kaynaklarına kayıyor.


Saldırganlar Honeypot’u Nasıl Fark Eder? (Anti-Honeypot)

Honeypot’un en büyük zaafı, saldırganın onu honeypot olarak tanımasıdır. Fark edilen bir tuzak değersizdir; saldırgan ya kaçar ya da bilerek yanıltıcı veri bırakır.

Teknik parmak izleri

Açık kaynak honeypot’lar varsayılan ayarlarıyla tanınabilir imzalar taşır. Örneğin Cowrie, hiç değiştirilmezse svr04 hostname’ini, belirli bir sahte kernel sürümünü ve tanınan bir SSH banner’ını sunar. Bu varsayılanlar tek başına ele veren parmak izleridir.

Akademik olarak bu, çözülmüş bir problemdir: Vetterl ve Clayton’ın “Bitter Harvest” çalışması (USENIX WOOT 2018), Cowrie/Kippo gibi honeypot’ları protokol katmanındaki ince tutarsızlıklardan neredeyse hatasız tespit etti. İmza kütüphane seviyesinde (Cowrie’nin dayandığı Python ağ kütüphanesinde) olduğu için sadece banner değiştirmek korumaz.

Davranışsal testler ve tarama servisleri

Saldırganlar honeypot’u anlamak için davranışsal testler yapar. Shodan’ın “Honeyscore” yeteneği (artık bağımsız servis değil, tarayıcıya gömülü) internet çapında honeypot’ları etiketler. Sahada gözlemlenen tipik testler şunlardır: kurulan her paketin sahte biçimde “başarılı” görünüp görünmediği, apaçık sahte kimlik bilgilerinin bile kabul edilip edilmediği ve SSH şifreleme algoritmalarının sıralanması.

🔍 Sahadan vaka: T-Pot altyapısını arayan saldırgan

Bir saldırgan sadece exploit denemekle kalmaz, karşısındakinin gerçek mi tuzak mı olduğunu da yoklar. Bu davranışın canlı bir örneğini, honeypot altyapısını bilinçli olarak parmak izlemeye çalışan bir saldırganı "honeypot bilen saldırgan" analizinde belgeledik. Bu, honeypot operatörünün sürekli sertleştirme yapması gerektiğinin en net kanıtıdır.

Operatörler için sertleştirme kontrol listesi

  • Varsayılan hostname, banner ve kernel dizesini değiştirin.
  • Özel bir sahte dosya sistemi ve kullanıcı veritabanı oluşturun.
  • Ek komut desteği ekleyerek sahte kabuğu daha inandırıcı yapın.
  • Bilinen mass-scanner IP’lerini engelleyin.
  • Ancak unutmayın: kütüphane seviyesi imza kalıcı olduğu için tam koruma yüksek etkileşimli çözümler gerektirir.

Honeypot Verisinden Tehdit İstihbaratına

Ham honeypot olayı henüz istihbarat değildir. Değere dönüşmesi bir boru hattından geçer:

  1. Toplama: Sensörler ham olayı merkezî katmana akıtır.
  2. Zenginleştirme: Her IP için ASN, ülke, itibar skoru ve geçmiş davranış eklenir.
  3. Skorlama: Olaylar tehdit skoruna göre ağırlıklandırılır.
  4. Yaşlandırma: Eski göstergeler zamanla düşürülür; bir IP artık saldırmıyorsa feed’de sonsuza dek kalmamalıdır.

Yanlış pozitif yönetimi

Honeypot verisinin en büyük tehlikesi, meşru tarama servislerini (Shodan, Censys ve benzeri güvenlik araştırma tarayıcıları) saldırgan sanmaktır. Tellal metodolojisi bunları ayıklar. İkinci savunma hattı çift-sensör doğrulamasıdır: bir imza yalnızca tek bir sensörde görülüyorsa şüpheyle karşılanır; örneğin bir SMB exploit imzası hem Suricata’da hem Dionaea’nın el sıkışmasında görülüyorsa güven artar.

Feed formatları ve paylaşım

Rafine göstergeler farklı formatlarda paylaşılabilir olmalı: JSON, CSV, ve endüstri standardı STIX 2.1. Tellal’ın Feed Hub’ı ve API dokümantasyonu bu çıktıları CC0 lisansıyla açar.

📐 Tellal metodolojisi: OPSEC filtre zinciri

Her gösterge yayına çıkmadan önce RFC1918/CGNAT özel adresler, bilinen tarayıcı servisleri ve operasyonel altyapı adresleri ayıklanır. Bu, hem yanlış pozitifi düşürür hem de honeypot ağının kendi topolojisini gizli tutar. Yayınlanan veri her zaman OPSEC-filtrelidir.

Honeypot verisi tek başına yeterli mi?

Küresel ölçekte honeypot verisiyle beslenen büyük feed’lerin ölçeği, bu modelin gücünü gösterir. Karşılaştırma için birkaç referans:

FeedModelÖlçek
GreyNoiseTicari + ücretsiz~5.000 sensör, günde ~500M oturum
AbuseIPDBKitle kaynaklıSon 30 günde ~35,9M rapor
SANS ISC DShieldGönüllü, ücretsizGünde ~14M log
ShadowserverKâr amacı gütmeyenGünde ~3-4 milyar olay

Tellal bu ölçeklerin yanında niş bir oyuncudur ama farklı bir değer sunar: Türkiye odaklı, yerel hosting ekosistemine ve TR hedefli kampanyalara duyarlı, rafine bir kesit.


Hukuki ve Etik Boyut: Türkiye Bağlamı

⚖️ Bu bölüm hukuki tavsiye değildir

Aşağıdakiler yürürlükteki mevzuat metinlerinden derlenen genel bir çerçevedir. Honeypot işletmeyi planlıyorsanız somut durumunuz için bir hukuk uzmanına danışın.

KVKK ve IP adresi. Türkiye’de IP adresi kişisel veri sayılır; KVKK’nın rehber yayınları bunu açık örnek olarak verir ve Kurul kararlarında IP/çerez işlemeleri idari para cezalarına konu olmuştur. Bir honeypot işletmecisi saldırgan IP’lerini kaydederken en yakın hukuki dayanağı 6698 sayılı Kanunun 5/2-f maddesindeki meşru menfaat hükmüdür. Kanunun “önleyici ve istihbari faaliyet” istisnası yalnızca kanunla yetkilendirilmiş kamu kurumları içindir; özel işletmeci buna dayanamaz.

TCK bilişim suçları (5237). Honeypot işletmecisini ilgilendiren iki nokta öne çıkar. Birincisi, kendi sisteminize gelen trafiği kaydetmek ile üçüncü tarafların iletişimini izlemek (m.243/4) farklı şeylerdir; ilki honeypot’un doğal işidir. İkincisi, “münhasıran suç işlemek için üretilmiş” yasak cihaz/program hükmü (m.245/A) savunma amaçlı bir honeypot’u kapsamına almaz. Saldırgan IP’sinin paylaşımında ise verinin kişisel veri boyutu (m.135-136) meşru menfaat dengesiyle birlikte değerlendirilmelidir.

5651 sayılı Kanun. Trafik bilgisi tanımı IP, port, zaman ve hizmet türünü içerir; erişim/yer sağlayıcılara saklama yükümlülükleri getirir. Tipik bir bireysel honeypot işletmecisi bu tanımlara girmez, ama kayıt pratiği için iyi bir referans çerçevedir.

7545 sayılı Siber Güvenlik Kanunu (2025). Türkiye’nin en güncel ve honeypot/tehdit istihbaratı işletmecisini doğrudan ilgilendiren düzenlemesidir. Bilişim sistemleriyle hizmet sunan ve veri işleyen herkese, tespit ettikleri zafiyet ve siber olayları gecikmeksizin ilgili Başkanlığa bildirme yükümlülüğü getirir; kanun “siber tehdit istihbaratı” kavramını da tanımlar.

Sorumlu paylaşım. Türkiye’de zararlı IP/olay ihbarları, USOM hizmetlerini devralan Cumhurbaşkanlığı Siber Güvenlik Başkanlığı kanallarına yapılır. Bir honeypot işleten kişi için altın kural nettir: gözlemle, hack-back yapma. Saldırıya karşı saldırı (aktif misilleme) hukuka aykırıdır ve honeypot’un tüm hukuki meşruiyetini yok eder.


Kendi Honeypot’unu Kurmak: Yüksek Seviye Yol Haritası

Bu bölüm bir komut rehberi değil, karar rehberidir. Doğru soruları doğru sırayla sormak, hangi honeypot’u kuracağınızdan daha önemlidir.

Önce karar: neden kuruyorsunuz?

İki amaç birbirinden çok farklı kurulum gerektirir:

  • Araştırma honeypot’u: İnternetin genel tehdit gürültüsünü ölçmek istiyorsanız, internete açık bir sensör (Cowrie + Dionaea, ya da T-Pot) kurarsınız. Amaç veri toplamaktır.
  • İç ağ erken uyarısı: Kurumunuzun içine sızan bir saldırganı yakalamak istiyorsanız, iç ağa yerleştirilmiş düşük etkileşimli bir canary (OpenCanary) kurarsınız. Amaç alarm üretmektir; iç ağdaki bir honeypot’a gelen her bağlantı gerçek bir tehlike işaretidir.

Minimum güvenli mimari

Genel prensipler (hangi honeypot’u seçerseniz seçin):

  1. İzole edin. Honeypot ayrı bir ağ segmentinde, tercihen ayrı bir VPS’te olmalı. Gerçek sistemlerinizle aynı ağda asla bulunmamalı.
  2. Egress’i kısıtlayın. Honeypot’tan dışarı çıkan trafiği sıkıca sınırlayın; ele geçirilse bile başkasına saldıramamalı.
  3. Yönetim düzlemini ayırın. Honeypot’u yönettiğiniz kanal (SSH, panel) saldırgana açık yüzeyden tamamen ayrı olmalı.
🔒 OPSEC: kendi topolojinizi ifşa etmeyin

Honeypot verinizi yayınlarken kendi altyapınızı (sensör sayısı, IP'ler, lokasyonlar, yönetim kanalları) asla açık etmeyin. Bir saldırgan honeypot'unuzun sınırlarını öğrenirse, onu tanıyıp kaçınır. Tellal ilkesi: kimlik ve uzmanlık paylaşılır, altyapı asla.

KOBİ ve MikroTik perspektifi

Küçük işletmeler için pahalı bir araştırma honeypot’u gereksizdir. Çok daha değerli olan, iç ağa yerleştirilen düşük etkileşimli birkaç canary’dir. Router seviyesinde de basit honeytoken’lar kurulabilir: örneğin MikroTik’e yönelik API brute-force kampanyalarını (bunu MikroTik API brute analizinde inceledik) erken görmek için, kullanılmayan bir yönetim portunu izlemek bile bir alarm katmanı sağlar.

Gerçekçi maliyet

Honeypot ücretsiz yazılım olsa da bedelsiz değildir: log hacmi (bu rehberdeki bir haftalık pencere ~4 milyon olaydır), disk, sürekli bakım ve en önemlisi alarm yorgunluğu. İç ağ canary’si dışında, honeypot verisi filtrelenmeden bakılırsa boğucu olur.

1️⃣ Amacı netleştir

Araştırma mı, iç ağ erken uyarısı mı? Bu karar kurulumun geri kalanını belirler.

2️⃣ Düşük etkileşimle başla

Cowrie veya OpenCanary. Yüksek etkileşim, izolasyonu tam oturmadan asla.

3️⃣ İzole et ve egress'i kıs

Ayrı segment/VPS, sınırlı dışarı trafik, ayrı yönetim düzlemi.

4️⃣ Varsayılanları değiştir

Hostname, banner, kernel dizesi, sahte dosya sistemi. Varsayılan = tanınabilir.

5️⃣ Veriyi filtrele

Tarama servislerini ve özel adresleri ayıkla; yoksa alarm yorgunluğu boğar.


Geleceğe Bakış: Yapay Zekâ Destekli Deception

Honeypot’un bir sonraki evrimi, sahte sistem cevaplarını yapay zekâyla üretmek. LLM tabanlı honeypot’lar (SSH için Beelzebub, HTTP için Galah) saldırgana statik senaryolar yerine bağlama duyarlı, gerçek zamanlı cevaplar üreterek oturumu uzatıyor. Akademik çalışmalar, chain-of-thought yönlendirmesiyle Cowrie’deki ortalama oturum uzunluğunun 2,96’dan 5,83 komuta çıktığını ölçtü.

Ama madalyonun iki yüzü var. Aynı yapay zekâ, honeypot’ları tespit etmek için de kullanılıyor; ve LLM honeypot’ları henüz production için olgun değil. Alanın 2025 tarihli sistematik derlemesi (SoK) şu gerçekleri saydı: trafiğin yüzde 99’undan fazlası otomatik tarama olduğundan pahalı LLM etkileşimi nadiren tetiklenir; fingerprinting, LLM gecikmesi ve “Denial-of-Wallet” (API maliyetini şişirerek çökertme) temel engellerdir. Önerilen çözüm hibrit mimaridir: ucuz statik filtre önde, pahalı LLM yalnızca ilginç durumlarda arkada.

🤖 Saldırganlar AI altyapısını şimdiden hedefliyor

Tellal Cowrie sensörlerinde claude, odoo, frappe gibi uygulama-spesifik kullanıcı adları deneniyor; bunu credential çağı analizinde belgeledik. Saldırganlar artık genel şifre denemekten uygulamaya özel hedeflemeye geçiyor, ve yapay zekâ araçlarının barındığı sunucular yeni bir hedef sınıfı oluşturuyor. Deception'ın geleceği de saldırının geleceği de aynı yöne bakıyor.

Kurumsal tarafta ise honeypot fikri “deception technology” pazarına dönüştü. Attivo Networks (SentinelOne tarafından satın alındı) ve Illusive (Proofpoint tarafından satın alındı) gibi konsolidasyonlar sonrası, Gartner deception’ı artık bağımsız bir kategori değil, daha geniş “preemptive (önleyici) siber güvenlik” şemsiyesinin bir çekirdek yeteneği olarak konumluyor. MITRE tarafında ise deception savunmasına adanmış referans çerçeve MITRE Engage’dir (Shield’in halefi); geniş savunma taksonomisi MITRE D3FEND ise “Deceive” taktiğiyle onu tamamlar.


Sık Sorulan Sorular

Honeypot yasal mı? Kendi sisteminize gelen trafiği kaydetmek meşrudur; hukuki dayanak KVKK’daki meşru menfaattir. Sınır, aktif misilleme (hack-back) yapmamak ve üçüncü tarafların iletişimini izlememektir.

Honeypot ile IDS/IPS farkı nedir? IDS bilinen saldırı imzalarını tüm trafik içinde arar ve yanlış pozitif üretebilir. Honeypot’ta meşru trafik olmadığı için her olay bir sinyaldir; yanlış pozitif neredeyse sıfırdır. Honeypot IDS’in yerini almaz, onu besler.

Honeypot kurmak saldırı çeker mi, riskli midir? Düşük ve orta etkileşimli honeypot’lar düşük risklidir. Asıl risk yüksek etkileşimli, kötü izole edilmiş kurulumlardadır: ele geçirilirse başkasına saldırmak için kullanılabilir. Bu yüzden egress kısıtlaması ve izolasyon şarttır.

Hangi honeypot ile başlamalıyım? İnternet gürültüsünü ölçmek için Cowrie, iç ağ erken uyarısı için OpenCanary. Hepsini bir arada denemek isterseniz T-Pot.

Honeypot verisi ne kadar güvenilir? Doğru filtrelendiğinde çok güvenilirdir, çünkü yanlış pozitif oranı düşüktür. Ancak tarama servisleri ve ani tek-kaynak dalgaları için ham istatistik dikkatli okunmalıdır; bu rehberdeki “%56 Türkiye” örneği tek bir dalganın istatistiği nasıl şişirdiğini gösterir.

Bal küpü ile honeypot aynı şey mi? Evet. “Bal küpü”, honeypot’un Türkçe karşılığıdır.

Honeypot kurmak için kaç sunucu gerekir? Başlamak için tek bir izole VPS yeterlidir. Ölçek, amaca göre büyür; ama iç ağ canary’si için mevcut altyapınıza eklenen hafif bir servis bile iş görür.


Terimler Sözlüğü

TerimKısa tanım
Honeypot (bal küpü)Saldırganı çekip gözlemleyen tuzak sistem
HoneynetBirden çok honeypot’tan oluşan gözlem ağı
HoneytokenSahte veri parçası; ona her erişim şüphelidir
TarpitSaldırganı yavaşlatarak zamanını çalan honeypot
DeceptionSahte varlıklarla saldırganı yanıltan kurumsal savunma
Canaryİç ağa yerleştirilen, tetiklendiğinde alarm veren düşük etkileşimli tuzak
IoCIndicator of Compromise; ele geçirme göstergesi (IP, hash, domain)
TTPTactics, Techniques, Procedures; saldırgan davranış kalıbı

Sonuç

Honeypot, güvenlik dünyasının en zarif fikirlerinden biridir: saldırganı durdurmaya çalışmak yerine, onu izlemek için ortaya bir tuzak koymak. Kırk yılda tek kişilik dedektiflikten yapay zekâ destekli endüstriyel deception’a evrildi, ama temel önermesi değişmedi: meşru kullanımı olmayan bir kaynağa gelen her temas, size bir şey öğretir.

Bu rehberdeki bir haftalık saha verisi, o öğretinin somut karşılığıdır: 3,93 milyon olay, 29 bin benzersiz IP, dokuz yıllık SMB açıklarının hâlâ ilk sıralarda oluşu, saldırı altyapısının ucuz hosting’e kayışı. Tellal’ın Türkiye odaklı honeypot ağı tam da bunu yapıyor: küresel gürültüyü yerel bir mercekten süzüp, savunmayı akıllandıran rafine bir istihbarata çeviriyor.

Kendi honeypot’unuzu kurmak istiyorsanız, doğru soruyla başlayın: neden? Gerisi o cevabın üzerine oturur.

IP’nizin honeypot ağlarında kaydı olup olmadığını, açık portlarınızı ve blocklist durumunuzu ücretsiz IP tarama aracıyla saniyeler içinde kontrol edebilirsiniz. Aktif tarama yapılmaz.


Metodoloji ve Lisans

Bu rehberdeki saha rakamları, SiberKale Tellal honeypot ağının 11–18 Temmuz 2026 penceresinde topladığı, OPSEC filtresinden geçirilmiş agregat gözlemlerdir. Tarihçe, taksonomi, açık kaynak araç durumu, hukuki çerçeve ve pazar bilgileri bağımsız kaynaklardan derlenmiş ve çapraz doğrulanmıştır; başlıca kaynaklar arasında Spitzner’ın Honeypots: Tracking Hackers (2002) çalışması, USENIX WOOT 2018 “Bitter Harvest” bildirisi, T-Pot resmî deposu, GreyNoise/AbuseIPDB/DShield/Shadowserver yayınları ve KVKK/TCK/5651/7545 mevzuat metinleri yer alır.

Saha verilerinde SiberKale altyapı adresleri, RFC1918/CGNAT özel bloklar ve bilinen tarayıcı servisleri (Shodan, Censys ve benzeri) filtrelenmiştir. Honeypot ağ topolojisi (sensör sayısı, konum, IP’ler) OPSEC gereği paylaşılmaz.

Lisans: CC BY 4.0 · Atıf yapılarak serbestçe kullanılabilir.

SiberKale Tellal · Threat Intelligence Feed · tellal.net