ISP'n VPN'siz gerçekten neyi görür

Internet servis sağlayıcın seninle internetin geri kalanı arasında oturur. Laptop'unun gönderdiği her paket onların ağından geçer. Hepsini görürler — ama HTTPS şimdi web'in çoğunu kaplarken "hepsini görmek" eskisinden daha nüanslı. İşte kesin versiyon.

ISP'in 2026'da görebildikleri

Yaptığın her DNS sorgusu

Tarayıcıya example.com yazdığında bilgisayarın önce DNS sunucusuna sorar "example.com için IP nedir?". VPN veya DNS-over-HTTPS olmadan, bu soru cleartext olarak ISP'nin DNS resolver'ına gider. ISP şunu görür: aradığın domain, tam zaman, sıklık.

ISP'ler genelde DNS sorgu loglarını saklar. Türkiye'de Türk Telekom, Turkcell ve Vodafone gibi büyük sağlayıcılar BTK'nın engelleme talimatlarını DNS seviyesinde uygular. 5651 sayılı kanun çerçevesinde sağlayıcılar belirli kayıtları tutmak zorunda.

Ziyaret ettiğin her domain — HTTPS üzerinden bile

HTTPS içeriği şifreler ama hedefi şifrelemez. TLS handshake Server Name Indication (SNI) alanını içerir — sunucuya hangi sertifikayı sunması gerektiğini söyleyen cleartext header. SNI gereklidir — birden fazla site shared hosting'te IP paylaşır.

O SNI kabloyu izleyen herkese görünür, ISP'n dahil. Tam HTTPS'e rağmen ISP hangi siteleri ziyaret ettiğini bilir, sadece o sitelerde ne yaptığını bilmez.

Bağlantı metadata'sı

ISP şunu görür: source ve destination IP, protokol ve port, timing, data hacmi. Bunlar birlikte detaylı bir resim oluşturmaya yeter. Streaming yaptığını, video call'da olduğunu, büyük dosya indirdiğini ve hangi servisleri kullandığını bilir.

VPN olmadan gerçekten ne private kalır

HTTPS oturumu içinde ISP göremez: tam URL path, sayfa içeriği, form gönderimi, cookies, sayfa içindeki API isteği. Yani banka sitesini ziyaret ettiğini bilir, hangi sayfasına girdiğini değil.

ISP'ler bu data ile gerçekten ne yapar

Reklamcılara satar

ABD'de FCC'nin broadband privacy kuralları 2017'de iptal edildi. ISP'ler browsing history'yi açık rıza olmadan reklamcılara satabilir. Verizon, AT&T ve Comcast'in hepsi bunu yapan targeted-advertising programları yürüttü.

İngiltere'de ISP'ler Investigatory Powers Act altında connection record'ları 12 ay tutmak zorunda. Türkiye'de 5651 sayılı kanun ve BTK düzenlemeleri sağlayıcılara belirli logging yükümlülükleri yükler.

Belirli trafiği throttle eder

ISP'ler bazı trafiği önceliklendirir. Tipik hedefler: BTorrent ve diğer P2P, peak hours'ta video streaming, bazen consumer planlardaki gaming trafiği, rakip servisler.

Devlet taleplerine uyar

Law enforcement ISP kayıt taleplerini rutindir. Subpoena, search warrant senin abonelik kayıtlarına, IP atama geçmişine, bağlantı loglarına ve DNS sorgu loglarına ISP üzerinden erişim sağlar.

VPN tabloyu nasıl değiştirir

VPN cihazın ile VPN sunucusu arasındaki her şeyi şifreler. ISP şunu görür: tek bir IP'ye giden şifreli tünel, tünel protokolü ve portu, ne kadar data gönderdiğin, tünelin ne kadar açık kaldığı.

Şunu görmez: hangi siteleri ziyaret ettin, DNS sorguları (tünel içinde olur), trafik içeriği, VPN sunucusundan sonra ulaştığın hedefler.

VPN kullandığını bilirler. VPN'inin ne kadar bandwidth tükettiğini bilirler. Onunla ne yaptığını bilmezler.

Bu surveillance ve traffic-shaping endişelerini ISP seviyesinde ortadan kaldırır. Güveni ISP'den VPN sağlayıcıya taşır — bu yüzden VPN sağlayıcının log politikası önemli. Her şeyi loglayan bir VPN, farklı yargı yetkisinde başka bir ISP.

Fexyn browsing history, DNS sorguları veya traffic content loglamaz.

VLESS Reality bir adım daha gider

Standart bir VPN protokol pateni ile ISP'ne "VPN kullanıyorsun" der. WireGuard paketleri WireGuard gibi görünür. OpenVPN paketleri OpenVPN gibi. ISP tunnel yaptığını bilir, ne tunnel ettiğini bilmese de.

VLESS Reality (Fexyn Stealth) farklı. microsoft.com gibi gerçek bir public site'a gerçek TLS 1.3 bağlantısı kurar. ISP için trafik microsoft.com'a HTTPS oturumu gibi görünür. Aynı SNI, gerçek CA'dan gerçek sertifika, makul bandwidth profili.

"VPN kullanmanın" kendisinin bayrak olduğu ülkelerde — Türkiye, İran, Rusya, Çin — bu önemli. ISP, legitimate public sitelere yapılan trafiği false-positive bloklamadan tunnel yaptığını söyleyemez. Türkiye'de bu, BTK'nın blocklayamayacağı bir şey çünkü microsoft.com'u bloklamak çok fazla collateral hasar.

VLESS Reality nasıl çalışır · DPI altında neden önemli

DNS-leak side door

DNS sorgularını tam olarak tunnel etmeyen VPN side channel açık bırakır. Tünel açıkken bile DNS sorguları OS-level shortcut'lar (Windows'ta Smart Multi-Homed Name Resolution, IPv6 fallback path'leri, IPv4-mapped queries) üzerinden ISP'ye sızabilir.

DNS leak test yap, hangi VPN kullandığına bakmaksızın. Sızıntı görünürse düzelt.

Fexyn OS seviyesinde NRPT kuralları ile tüm DNS'i tünelden zorlar artı per-protocol DNS yapılandırması. Kombinasyon ortak leak yollarını ortadan kaldırır.

İlgili okuma

Fexyn'i 7 gün ücretsiz dene. ISP seni online görmeye devam eder; ne yaptığını görmeyi durdurur.