CGNAT Nedir? IP Adresi Tespitinde Önemi ve Bilirkişi Analizi Rehberi

CGNAT (Carrier-Grade NAT), modern GSM operatörlerinin kıt IPv4 adreslerini birden fazla aboneye paylaştırmak için kullandığı ağ teknolojisidir. Bu paylaşım, siber suç soruşturmalarında “şu IP adresine bağlanan kişi kim?” sorusuna doğrudan yanıt verilmesini zorlaştırır. CGNAT logları ve HTS GPRS kayıtlarının çapraz analiziyle NAT IP’sinin arkasındaki gerçek aboneye ulaşılır. Bu rehberde CGNAT’ın teknik temellerini, çalışma prensibini, IP tespitindeki rolünü ve bilirkişi analizinin yöntemlerini ele alıyoruz.

CGNAT Nedir? Tanım ve Açılım

CGNAT, İngilizce “Carrier-Grade NAT” kelimelerinin baş harflerinden oluşan bir kısaltmadır ve Türkçeye “Operatör Düzeyi Ağ Adres Çevirimi” olarak çevrilir. Bazen “Large-Scale NAT (LSN)” olarak da anılır.

Anlamak için önce NAT (Network Address Translation) kavramından bahsetmek gerekir. NAT, bir ağdaki birden fazla cihazın tek bir kamu IP adresi üzerinden internete çıkmasını sağlayan teknolojidir. Evdeki modeminizin yaptığı iş NAT’tır: evdeki tüm cihazlar (telefon, bilgisayar, akıllı TV) modemin atadığı kamu IP’si üzerinden internete erişir.

CGNAT, NAT’ın operatör seviyesinde uygulanmış halidir. Yani sadece sizin evinizdeki cihazları değil, operatörün on binlerce abonesini aynı kamu IP havuzu üzerinden internete bağlar. Türkiye’de Turkcell, Vodafone ve Türk Telekom mobil internette CGNAT teknolojisini yaygın olarak kullanır.

Neden CGNAT Kullanılır?

CGNAT’ın yaygın kullanılmasının temel sebebi IPv4 adres kıtlığıdır.

IPv4 Adres Kıtlığı Sorunu

İnternet’in temelinde yatan IPv4 protokolü, toplam ~4.3 milyar adres sunabilir (2³² = 4,294,967,296). Bu sayı 1980’lerde tasarlandığında dünya nüfusu için fazlasıyla yeterliydi. Ancak bugün:

• Dünyada 5 milyardan fazla internet kullanıcısı var
• Her kullanıcı ortalama 3-5 cihaz kullanıyor
• IoT cihazları (akıllı saat, kamera, ev otomasyon) ile bu sayı katlanarak artıyor
• Kullanılabilir IPv4 adresleri 2011’de bitti (IANA havuzu tükenmesi)

IPv6 Geçişi Yavaş İlerliyor

Yeni nesil protokol IPv6, neredeyse sınırsız adres alanı sunar (340 undecilyon adres). Ancak altyapı geçişi yavaş ilerliyor. Bu yüzden operatörler geçici çözüm olarak CGNAT’ı kullanıyor.

Operatör Avantajları

CGNAT, operatörlere şu pratik avantajları sağlar:

• IP Tasarrufu: Bir kamu IP’siyle yüzlerce aboneye hizmet
• Maliyet: IPv4 adresleri pahalı (~25-50 USD/adres karaborsa fiyatı)
• Güvenlik: Aboneler doğrudan internetten erişilemez (firewall etkisi)
• Esneklik: Trafik yoğunluğuna göre IP’leri dinamik olarak yönetebilme

CGNAT Nasıl Çalışır?

CGNAT’ın çalışma prensibini bir örnekle açıklayalım. Diyelim ki Turkcell’in CGNAT havuzunda bir kamu IP adresi var: 88.235.42.107. Bu havuza bağlı 5 farklı abone (Ahmet, Mehmet, Ayşe, Fatma, Ali) aynı anda Google’a bağlanıyor.

Adım 1: Cihazlara İç IP Atama

Operatör, her aboneye özel (private) IP adresi atar. Bu adresler RFC 1918 veya RFC 6598 standartlarına uygun aralıklardan seçilir:

• 10.0.0.0 - 10.255.255.255 (ev/kurumsal NAT için)
• 100.64.0.0 - 100.127.255.255 (CGNAT için ayrılmış RFC 6598)
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

Adım 2: Port Aralığı Atama

Tek bir kamu IP’si üzerinde 65,536 port bulunur (0-65535 arası). CGNAT, her aboneye bir port aralığı tahsis eder. Yaygın uygulama: her aboneye 1024’lük blok atanır.

Adım 3: Trafik Çevirimi

Bir abone (Ahmet) Google’a bağlandığında, paket sırasıyla şu dönüşümlerden geçer:

1. Cihazdan çıkış: 10.20.1.5:5283 → 142.250.187.78:443 (Google IP)
2. CGNAT içeride: Kaynak adresi 10.20.1.5:5283 → 88.235.42.107:10847 olarak değiştirir
3. İnternete çıkış: 88.235.42.107:10847 → 142.250.187.78:443
4. Eşleşme tablosuna yazılır: CGNAT bir kayıt tutar “5283 portuyla iç IP 10.20.1.5’ten gelen bağlantı, dış 10847 portuna çevrildi”

Adım 4: Geri Yön Çevirim

Google’dan cevap geldiğinde, CGNAT eşleşme tablosuna bakıp paketi doğru aboneye iletir. Kullanıcı bu süreçten habersizdir, normal bir internet bağlantısı yaşar.

CGNAT Logları Neyi İçerir?

CGNAT cihazları, her oturum açma/kapatma işlemini log kaydı olarak tutar. Bu loglar, operatör tarafından belirli süre saklanır ve mahkeme veya savcılık kararıyla BTK aracılığıyla talep edilebilir.

Tipik bir CGNAT log kaydı şu bilgileri içerir:

CGNAT’ın HTS ile İlişkisi

CGNAT logları ile HTS kayıtları farklı amaçlar için tutulur, ancak birbirini tamamlayan veri kaynaklarıdır:

HTS kayıtlarındaki GPRS (İnternet Bağlantı) bölümünde, abone bir bağlantı açtığında kendisine atanan iç IP kaydedilir. Bu iç IP, CGNAT logundaki kayda eşleşir. İşte “çapraz analiz” bu iki kaynağın bir araya getirilmesidir.

CGNAT ile IP Tespiti Nasıl Yapılır?

Adli soruşturmalarda en sık karşılaşılan senaryo şudur: Bir siber suç işlenir (dolandırıcılık, hakaret, terör propagandası, vb.) ve hedef sistemin loglarında bir kamu IP adresi tespit edilir. “Bu IP’den bağlanan kişi kim?” sorusunun yanıtı için CGNAT logları gereklidir.

Adım 1: Kaynak Bilgilerin Tespiti

Hedef sistemin (örneğin sosyal medya platformu, bankanın websitesi) loglarında şu üçlü aranır:

• Kamu IP: 88.235.42.107
• Kaynak Port: 10847
• Tarih ve Saat: 15.03.2024 14:23:45

Tek başına IP yetmez. Çünkü CGNAT havuzunda aynı IP’yi onlarca, yüzlerce abone paylaşıyor olabilir. Saat ve port bilgisi ayrıştırma için zorunludur.

Adım 2: BTK’ya Talep

Mahkeme veya savcılık kararıyla BTK’dan, belirtilen tarih ve saatte, belirtilen kamu IP’sinin (ve port aralığının) hangi aboneye atandığı bilgisi talep edilir.

Adım 3: Operatörün CGNAT Loglarından Tespit

İlgili operatör, CGNAT loglarında şu sorguyu yapar:

“Hangi abone, 15.03.2024 14:23:45 tarihinde, kamu IP 88.235.42.107 üzerinden 10847 portunu kullanıyordu?”

Sonuç: Hat numarası, IMEI, oturum başlangıç/bitiş saatleri.

HTS-CGNAT Çapraz Analizi

Daha karmaşık soruşturmalarda, sadece bir IP’nin kime ait olduğunu bulmak yetmez. Şüphelinin fiziksel konumunu, cihazını ve hareketini de doğrulamak gerekir. İşte burada HTS-CGNAT çapraz analizi devreye girer.

Çapraz Analizin Temel Mantığı

Aynı şüphelinin HTS GPRS kayıtlarındaki iç IP atamaları, CGNAT loglarındaki iç IP – kamu IP eşleşmeleri ile aynı zamanda oluşur. İki kayıt seti birleştirildiğinde:

• Şüpheli o sırada nerede bağlandı (HTS – baz istasyonu)
• Şüpheli o sırada hangi kamu IP’sini kullandı (CGNAT)
• Şüpheli hangi sunucuya/IP’ye bağlandı (CGNAT – hedef IP)

Tutarlılık Kontrolü

Çapraz analizde tutarlılık skoru hesaplanır. Beklenen senaryolar:

• Yüksek tutarlılık: Şüphelinin HTS kaydında o sıra konumu var, CGNAT logunda da o sıra trafik var, lokasyon makul mesafe içinde
• Düşük tutarlılık: CGNAT’ta trafik var ama HTS’te baz kaydı yok (cihaz farklı, başkası kullanıyor olabilir)
• Çelişki: HTS kaydı Adana’da, CGNAT trafiği aynı saatte İstanbul’da (iki farklı cihaz, iki farklı yer)

Çoklu Şüpheli Çapraz Analizi

Birden fazla şüpheli için, her birinin HTS ve CGNAT kayıtları çapraz değerlendirilir. Aynı kamu IP’sini paylaşan şüpheliler, aynı CGNAT havuzunda olduklarını gösterir — bu da aynı bölgede oldukları anlamına gelir.

Hangi Suç Türlerinde Kullanılır?

CGNAT analizi, internet üzerinden işlenen veya internet izlerinin bulunduğu her türlü suç soruşturmasında kritik bir araçtır:

Siber Suçlar

• Hesap ele geçirme (account takeover)
• Ransomware ve fidye yazılımı saldırıları
• Phishing (kimlik avı) operasyonları
• Veri sızdırma (data exfiltration)
• DDoS saldırıları

Finansal Suçlar

• İnternet bankacılığı dolandırıcılığı
• Kredi kartı sahteciliği
• E-ticaret üzerinden yapılan dolandırıcılıklar
• Kripto para aklama

İçerik Bazlı Suçlar

• Hakaret, iftira (sosyal medya kayıtları)
• Tehdit ve şantaj iletileri
• Terör propagandası
• Çocuk pornografisi (CSAM) yayma
• Yasadışı içerik paylaşımı

Organize Suç ve Terör

• Bylock benzeri uygulama kullanımı tespiti
• Şifreli iletişim platformlarına bağlantı analizi
• Suç örgütü iletişim ağlarının çıkarılması

CGNAT Analizinde Yazılım Kullanımı

CGNAT logları, HTS kayıtlarından bile çok daha hacimli veri setleri oluşturur. Tek bir CGNAT cihazı, günde milyonlarca log kaydı üretebilir. Bu hacimde verinin Excel’de manuel taranması imkânsızdır. Modern bilirkişi yazılımları bu yükü ele alır.

CGNAT analizi yapan profesyonel bir yazılımın özellikleri:

• BTK ve operatör formatlarındaki CGNAT loglarını otomatik tanıma
• HTS GPRS kayıtları ile çapraz eşleşme
• Çoklu kamu IP arama, port aralığı bazlı filtreleme
• Hedef IP / port grupları ile gelişmiş arama
• Çoklu şüpheli karşılaştırması
• Lokasyon tutarlılığı skoru hesaplama
• IMEI kronolojisi ve cihaz takibi
• Kamu IP havuz analizi (aynı havuzda buluşan kişilerin tespiti)
• Word formatında otomatik bilirkişi raporu üretimi

analizlerim.com İletişim Analiz Sistemi (İAS), CGNAT analizini HTS kayıtlarıyla otomatik çapraz eşleşme, lokasyon tutarlılığı skoru ve görselleştirme özellikleriyle sunan, T.C. Kültür ve Turizm Bakanlığı tarafından 2026/17503 tescil numarasıyla kayıt altına alınmış profesyonel bir bilirkişi platformudur.

Sıkça Sorulan Sorular

Sonuç

CGNAT (Carrier-Grade NAT), modern internet altyapısının vazgeçilmez bir parçasıdır ve aynı zamanda siber suç soruşturmalarının da merkezinde yer alır. IPv4 adres kıtlığı nedeniyle operatörler tarafından kullanılan bu teknoloji, “şu IP’den bağlanan kim?” sorusunu doğrudan yanıtlamayı zorlaştırır — ancak doğru loglar ve doğru analizle yine de kesin tespit yapılabilir.

Adli soruşturmalarda CGNAT logları, HTS kayıtlarıyla çapraz olarak değerlendirildiğinde çok daha güçlü sonuçlar verir. Şüphelinin internet trafiği, fiziksel konumu, cihaz bilgileri ve hareket güzergâhı tek bir tutarlı tabloda birleştirilir.

Modern CGNAT analizi, devasa veri hacmi nedeniyle profesyonel yazılım desteği olmadan yapılabilecek bir iş değildir. analizlerim.com İletişim Analiz Sistemi, HTS ve CGNAT çapraz analizini bilirkişiler için tek arayüzde sunan, T.C. Kültür ve Turizm Bakanlığı tarafından tescilli bir bilirkişi platformudur.

Bu yazı, analizlerim.com editör ekibi tarafından hazırlanmıştır. İçerik, bilgilendirme amaçlıdır; hukuki danışmanlık niteliği taşımaz. Yazıdaki örnek IP adresleri ve port numaraları kurgusaldır; gerçek IP’lerle benzerlik tesadüfidir. Spesifik bir hukuki sorunla ilgili olarak avukatınıza danışmanız önerilir. Son güncelleme: 10 Mayıs 2026.