DDoS Saldırısı Nedir? Web Sitenizi DDoS'a Karşı Koruma Rehberi

1. DDoS Saldırısı Nedir?

DDoS (Distributed Denial of Service - Dağıtık Hizmet Engelleme), bir web sitesini veya online hizmeti binlerce hatta milyonlarca cihazdan eşzamanlı olarak sahte trafikle bombardıman ederek erişilemez hale getiren siber saldırı türüdür.

2025 yılında küresel DDoS saldırı sayısı 15 milyon'u aşmıştır. Ortalama bir DDoS saldırısı işletmelere saatte 20.000-40.000$ zarar vermektedir. Saldırıların %43'ü e-ticaret sitelerini, %25'i finans sektörünü, %15'i oyun sektörünü hedef almaktadır.

DDoS saldırısı bir "siber sokak kavgası" değil, organize bir operasyondur. Saldırganlar, dünyanın dört bir yanındaki güvenliği zayıf IoT cihazlarını (güvenlik kameraları, akıllı ev cihazları, yazıcılar) ele geçirerek botnet orduları oluşturur. Mirai botnet örneğinde 600.000'den fazla IoT cihazı kullanılarak 1.2 Tbps'lik rekor büyüklükte saldırı gerçekleştirilmiştir.

2. DDoS Saldırı Türleri

DDoS saldırıları OSI modelinin farklı katmanlarına göre üç ana kategoride sınıflandırılır:

1. Volumetrik Saldırılar (Katman 3-4)

Hedef sunucunun bant genişliğini doldurarak erişilemez hale getirmeyi amaçlar. En yaygın DDoS türüdür ve tüm saldırıların %65'ini oluşturur.

• UDP Flood: Rastgele portlara büyük miktarda UDP paketi gönderilir
• ICMP Flood (Ping Flood): Yoğun ping istekleri ile sunucu yanıt veremez hale getirilir
• DNS Amplification: Küçük DNS sorguları ile büyük yanıtlar ürettirilerek hedefin bant genişliği doldurulur (50x amplifikasyon)
• NTP Amplification: NTP monlist komutu kullanılarak 556x amplifikasyon sağlanır

2. Protokol Saldırıları (Katman 3-4)

Sunucu kaynaklarını ve ağ ekipmanlarının bağlantı tablolarını doldurmayı hedefler:

• SYN Flood: TCP el sıkışmasının tamamlanmaması, yarı-açık bağlantılarla sunucu kaynaklarını tüketir
• ACK Flood: Sahte ACK paketleri ile sunucu kaynağı tüketimi
• Ping of Death: Malformed ICMP paketleri ile sistem çökmesi

3. Uygulama Katmanı Saldırıları (Katman 7)

En sofistike ve tespit edilmesi en zor DDoS türüdür. Normal kullanıcı trafiğine benzer istekler gönderilerek web uygulaması çökertilir:

• HTTP Flood: Binlerce legitimate görünümlü HTTP GET/POST isteği
• Slowloris: HTTP bağlantılarını açık tutarak sunucu bağlantı limitini tüketir
• Application-specific: Login sayfası, arama fonksiyonu veya API endpoint'lerine yoğun istek

3. DDoS Tespit Yöntemleri

DDoS saldırısını erken tespit etmek, zararı minimize etmenin en önemli adımıdır. Aşağıdaki belirtiler DDoS saldırısına işaret edebilir:

• Anormal trafik artışı: Belirli bir IP aralığından veya coğrafi bölgeden gelen ani trafik patlaması
• Sunucu yanıt süresinde artış: Normal 200ms olan yanıt süresinin 5-10 saniyeye çıkması
• HTTP 503 hataları: Sunucunun aşırı yük nedeniyle istekleri reddetmesi
• Anormal bant genişliği kullanımı: Normal 100 Mbps olan bant genişliğinin aniden 5-10 Gbps'e çıkması
• Tek bir sayfaya yoğun istek: Login veya arama sayfasına saniyede binlerce istek

Monitoring araçları: Sunucu tarafında Grafana + Prometheus, Zabbix veya Nagios; ağ tarafında NetFlow/sFlow analizi; uygulama tarafında New Relic, Datadog veya custom access log analizi ile DDoS saldırısını gerçek zamanlı tespit edebilirsiniz.

4. DDoS Koruma Stratejileri

1. CDN ve DDoS Koruma Servisleri

Cloudflare, AWS Shield, Akamai ve Imperva gibi CDN/DDoS koruma servisleri, trafiği dünya genelindeki edge sunucularından geçirerek saldırı trafiğini filtreler. Cloudflare'ın ücretsiz planı bile temel DDoS koruması sunar.

2. Web Application Firewall (WAF)

WAF, uygulama katmanı saldırılarını (HTTP Flood, Slowloris, SQL Injection) tespit edip engeller. ModSecurity (açık kaynak), Cloudflare WAF veya AWS WAF gibi çözümler kullanılabilir. Rate limiting kuralları ile belirli IP'lerden gelen istek sayısına sınır konulabilir.

3. Sunucu Yapılandırması

• SYN Cookies: SYN Flood saldırılarına karşı kernel seviyesinde koruma
• Connection Limits: IP başına eşzamanlı bağlantı sayısını sınırlama
• Timeout Ayarları: Keep-alive ve idle timeout değerlerini optimize etme
• Rate Limiting: Nginx veya Apache ile istek hızı sınırlama (ör. 100 req/dakika/IP)

4. Anycast DNS

DNS trafiğini birden fazla veri merkezine dağıtarak tek bir noktanın hedef alınmasını engeller. Cloudflare ve AWS Route 53 anycast DNS hizmeti sunar.

5. SSL/TLS ve DDoS İlişkisi

SSL/TLS protokolü, DDoS korumasında hem avantaj hem de zorluk oluşturur. HTTPS trafiğinin şifreli olması, WAF ve IDS/IPS sistemlerinin trafiği incelemesini zorlaştırır. Bu nedenle SSL termination stratejisi kritik önem taşır.

SSL Termination nerede yapılmalı?

• CDN/WAF katmanında: Cloudflare veya Akamai gibi servisler SSL termination yaparak şifreli trafiği çözer ve inceler. Saldırı trafiği edge sunucularında filtrelenir, temiz trafik origin sunucuya yönlendirilir.
• Load balancer katmanında: HAProxy veya Nginx load balancer üzerinde SSL termination yapılarak backend sunucuların yükü azaltılır.
• Origin sunucuda: En güvenli ancak en yüksek kaynak tüketen yöntem. SSL handshake CPU-intensive bir işlemdir ve yoğun trafik altında sunucu performansını düşürür.

TLS 1.3'ün DDoS korumasına katkısı: TLS 1.3 protokolü, handshake süresini 2 RTT'den 1 RTT'ye düşürerek hem performansı artırır hem de SSL renegotiation saldırılarını engeller (0-RTT resumption). Sunucunuzda TLS 1.3'ü aktifleştirmek, hem güvenlik hem performans açısından önemlidir.

6. DDoS Acil Durum Planı

DDoS saldırısı başladığında panik yapmak yerine önceden hazırlanmış bir acil durum planı uygulamak hayati önem taşır:

Adım 1 - Tespit ve Doğrulama (0-5 dakika): Monitoring alarmlarını değerlendirin. Trafik analizi yaparak saldırı türünü belirleyin (Volumetrik, Protokol, L7). Gerçek trafik artışı mı yoksa saldırı mı ayırt edin.

Adım 2 - İlk Müdahale (5-15 dakika): Cloudflare "Under Attack Mode" aktifleştirin. Saldırı kaynaklı IP aralıklarını firewall'da engelleyin. Rate limiting kurallarını sıkılaştırın. Gereksiz servisleri (ping, DNS recursive) kapatın.

Adım 3 - Escalation (15-60 dakika): DDoS koruma servisinizle iletişime geçin. ISP'nize bilgi verin (upstream filtering). Gerekirse GeoIP bazlı trafik engelleme uygulayın. DNS TTL'yi düşürün ve trafik yönlendirme hazırlığı yapın.

Adım 4 - Saldırı Sonrası (1-24 saat): Tüm logları analiz edin ve saldırı raporunu oluşturun. Güvenlik açıklarını kapatın. Firewall kurallarını güncelleyin. SSL sertifikanızın ve yapılandırmanızın sağlam olduğunu doğrulayın.