DDoS Saldırısı Nedir? Türleri, Belirtileri ve Kurumsal Korunma Yöntemleri
DDoS saldırısı sistemlerinizi nasıl çökertir? Hacimsel, protokol ve uygulama katmanı (L7) saldırılarını, botnet mantığını, belirtileri ve CDN, scrubbing, rate limiting, WAF gibi katmanlı korunma yöntemlerini CISA ve ENISA kaynaklarıyla derinlemesine anlattık.
DDoS Saldırısı Nedir? Türleri, Belirtileri ve Kurumsal Korunma Yöntemleri
Hızlı cevap: DDoS (Dağıtık Hizmet Engelleme) saldırısı, bir web sitesini veya servisi binlerce ele geçirilmiş cihazdan gelen sahte trafikle boğarak gerçek kullanıcılara hizmet veremez hale getirmektir. Amaç veri çalmak değil, erişilebilirliği yok etmektir: site önce yavaşlar, sonra tamamen düşer ve her dakika gelir/itibar kaybı demektir. Tek bir sunucu ya da basit bir firewall bunu tek başına durduramaz, çünkü sorun trafiğin içeriği değil, hacmi ve dağıtıklığıdır. Korunma katmanlıdır: CDN/scrubbing, rate limiting, WAF ve sağlayıcı düzeyinde yukarı akış (upstream) filtreleme. DSET olarak DDoS dayanıklılığınızı değerlendirip mimari öneririz ve uygularız: +90 536 662 38 09.
DoS ile DDoS farkı ve botnet mantığı
DoS (Hizmet Engelleme) tek bir kaynaktan yapılır; bu yüzden o kaynağı engellemek görece kolaydır. DDoS (Dağıtık Hizmet Engelleme) ise binlerce, hatta yüz binlerce kaynaktan eşzamanlı yapılır. Bu kaynaklar genelde bir botnet'tir: zararlı yazılımla ele geçirilmiş, sahiplerinin çoğu zaman haberi olmayan bilgisayarlar, sunucular ve özellikle korumasız IoT cihazları (kameralar, yönlendiriciler). Dağıtık olması, "kötü IP'yi engelle" yaklaşımını işlevsiz kılar; çünkü saldırı her yerden, çoğu zaman meşru görünen adreslerden gelir. CISA ve ENISA, DDoS'u en yaygın, en kolay kiralanabilen (DDoS-for-hire / "booter" servisleri) ve en yıkıcı saldırı türlerinden biri olarak listeler.
Üç ana DDoS türü
| Tür | Nasıl çalışır | Hedeflediği kaynak | Örnek |
|---|---|---|---|
| Hacimsel (Volumetric) | Devasa sahte trafikle bağlantıyı doldurur | İnternet bant genişliğiniz | UDP flood, DNS/NTP amplifikasyon |
| Protokol | Protokolün zayıflığını kullanıp kaynak tüketir | Firewall, yük dengeleyici, sunucu | SYN flood, yarı açık bağlantılar |
| Uygulama katmanı (L7) | Az trafikle pahalı işlemleri tetikler | Web uygulamasının kendisi | HTTP flood, arama/login bombardımanı |
En sinsi olan uygulama katmanı (L7) saldırılarıdır. Trafiği düşük olduğu için meşru görünür ve hacme bakan basit savunmaları atlatır; ama her istek, sunucuda pahalı bir işlemi (karmaşık bir veritabanı sorgusu, bir arama, bir giriş denemesi) tetikleyecek şekilde seçilir. Bu yüzden korunma sadece bant genişliğini değil, uygulama mantığını da kapsamalıdır.
DDoS belirtileri: panik yapmadan teşhis
- Site veya servis ani ve açıklanamayan biçimde aşırı yavaşlar, sayfa açılmaz.
- Belirli bir IP aralığından ya da coğrafyadan olağandışı yoğun istek gelir.
- Sunucu kaynakları (CPU, bellek, eşzamanlı bağlantı sayısı) bir anda tavan yapar.
- Bağlantı zaman aşımları ve 503 "Service Unavailable" hataları artar.
Önemli not: Her yavaşlama DDoS değildir. Viral bir sosyal medya paylaşımı, bir kampanya ya da yanlış yapılandırma da ani trafik ve yavaşlık getirebilir. Doğru teşhis, trafik desenini (kaynak dağılımı, istek tipi, davranış) analiz etmeyi gerektirir; yoksa meşru bir talep patlamasını yanlışlıkla saldırı sanıp gerçek müşterileri engelleyebilirsiniz.
Katmanlı korunma yöntemleri
- CDN ve scrubbing servisi: Trafiği dünya genelinde dağıtan bir CDN, hacimsel saldırıyı kaynağına ulaşmadan emer ve "temizler" (scrubbing): kötü trafiği ayıklar, temiz trafiği sunucunuza iletir. Kurumsal DDoS korumasının ilk ve en önemli katmanıdır.
- Rate limiting (hız sınırlama): Tek bir kaynaktan belirli sürede gelebilecek istek sayısını sınırlayarak L7 saldırılarını ve kaba kuvvet denemelerini yavaşlatır.
- WAF (Web Uygulama Güvenlik Duvarı): Uygulama katmanı saldırılarını, kötü botları ve şüpheli istek desenlerini filtreler.
- Anycast ağ: Trafiği coğrafi olarak dağıtılmış birden çok veri merkezine yayar; böylece tek bir noktanın çökmesi tüm servisi düşürmez ve saldırı yükü dağılır.
- Olay müdahale planı: Saldırı anında kimin, hangi sağlayıcıyı arayacağı, hangi koruma modunu açacağı önceden tanımlanmalıdır. Panik anında plan yazılmaz; önceden yazılır ve tatbik edilir.
Dikkat: DDoS bir gizleme perdesi olabilir
Deneyimli saldırganlar DDoS'u bazen kasıtlı bir "gürültü" olarak kullanır: güvenlik ekibi tüm dikkatini siteyi ayağa kaldırmaya verirken, asıl sızma (veri çalma, kötü amaçlı yazılım yerleştirme) sessizce başka bir kapıdan yapılır. Bu yüzden bir DDoS sırasında sürekli izleme ve SOC gevşetilmemeli, aksine artırılmalıdır.
Sıkça Sorulan Sorular
Küçük bir şirket gerçekten DDoS hedefi olur mu?
Evet. DDoS, "booter/stresser" adı verilen servislerle saatlik ve çok ucuza kiralanabilir. Rakip rekabeti, şantaj (ödemezsen siteni düşürürüz), ideolojik nedenler ya da tamamen rastgele saldırılarla küçük işletmeler de sık sık hedef olur.
Firewall DDoS'u durdurur mu?
Geleneksel firewall, hacimsel DDoS karşısında çoğu zaman yetersiz kalır, hatta kaynakları tükenip ilk çöken nokta olur. Çözüm, trafiği sunucunuza ulaşmadan temizleyen, sağlayıcı düzeyinde yukarı akış (upstream) korumasıdır.
Saldırı anında ne yapmalıyım?
Önceden plan yaptıysanız adımlar dakikalar sürer: hosting/CDN sağlayıcınızla derhal iletişime geçin, "under attack" koruma modunu açın, rate limiting ve WAF kurallarını sıkılaştırın, logları saklayın ve olayı kayıt altına alın (sonraki analiz ve olası adli süreç için).
DDoS koruması performansı yavaşlatır mı?
İyi tasarlanmış bir CDN/koruma katmanı, çoğu zaman tam tersine içerikleri kullanıcıya daha yakından sunarak siteyi hızlandırır; koruma ile performans birlikte kazanılır.
DDoS dayanıklılık değerlendirmesi ve koruma kurulumu için bize ulaşın: DDoS koruma hizmetimiz veya +90 536 662 38 09.
Kaynaklar
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.