DDoS saldırıları, internet sitelerinin en sık yanlış anlaşılan problemlerinden biridir.Bu kategoride DDoS’un ne olduğunu, sitelerin neden “çöktü” sanıldığını, bot trafiği ve CDN gibi katmanların bu süreçteki gerçek rolünü; korkutmadan, abartmadan ve teknik doğruluktan sapmadan ele alıyoruz.Amaç panik yaratmak değil, ne yaşadığını doğru anlayıp doğru önlem almanı sağlamak.
Bir sabah sitene girmeye çalışırsın.
Sayfa yüklenmez. Tarayıcı bekler, sonra hata verir.
Telefonuna mesajlar gelmeye başlar:
“Site açılmıyor”, “Bir sorun mu var?”
İlk refleks genellikle aynıdır:
“Hacklendik mi?”
Oysa çoğu zaman yaşanan şey bir hack değil, DDoS saldırısıdır.
Bu iki kavramı birbirine karıştırmak, sorunu çözmek yerine yanlış adımlar atılmasına neden olur.
Bu yazıda DDoS’un ne olduğunu, internet sitelerinin neden “çöktü” sanıldığını ve özellikle küçük ve orta ölçekli sitelerin neden daha savunmasız olduğunu sade ama teknik olarak doyurucu bir dille ele alıyoruz.
DDoS Saldırısı Nedir?
DDoS (Distributed Denial of Service), bir internet sitesini ele geçirmek için değil,
erişilemez hale getirmek için yapılan bir saldırı türüdür.
Buradaki kilit kelime Distributed, yani dağıtık olmasıdır.
Tek bir bilgisayardan gelen yoğun trafik genellikle kısa sürede tespit edilip engellenebilir. Ancak DDoS saldırılarında istekler aynı anda binlerce, hatta on binlerce farklı IP adresinden, farklı ülkelerden ve farklı ağlardan gelir.
Bu yapı saldırgan için büyük bir avantaj sağlar. Trafik tek bir noktadan değil, birçok küçük kaynaktan aktığı için her birini tek tek engellemek çoğu zaman pratikte mümkün olmaz. Sunucu üzerindeki yük hızla artar ve sistem cevap veremez hale gelir.
Dışarıdan bakıldığında olan şey basittir:
Site açılmaz.
Ama içeride yaşanan aslında bir kapasite tükenmesidir.
Bu Kadar Trafik Nereden Geliyor?
Bu noktada karşımıza çoğu zaman zombi bilgisayarlar çıkar.
Zombi bilgisayarlar, sahibinin farkında olmadan zararlı yazılımlar aracılığıyla kontrol altına alınmış cihazlardır. Tek tek bakıldıklarında sıradan görünürler: evdeki bir bilgisayar, küçük bir sunucu ya da günlük hayatta kullanılan basit bir cihaz.
Burada kritik bir detay var:
Evinizde kullandığınız güvensiz bir IoT cihaz bile bu ağların parçası olabilir.
Akıllı modemler, kameralar, hatta bazı ev otomasyon ürünleri yeterince güncel değilse saldırı ağlarına dahil edilebilir. Binlerce böyle cihaz aynı anda “normal kullanıcı” gibi istek gönderdiğinde, ortaya devasa bir trafik hacmi çıkar.
Bu tür dağıtık yapılara teknik olarak botnet adı verilir.
Ama mantığı oldukça nettir:
Bir kişi saldırmaz; binlerce cihaz aynı anda sıradan ziyaretçi gibi davranır.
Bu durum, özellikle gelişmiş DDoS saldırılarının neden ayırt edilmesinin zor olduğunu açıklar.
Hack ile DDoS Aynı Şey Değildir
Türkiye’de en sık yapılan yanlışlardan biri budur.
Hack, sisteme yetkisiz erişimdir.
Amaç veri çalmak, değiştirmek ya da kontrolü ele geçirmektir.
DDoS ise sisteme girmez.
Kodla, veritabanıyla veya kullanıcı bilgileriyle ilgilenmez.
Hedefi yalnızca sistemi kullanılamaz hale getirmektir.
Basit bir benzetmeyle:
- Hack, kapıyı kırıp içeri girmektir
- DDoS, kapının önüne binlerce insanı yığıp kimsenin içeri girememesini sağlamaktır
Bu ayrım önemlidir çünkü alınacak önlemler de tamamen farklıdır. Yanlış teşhis, yanlış çözüm anlamına gelir.
Trafik Artışı Her Zaman Saldırı Anlamına Gelmez
Bir sitenin aniden yavaşlaması her zaman DDoS saldırısı yaşandığı anlamına gelmez. Gerçek hayatta şu senaryolar oldukça yaygındır:
- Bir influencer’ın siteyi veya ürünü paylaşması
- Haber sitelerinde “son dakika” içeriklerinin patlaması
- Kampanya ve indirim dönemleri
- Black Friday benzeri yoğun alışveriş günleri
Bu durumlarda trafik:
- Kısa sürede ciddi biçimde artar
- Sunucuyu zorlar
- DDoS’a çok benzeyen belirtiler üretir
Ancak burada niyet kötücül değildir. Altyapı, beklenmeyen yoğunluğa hazırlıksız yakalanmıştır. Bu farkı doğru koymak, “trafik arttı = saldırı” refleksini kırar ve gereksiz panik kararlarının önüne geçer.
“Site Çöktü” Algısının Arkasındaki Teknik Gerçek
Kullanıcı açısından tablo nettir:
Site açılmaz.
Teknik tarafta ise genellikle şu zincir yaşanır:
- Sunucu aynı anda çok fazla istek alır
- CPU ve RAM hızla dolar
- Web sunucusu cevap üretmekte zorlanır
- Veritabanı bağlantıları kilitlenir
- Sayfalar timeout verir
Bu noktada çoğu zaman:
- Kodda bir hata yoktur
- İçerik silinmemiştir
- Sistem ele geçirilmemiştir
Yaşanan şey bir güvenlik ihlalinden çok, erişilebilirliğin kaybolmasıdır. Yani problem, sistemin çalışmaması değil; gelen taleplere yetişememesidir.
Küçük Siteler Neden Daha Savunmasız?
Bu sorunun cevabı yalnızca teknik değil, aynı zamanda ekonomiktir.
Altyapı sınırlıdır.
Tek sunucu, paylaşımlı hosting veya düşük bant genişliği kullanılır. Birkaç bin eşzamanlı istek bile sistemi zorlayabilir.
Koruma katmanları yoktur.
CDN, trafik filtreleme veya bot ayıklama gibi çözümler çoğu zaman devrede değildir. Gelen tüm trafik doğrudan sunucuya ulaşır.
Trafik düzenli izlenmez.
Anormal artışlar geç fark edilir, log’lar çoğu zaman kontrol edilmez.
Maliyet dengesi tersinedir.
DDoS saldırı hizmetleri günümüzde düşük maliyetlerle erişilebilirken, savunma tarafında altyapı ve izleme yatırımı gerekir. Bu dengesizlik, küçük siteleri saldırganlar için daha cazip hale getirir.
DDoS Her Zaman Kasıtlı mı?
Hayır.
Yanlış yapılandırılmış botlar, agresif scraping işlemleri, hatalı API çağrıları veya kontrolsüz otomasyonlar da DDoS benzeri etki yaratabilir.
Sonuç olarak her yoğun trafik saldırı değildir.
Ancak her yoğun trafik analiz edilmelidir.
DDoS Neden CDN, Bot Trafiği ve Web Güvenliği ile Birlikte Ele Alınır?
Çünkü DDoS tek başına izole bir konu değildir.
- CDN, trafiği dağıtarak yükü dengeler
- Bot trafiği analizi, gerçek kullanıcıyı otomasyondan ayırmayı sağlar
- Web güvenliği, saldırının etkisini sınırlayan çerçeveyi oluşturur
Bu alanlar birlikte düşünülmediğinde ya gerçek kullanıcılar engellenir ya da saldırı fark edilmez. Her iki durumda da bedeli site sahibi öder.
Sonuç: DDoS Bir Kaos Değil, Yönetilebilir Bir Problemdir
DDoS saldırıları gizemli ya da anlaşılmaz değildir.
“Başa gelirse yapacak bir şey yok” türü bir kader de değildir.
Doğru mimari, doğru izleme ve doğru katmanlarla yönetilebilir bir problemdir.
Bu yazı, serinin başlangıç noktasıdır. Devamında DDoS türlerini, özellikle L7 saldırıları, CDN ve bot trafiğinin bu süreçteki gerçek rolünü adım adım ele alacağız.
İlk adım her zaman aynıdır:
Ne yaşadığını doğru tanımlamak.
İlgili Yazılar
Sosyal Mühendislik Saldırıları: Kodları Değil, Zihinleri Hack’lemek
Sosyal mühendislik saldırıları sistemleri değil, insan zihnini hedef alır. Bir e-posta, bir telefon sesi ya da “acil” ibaresi; en güçlü güvenlik önlemlerini bile tek hamlede devre dışı bırakabilir.
Bu bölümde sosyal mühendislik saldırılarının arka planını, psikolojik manipülasyon tekniklerini, kullanılan teknik yöntemleri ve bu saldırıların KVKK ile GDPR kapsamında doğurduğu ciddi hukuki sonuçları inceliyoruz. Gerçek vakalar, saldırgan bakış açısı ve savunma stratejileriyle, güvenliğin neden sadece teknik bir konu olmadığını burada göreceksiniz.
L7 DDoS: Normal Kullanıcı Gibi Davranan, Uygulamayı İçeriden Yıpratan Saldırılar
Layer 7 (Uygulama Katmanı) DDoS saldırıları, günümüzde en zor tespit edilen ve en maliyetli saldırı türleri arasında yer alıyor. Bu saldırılar, yüksek trafik üretmek yerine gerçek kullanıcı gibi davranarak uygulama kaynaklarını tüketmeyi hedefler.
Bu teknik makalede L7 DDoS saldırılarının çalışma prensipleri, adaptive rate limiting, query cost bazlı koruma, bot davranış analizi ve gerçek bir vaka üzerinden savunma stratejileri derinlemesine incelenmektedir.
2025 Siber Güvenlik Rehberi: VPN, Proxy ve DDoS Tehditleri
VPN, proxy ve DDoS tehditleri 2025’te nasıl değişti?
Gerçek saldırı senaryoları, modern güvenlik yaklaşımları ve artık neden eski yöntemlerin yeterli olmadığına dair kapsamlı siber güvenlik rehberi.
DDoS Saldırı Türleri: Volumetric, Protocol ve L7 Anatomisi
"Sunucu ayakta ama site açılmıyor" dendiğinde aklınıza DDoS gelmeli. Peki hangi DDoS? Volumetric mı, Protocol mu, yoksa Layer 7 mi? 3 ana saldırı türünün teknik anatomisi, gerçek log örnekleri ve pratik savunma konfigürasyonlarıyla kapsamlı rehber.
Popüler Göneriler
