"Sunucu ayakta ama site açılmıyor" dendiğinde aklınıza DDoS gelmeli. Peki hangi DDoS? Volumetric mı, Protocol mu, yoksa Layer 7 mi? 3 ana saldırı türünün teknik anatomisi, gerçek log örnekleri ve pratik savunma konfigürasyonlarıyla kapsamlı rehber.
Bir DDoS saldırısını hâlâ “siteye çok trafik gelir ve çöker” diye özetleyenler, yalnızca ekranın sonuç kısmını görmüş demektir. Gerçekte DDoS; ağ mimarisi, TCP/IP davranışları, uygulama mantığı ve sistem kaynak yönetimi üzerinden yürüyen çok katmanlı bir yıpratma savaşıdır.
Türkiye’de son yıllarda bankalar, e-devlet servisleri, e-ticaret altyapıları ve SaaS platformları, bu saldırı türlerinin her biriyle karşılaştı. Bazıları dakikalarca sürer, bazıları günlerce devam eder. Bazıları manşet olur, bazıları ise yalnızca loglarda iz bırakır.
Bu makalede DDoS’u güncel saldırı teknikleri ve savunma gerçekleriyle, üç ana başlık altında derinlemesine inceliyoruz.
1️⃣ Volumetric Attacks – Bant Genişliğini Tüketme
Temel hedef: Sunucuya ulaşmak değil, sunucuya giden yolu kapatmak.
Volumetric saldırılar genellikle UDP tabanlıdır, çünkü UDP bağlantısızdır ve saldırgan için maliyeti düşüktür.
Yaygın Volumetric Türler
| Saldırı Türü | Protokol | Amplification | Etki Alanı |
|---|---|---|---|
| UDP Flood | UDP | Yok | ISP hattı |
| DNS Amplification | UDP/DNS | 30–70x | Upstream router |
| NTP Amplification | UDP/NTP | 500x+ | Core network |
| Memcached Amplification | UDP | 10.000x+ | Global omurga |
Türkiye’den örnek:
Orta ölçekli bir ödeme platformu, altyapısı sağlam olmasına rağmen erişilemez hâle gelir. Sunucular ayakta, CPU düşük, disk sağlıklı. Sorun: 100 Mbps uplink hattının saniyede 1.5 Gbps DNS yanıtıyla dolmasıdır.
Savunma:
- CDN ve Anycast altyapısı
- ISP seviye filtreleme
- Trafik temizleme (scrubbing) servisleri
2️⃣ Protocol Attacks – State Tüketimi
Amaç: Bant genişliği değil, state ve sistem kaynakları.
TCP/IP’nin çalışma mantığını hedef alır; firewall, load balancer ve kernel TCP stack kritik noktalardır.
Önemli Protocol Attack Türleri
| Saldırı | Katman | Hedef |
|---|---|---|
| SYN Flood | L4 (TCP) | Connection table |
| ACK Flood | L4 | Stateful firewall |
| RST Flood | L4 | TCP session |
| Fragmentation | L3 | Reassembly buffer |
| TCP Reflection | L4 | Network stack |
Teknik Detay – SYN Flood:
Saldırgan yalnızca SYN paketlerini gönderir, TCP handshake tamamlanmaz. Sunucu bellek ayırır, state tutar, yeni bağlantılar drop edilir. Türkiye’de hâlâ yaygın problem: varsayılan backlog değerleri ve SYN cookie kapalı sistemler.
Savunma:
- SYN cookie aktif etme
- Stateful firewall tuning
- TCP backlog ve somaxconn ayarları
3️⃣ Layer 7 (Application Layer) Attacks – Uygulama Mantığını Hedefleme
Amaç: Sunucu değil, uygulama mantığını çökertmek.
IP ve istekler meşru görünür, tespit zor.
Önemli L7 Saldırı Türleri
| Saldırı | Hedef |
|---|---|
| HTTP GET Flood | Dinamik sayfalar |
| HTTP POST Flood | Login, arama, form |
| Slowloris | Thread havuzu |
| Slow POST | Request body buffer |
| API Abuse | Rate limit bypass |
Türkiye Örneği:
Bir SaaS platformu, API endpoint’lerinde rate limit tanımlamamıştı. Botnet kullanılmadan, birkaç sunucudan sürekli POST istekleri gönderildi. Sistem çökmedi, ancak response time 40 saniyeye çıktı.
Savunma:
- WAF kuralları ve davranış analizi
- Endpoint bazlı rate limiting
- Bot fingerprinting ve CAPTCHA
4️⃣ Gerçek Trafik Log’larıyla DDoS Tespiti
Log analizi, saldırıyı erken fark etmenin anahtarıdır.
- Volumetric: Nginx access log’larında aynı endpoint’e kısa sürede binlerce istek, IP’ler sürekli değişiyor, User-Agent boş veya anlamsız.
- Protocol: Kernel ve firewall log’ları, netstat ile anormal connection state, firewall state table doluluk uyarıları.
- Layer 7: Aynı IP’den düşük hacimli ama sürekli istekler, belirli endpoint’lerde yoğunlaşma, CPU değil thread pool doluyor.
5️⃣ Nginx / Apache / Cloudflare Konfigürasyonları
Nginx:
limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s; server { location /login { limit_req zone=one burst=10 nodelay; } }
Apache:
- mod_reqtimeout
- mod_evasive
- mod_security
Cloudflare:
- Bot Fight Mode
- Rate Limiting Rules
- Managed WAF
- Country / ASN kısıtlamaları
6️⃣ Türkiye’de Sık Yapılan Mimari Hatalar
- “Biz küçük siteyiz, bize saldırmazlar”
- Tek sunucu, tek IP, tek lokasyon
- WAF = Savunma sanrısı
- Log tutulmuyor veya izlenmiyor
- Yasal boyut göz ardı ediliyor
7️⃣ DDoS Türlerinin Teknik Karşılaştırması
| Özellik | Volumetric | Protocol | Layer 7 |
|---|---|---|---|
| Trafik hacmi | Çok yüksek | Orta | Düşük |
| Tespit zorluğu | Düşük | Orta | Çok yüksek |
| Firewall etkisi | Düşük | Yüksek | Düşük |
| WAF gereksinimi | Hayır | Hayır | Evet |
| CDN faydası | Çok yüksek | Orta | Değişken |
8️⃣ Hukuki ve Etik Boyut (Türkiye)
- TCK 243–244: Bilişim sistemini engelleme veya bozma suçtur
- İzinsiz test veya karşı saldırı hukuka aykırıdır
- Kurumsal testler: yazılı izin, log kaydı, zaman ve IP aralığı
🔹 Sonuç
DDoS, tek tip bir saldırı değil, farklı katmanlara yayılan bir strateji kümesidir.
Savunma da çok katmanlı olmalıdır:
- Volumetric: CDN + ISP filtering
- Protocol: TCP tuning + firewall
- Layer 7: WAF, rate limit, davranış analizi
Bir sistem, en zayıf halkası kadar dayanıklıdır. DDoS savunması da öyle.
İlgili Yazılar
DDoS Saldırısı Altındayken Ne Yapılmalı?
DDoS saldırıları genellikle aniden başlar ve ilk dakikalarda doğru adımlar atılmazsa ciddi hizmet kesintilerine yol açabilir. Özellikle ilk 15 dakika, hem teknik müdahale hem de operasyonel yönetim açısından kritik öneme sahiptir.
Bu içerikte, bir DDoS saldırısı sırasında ilk 15 dakikada yapılması gerekenleri adım adım ele alıyoruz. Saldırının tespiti, hızlı müdahale yöntemleri, koruma mekanizmalarının devreye alınması ve iletişim süreçleri; panik yaratmadan, uygulanabilir bir yol haritası şeklinde sunuluyor.
Sosyal Mühendislik Saldırıları: Kodları Değil, Zihinleri Hack’lemek
Sosyal mühendislik saldırıları sistemleri değil, insan zihnini hedef alır. Bir e-posta, bir telefon sesi ya da “acil” ibaresi; en güçlü güvenlik önlemlerini bile tek hamlede devre dışı bırakabilir.
Bu bölümde sosyal mühendislik saldırılarının arka planını, psikolojik manipülasyon tekniklerini, kullanılan teknik yöntemleri ve bu saldırıların KVKK ile GDPR kapsamında doğurduğu ciddi hukuki sonuçları inceliyoruz. Gerçek vakalar, saldırgan bakış açısı ve savunma stratejileriyle, güvenliğin neden sadece teknik bir konu olmadığını burada göreceksiniz.
L7 DDoS: Normal Kullanıcı Gibi Davranan, Uygulamayı İçeriden Yıpratan Saldırılar
Layer 7 (Uygulama Katmanı) DDoS saldırıları, günümüzde en zor tespit edilen ve en maliyetli saldırı türleri arasında yer alıyor. Bu saldırılar, yüksek trafik üretmek yerine gerçek kullanıcı gibi davranarak uygulama kaynaklarını tüketmeyi hedefler.
Bu teknik makalede L7 DDoS saldırılarının çalışma prensipleri, adaptive rate limiting, query cost bazlı koruma, bot davranış analizi ve gerçek bir vaka üzerinden savunma stratejileri derinlemesine incelenmektedir.
DDoS Saldırısı Nedir? İnternet Siteleri Neden Çöker?
DDoS saldırıları, internet sitelerinin en sık yanlış anlaşılan problemlerinden biridir.
Bu kategoride DDoS’un ne olduğunu, sitelerin neden “çöktü” sanıldığını, bot trafiği ve CDN gibi katmanların bu süreçteki gerçek rolünü; korkutmadan, abartmadan ve teknik doğruluktan sapmadan ele alıyoruz.
Amaç panik yaratmak değil, ne yaşadığını doğru anlayıp doğru önlem almanı sağlamak.
Popüler Göneriler
