Günümüzde web siteleri, çevrimiçi hizmetler ve sunucular her zamankinden daha fazla siber tehditle karşı karşıya.
Bu tehditlerin en yaygın ve yıkıcı olanlarından biri DDoS saldırılarıdır.
Bir DDoS (Distributed Denial of Service) saldırısı, web sitenizi veya sunucunuzu aşırı trafikle meşgul ederek erişilemez hale getirmeyi amaçlar.
DDoS (Distributed Denial of Service), Türkçe anlamıyla “Dağıtılmış Hizmet Engelleme” saldırısıdır.
Bu saldırılarda, birçok farklı cihaz (botnet ağı) aynı anda hedef sunucuya yoğun istek (trafik) gönderir.
Sunucu, gelen bu aşırı yükü işleyemez hale gelir ve gerçek kullanıcıların erişimi engellenir.
Basitçe:
Normalde sunucunuz saniyede 100 isteği işler.
DDoS sırasında bu sayı milyonlara çıkar.
Sunucu kaynakları tükenir ve sistem yanıt veremez.
DDoS saldırıları genellikle binlerce farklı IP adresine sahip bilgisayarların (botnet) aynı anda hedefe istek göndermesiyle yürütülür.
Bu bilgisayarlar genellikle zararlı yazılımlarla ele geçirilmiş sistemlerdir.
Saldırgan, bu ağı kontrol ederek belirli bir hedefe trafiği yönlendirir.
Saldırının işleyişi şu adımlarla özetlenebilir:
Saldırgan, botnet ağı oluşturur (binlerce ele geçirilmiş cihaz).
Bu cihazlara aynı anda hedef sunucuya istek gönderme komutu verir.
Sunucu gelen yoğun trafiği işleyemez hale gelir.
Gerçek kullanıcılar siteye ulaşamaz.
DDoS saldırıları farklı katmanlarda gerçekleşebilir. En yaygın türleri aşağıdaki gibidir:
| Saldırı Türü | Hedef Alan | Açıklama |
|---|---|---|
| Volumetrik (Hacimsel) Saldırılar | Ağ bant genişliği | Trafik hacmini artırarak ağı tıkar. |
| Protokol Saldırıları | Sunucu kaynakları | TCP, UDP, ICMP gibi protokolleri hedef alır. |
| Uygulama Katmanı (Layer 7) Saldırıları | Web uygulamaları | Web sunucusuna sahte istekler gönderir. |
| SYN Flood | TCP bağlantı süreci | Bağlantı taleplerini yarım bırakarak sistemi yorar. |
| HTTP Flood | Web sunucusu | Çok sayıda sahte HTTP isteği gönderir. |
Bu saldırıların bazıları kısa sürede etki gösterirken, bazıları haftalarca sürebilir.
Bir web sitesi veya sunucu DDoS saldırısı altındaysa genellikle şu belirtiler ortaya çıkar:
Siteye erişim aniden yavaşlar veya kesilir.
Ping süreleri normalin çok üzerindedir.
Sunucu CPU ve RAM kullanımı aniden artar.
Log kayıtlarında aynı IP’lerden gelen binlerce istek görünür.
E-posta veya API servisleri yanıt vermemeye başlar.
Bu belirtiler gözlemlendiğinde, sisteminize yönelik bir DDoS saldırısı olasılığı oldukça yüksektir.
DDoS saldırılarını tamamen engellemek çoğu zaman mümkün değildir,
ancak doğru önlemlerle etkisini büyük ölçüde azaltmak mümkündür.
Sunucunuzda ağ trafiğini filtreleyen bir güvenlik duvarı (firewall) yapılandırın.
Bu sayede zararlı istekler sisteme ulaşmadan engellenir.
Linux sunucular için iptables veya CSF (ConfigServer Security & Firewall) tercih edilebilir.
Windows Server kullanıcıları için gelişmiş güvenlik duvarı kuralları oluşturulabilir.
CDN (Content Delivery Network), site trafiğini farklı coğrafi noktalara dağıtarak saldırının yükünü azaltır.
Cloudflare veya BunnyCDN gibi servisler, DDoS koruması da sağlar.
CDN kullanmak, hem saldırı yükünü dengeler hem de performansı artırır.
Gerçek zamanlı trafik analizi, DDoS saldırısını erken tespit etmenizi sağlar.
Fail2ban, Netdata, Zabbix veya Grafana gibi araçlar bu konuda faydalıdır.
Belirli bir IP adresinin saniyede gönderebileceği istek sayısını sınırlamak, bot trafiğini durdurur
Nginx için örnek:
Bu yapı, tek bir IP’nin saniyede 5’ten fazla istekte bulunmasını engeller.
Sunucunuzda açık olan her port potansiyel bir saldırı kapısıdır.
Kullanmadığınız servisleri devre dışı bırakın, yalnızca gerekli portları açık bırakın.
Eski yazılımlar, bilinen güvenlik açıklarını içerir.
Sunucunuzun işletim sistemi, paneli ve web uygulamaları her zaman güncel olmalıdır.
Bazı hosting altyapıları, DDoS saldırılarına karşı donanımsal ve yazılımsal koruma sağlar.
Yük dengeleme, trafik filtreleme ve otomatik bloklama sistemleriyle saldırıların etkisini minimuma indirir.
Bir DDoS saldırısı tespit ettiğinizde:
Saldırı kaynağını belirleyin (log analiziyle).
Güvenlik duvarından şüpheli IP’leri engelleyin.
CDN veya firewall seviyesinde trafik kısıtlaması uygulayın.
Hosting sağlayıcınıza veya veri merkezine durumu bildirin.
Gerekiyorsa, geçici olarak siteyi bakım moduna alın.
Saldırı sona erdikten sonra log kayıtlarını analiz edin, zayıf noktaları belirleyin.
Firewall kurallarını sıkılaştırın, backup planınızı test edin ve ağ yapınızı gözden geçirin.
Düzenli izleme sistemleri kurarak gelecekteki tehditleri daha hızlı fark edebilirsiniz.
