DDoS Saldırıları Nedir, Sunucularını Nasıl Korursun?

DDoS (Distributed Denial of Service) saldırıları, 2024’te dünya genelinde %46 arttı — Cloudflare raporu. Bir gün siteni açtığında “Sunucu yanıt vermiyor” mesajı görmek istemiyorsan, korunma stratejini bugünden kurmalısın. Bu yazıda DDoS saldırı türlerini, nasıl ayırt edileceğini ve etkili savunma katmanlarını anlatıyoruz.

DDoS nedir?

Klasik DoS saldırısında tek bir kaynak sunucuna binlerce istek yağdırır. DDoS’ta ise binlerce, milyonlarca farklı IP’den (genelde botnet’lerle) eş zamanlı saldırı gelir. Sunucu meşgul kalır, gerçek kullanıcılar siteyi açamaz.

Basit benzetme: Restoranın 50 müşteri kapasiteli; aniden 5.000 kişi kapıya yığılırsa gerçek müşteri içeri giremez. DDoS budur — bant genişliği veya CPU’nu meşgul etmek.

DDoS saldırı türleri

1. Volumetric (Hacim) saldırıları

Amacı: Hattını doldurmak. Gbps cinsinden ölçülür.

• UDP Flood: Rastgele portlara UDP paketi yağdırır
• ICMP Flood: Ping isteğiyle ağı doldurur
• DNS Amplification: DNS sunucularını sahte istekle kullanıp gerçek hedefe büyütülmüş yanıt yöneltir (1 GB istek → 50 GB yanıt)

Çözüm: Omurga seviyesinde scrubbing — ISP/datacenter trafiği temizler, sunucuya ulaşmadan engeller.

2. Protocol saldırıları

Amacı: Sunucu kaynaklarını (CPU, bağlantı tablosu) tüketmek. Paket/saniye cinsinden ölçülür.

• SYN Flood: TCP handshake’i hiç tamamlanmaz, sunucu açık bağlantı bekler
• Ping of Death: Bozuk ICMP paketi
• Smurf attack: Yayın adresine ICMP paketi

Çözüm: SYN cookies, firewall kuralları, connection rate limit.

3. Application layer (Layer 7) saldırıları

Amacı: Web uygulamasını yormak. İstek/saniye cinsinden ölçülür. En tehlikeli ve tespit edilmesi en zor olan tür.

• HTTP Flood: Botnet’le legit gibi görünen GET/POST istekleri
• Slowloris: Yavaş yavaş bağlantı açıp asla kapatmamak
• WordPress XML-RPC abuse: WP’nin kendi endpoint’ini kullanıp DB’yi yorma

Çözüm: WAF (Web Application Firewall), bot detection, rate limiting per IP.

Korunma katmanları (4 seviye)

DDoS koruması tek bir aracın işi değil — katmanlı güvenlik gerekir:

Katman 1 — CDN / Reverse proxy

Cloudflare (ücretsiz plan bile yeterli) trafiği önce kendisi karşılar:

• Volumetric saldırıyı 200+ Tbps kapasiteli omurgasında emer
• Bot trafiği parmak iziyle ayırır
• WAF ile L7 saldırılarını yakalar

Setup süresi: ~10 dakika (DNS değişikliği).

Katman 2 — Datacenter / Hosting tarafı

İyi hosting firmaları sunucu seviyesine ulaşmadan trafiği temizler. KavesNET sunucuları örneğin:

• Omurga seviyesinde DDoS koruması (ücretsiz, dahili)
• 10 Gbps’a kadar volumetric saldırıyı emer
• Anomali algılandığında trafiği otomatik scrubbing center’a yönlendirir

Cloudflare olmadan da çalışır; ama ikisini birlikte kullanmak en iyi savunma.

Katman 3 — Sunucu firewall + rate limit

iptables / nftables veya ufw ile basit kurallar:

# Aynı IP'den 60 saniyede 100'den fazla bağlantıyı engelle
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
  -m recent --set --name HTTP

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
  -m recent --update --seconds 60 --hitcount 100 --name HTTP -j DROP

Nginx tarafında rate limit:

limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

location /api/ {
    limit_req zone=api burst=20 nodelay;
    proxy_pass http://backend;
}

Katman 4 — Uygulama tarafı

• WordPress: XML-RPC kapat, login sayfasına 2FA + IP whitelist
• API: JWT + per-user rate limit
• Bot detection: Cloudflare Turnstile, hCaptcha
• Health check’leri ve kendi monitoringini ayrı portta tut

Saldırı altında ne yapılır?

Site şu an saldırı altındaysa adım adım:

1. Trafiği analiz et: netstat -anp | grep :80 | wc -l ile aktif bağlantı sayısı
2. Cloudflare “Under Attack” mode: 1 tıkla aktif edilir, JS challenge devreye girer
3. Hosting’e bildir: Omurga seviyesinde sniff/scrubbing isteği
4. Saldırgan IP/range’leri geçici block: fail2ban veya manuel iptables
5. Log’ları sakla: User-Agent, referer pattern’leri ileride savunma için işine yarar

Yaygın hatalar

• Sadece Cloudflare’e güvenmek: Origin IP’n leak olursa Cloudflare bypass edilir; mutlaka firewall’da sadece Cloudflare IP range’lerine 80/443 izin ver
• Rate limit’i çok agresif kurmak: Gerçek kullanıcıyı engellersin (mobil NAT’ta tek IP’den çok kullanıcı gelir)
• Hiç loglama yapmamak: Saldırı sonrası “ne oldu” diye bakmak için lazım
• Backup almamak: Saldırı sırasında ransomware de bulaşabilir; yedek kritik. 3-2-1 yedekleme stratejimize göz at

Kim risk altında?

• E-ticaret siteleri — kampanya günü saldırı = doğrudan satış kaybı
• Oyun sunucuları — rakip oyuncular DDoS sipariş verir (yaygın!)
• API sunucuları — bağımlı sistemler de etkilenir
• Haber/medya siteleri — politik ya da rekabet kaynaklı
• Tüm ticari siteler — random extortion’a karşı

Sonuç

DDoS bir “olur mu” değil, “ne zaman olur” sorusudur. Hazırlıksız yakalanırsan 3-7 gün arası downtime + binlerce dolar kayıp yaşarsın. Hazırlıkla bu süreç dakikalara, kayıp ise sıfıra iner.

Doğru sıra: Cloudflare → datacenter koruması → sunucu firewall → uygulama tarafı — dört katman birlikte çalışır.

KavesNET sunucularında omurga seviyesi DDoS koruması ücretsiz dahildir; Cloudflare ile kombine ettiğinde çoğu saldırı sunucuna ulaşamadan biter. Sunucu paketlerini incele → ya da yüksek riskli proje için bize yaz.

İlgili: VDS vs VPS Farkı · 3-2-1 Yedekleme Kuralı