Site normal çalışıyor. Trafik stabil. Bir anda destek hattına mesajlar düşmeye başlıyor:
“Site açılmıyor.”
“Ödeme sayfası dönüyor.”
“Sepete ürün eklenmiyor.”
Sunucuya giriyorsunuz. CPU %60. RAM boş. Disk normal. Ama servis veremiyorsunuz.
DDoS saldırısı tam olarak böyle başlar. Sistem ayakta görünür ama kullanıcıya hizmet veremez. Asıl problem kaynak tüketimi değil, erişilebilirliğin çökmesidir.
Bu yazıda klasik tanım yapmayacağım. Gerçek sahada gördüğüm hatalar, teknik detaylar ve işe yarayan korunma yöntemleri üzerinden gideceğiz.
DDoS saldırısı gerçekte nasıl çalışır?
DDoS (Distributed Denial of Service), bir servisi erişilemez hale getirmek için binlerce hatta milyonlarca kaynaktan eş zamanlı trafik gönderilmesidir. Ama “çok trafik” demek eksik kalır.
Saldırılar genelde üç seviyede olur:
- Network layer (L3/L4) → SYN flood, UDP flood
- Application layer (L7) → HTTP flood, login brute force, cart endpoint spam
- Hybrid saldırılar → Aynı anda hem network hem uygulama katmanı
Çoğu işletme sadece bandwidth’e bakar. Oysa application layer saldırılarında 10-20 Mbps trafik bile siteyi kilitleyebilir.
Özellikle şunlar hedef alınır:
- WordPress login sayfaları
- XML-RPC endpoint’leri
- Sepet ve ödeme sayfaları
- Arama fonksiyonları
Çünkü bu endpoint’ler CPU ve veritabanı tüketir.
Gerçek bir DDoS senaryosu: Kampanya günü çöküş
2024’te yönettiğim bir projede yaşanan olay:
- Günlük ortalama trafik: 1.500 – 2.000 kullanıcı
- Sunucu: 8 vCPU / 16 GB RAM
- Koruma: Basic firewall
Kampanya günü saat 15:20’de site yavaşladı.
15:28’de ödeme sayfası cevap vermez hale geldi.
Log analizinde:
- 35.000 farklı IP
- /cart ve /checkout endpoint’ine yoğun istek
- Residential proxy ağı kullanılmış
- User-agent’lar gerçek tarayıcı gibi
Sunucu kaynakları tükenmemişti.
Ama PHP worker havuzu dolmuştu. Yeni istekler kuyruğa girdi. Gerçek kullanıcılar ödeme yapamadı.
3 saatlik kesinti = ciddi ciro kaybı + reklam bütçesi israfı.
En tehlikeli DDoS tipi budur: Site açık gibi görünür ama işlem yapılamaz.
DDoS saldırısını erken nasıl tespit edersiniz?
Çoğu kişi şu hatayı yapar:
- CPU’ya bakar
- RAM’e bakar
- “Sorun yok” der
Oysa bakılması gerekenler:
- Concurrent connection sayısı
- SYN_RECV state artışı
- 4xx / 5xx oranı
- Aynı endpoint’e aşırı yoğunluk
- Cache bypass parametreleri
Çoğu kişinin bilmediği teknik detay:
Application layer saldırılarda saldırganlar cache’i devre dışı bırakmak için URL parametresi ekler:
/?random=123123
/?random=987654
Bu sayede CDN cache’i çalışmaz. Her istek origin sunucuya gider. Eğer cache stratejiniz doğru değilse, sistem gereksiz yere yük altında kalır.
Bir diğer kritik nokta:
netstat -ant | awk '{print $6}' | sort | uniq -c | sort -n
SYN_RECV patlıyorsa L4 seviyesinde flood olabilir.
Ama unutmayın: Firewall log’una bakmadan karar vermek hata olur.
Firewall neden tek başına yeterli değildir?
“UFW kurduk, iptables var, sorun çözülür.”
Hayır.
Firewall sunucunun içinde çalışır. Trafik önce sunucuya gelir, sonra filtrelenir. Büyük hacimli saldırıda zaten geç kalınmış olur.
Aşağıdaki tablo durumu net gösterir:
| Koruma Yöntemi | Etki Seviyesi | Koruduğu Katman | Gerçek Koruma |
|---|---|---|---|
| Basic Firewall | Düşük | L3 | Küçük saldırılar |
| Fail2ban | Orta | L7 | Basit brute force |
| Rate Limiting | Orta | L7 | Küçük bot saldırıları |
| CDN + WAF | Yüksek | L3 + L7 | Ticari saldırılar |
| Dedicated Mitigation | Çok Yüksek | Multi-layer | Büyük hacimli saldırılar |
Gerçek çözüm, trafiği sunucuya ulaşmadan filtrelemektir.
Application layer DDoS’tan nasıl korunursunuz?
En sinsi saldırı türü budur. Çünkü trafik gerçek kullanıcı gibi görünür.
Yapılması gerekenler:
1. Rate Limiting
Özellikle login ve sepet endpoint’lerinde.
Nginx tarafında limit tanımlamak, küçük ölçekli bot saldırılarını ciddi şekilde azaltır.
2. CDN + WAF kullanımı
Edge seviyesinde filtreleme şarttır.
CDN sadece hız için değil, DDoS absorbe etmek için kullanılır.
WAF ise davranış bazlı filtreleme yapar.
Ancak en sık yapılan hata:
CDN kurup origin IP’yi açık bırakmak.
Saldırgan DNS geçmişinden IP’yi bulur ve direkt sunucuya yüklenir. CDN tamamen bypass edilir.
Origin IP sadece whitelist IP’lere açık olmalıdır.
3. Sağlam hosting altyapısı
Zayıf network kapasitesi olan paylaşımlı hostinglerde DDoS koruması sınırlıdır.
Yüksek bant genişliği ve izole kaynak mimarisi olan bir altyapı gerekir. Özellikle e-ticaret veya kurumsal projelerde stabil bir hosting altyapısı kritik öneme sahiptir.
Bu noktada altyapı kalitesi belirleyici olur. Örneğin yüksek performanslı ve izole kaynak yapısına sahip web hosting çözümleri, saldırı anında komşu hesaplardan etkilenme riskini minimize eder. Detaylı bilgi için https://perminet.com/web-hosting sayfasına göz atabilirsiniz.
Hosting seçimi sadece fiyat kriteriyle yapılmamalı.
Network layer DDoS saldırılarına karşı ne yapılmalı?
SYN flood ve UDP flood gibi saldırılar bandwidth’i hedef alır.
Yapılması gerekenler:
- Upstream filtering
- ISP seviyesinde müdahale
- Anycast network
- SYN cookies aktif olması
- TCP backlog ayarlarının optimize edilmesi
Çoğu kişinin bilmediği teknik bir nokta:
Linux’ta tcp_syncookies açık olsa bile, aşırı SYN flood altında CPU etkilenebilir. Çünkü her paket kernel seviyesinde işlenir. Bu yüzden gerçek çözüm her zaman upstream mitigation’dır.
Sunucu içi ayarlar tek başına yeterli değildir.
DDoS saldırısı SEO’yu nasıl etkiler?
Bu konu hafife alınıyor.
- Google bot siteye erişemezse crawl düşer
- 5xx hataları artarsa sıralama kaybı yaşanır
- Yavaşlık Core Web Vitals’ı bozar
Kısa süreli kesintiler bile rekabetçi sektörlerde pozisyon kaybına neden olabilir.
Özellikle kampanya döneminde yaşanan kesintiler, hem reklam bütçesini yakar hem organik güveni zedeler.
Arama motorları istikrarlı siteleri sever.
En sık yapılan DDoS hataları
Sahada en çok gördüğüm hatalar:
- “Bize saldırmazlar” düşüncesi
- Sadece firewall’a güvenmek
- Log analizi yapmamak
- Monitoring olmadan çalışmak
- CDN arkasında origin IP’yi gizlememek
- Kampanya öncesi stres testi yapmamak
Bot ağları hedef seçmez. IP bloğunu tarar. Açık bulursa yüklenir.
Sık Sorulan Sorular (FAQ)
DDoS saldırısı ile normal trafik artışı nasıl ayırt edilir?
Gerçek trafik farklı sayfalar arasında gezinir.
DDoS genelde tek endpoint’e yüklenir.
Log analizi yapmadan karar verilmez.
Küçük bir site DDoS hedefi olur mu?
Evet. Özellikle otomatik bot ağları küçük büyük ayırmaz.
Paylaşımlı hosting DDoS koruma sağlar mı?
Sınırlı sağlar. Aynı sunucudaki başka bir site saldırı aldığında siz de etkilenebilirsiniz.
Ücretsiz DDoS koruması yeterli mi?
Basit saldırılarda olabilir.
Application layer saldırılarında genellikle yetersiz kalır.
DDoS tamamen engellenebilir mi?
%100 engellemek mümkün değildir.
Ama doğru mimari ile etkisi minimuma indirilebilir.
DDoS saldırısı teknik bir detay değil, operasyonel bir risktir. Güçlü sunucu tek başına çözüm değildir. Ağ, uygulama ve edge seviyesinde birlikte düşünmek gerekir.
Hazırlık kriz anında yapılmaz. Önceden yapılır.
Bir yanıt yazın