On beş yılımı sunucu odalarının o kendine has uğultusu ve terminal ekranlarının yeşil ışığında geçirdim. Binlerce kez sistemlerin “nefes alamadığına” şahit oldum. Bir sabah kahvenizi yudumlarken monitörlerin bir anda kırmızıya dönmesi… İşte o an anlarsınız: DDoS (Distributed Denial of Service) kapıyı çalıyor.
Peki, bu saldırganlar içeri girmek için hangi yolu kullanıyor? Her saldırı aynı mıdır? Tabii ki hayır. Gelin, ağ katmanlarını (OSI modeli) bir apartman kompleksine benzeterek bu işi temelinden çözelim.
1. Katman 3 ve 4 (Network & Transport): Otobanı Kapatan Kamyonlar
Layer 3 (Ağ) ve Layer 4 (Taşıma) saldırıları, genellikle “Hacimsel (Volumetric)” saldırılar olarak bilinir. Burada amaç zekice bir sızma yapmak değil, hattı tamamen tıkamaktır.
Layer 3 (ICMP / IP Flood) – “Yolları Kazalım”
Bu katmanda saldırgan, sunucunuza devasa bir veri trafiği gönderir.
- Benzetme: Evinize giden tüm yollara aynı anda binlerce hafriyat kamyonunun girdiğini ve yolu fiziksel olarak kapattığını hayal edin. Sizin sipariş ettiğiniz pizza (gerçek veri) o yoldan geçip kapınıza gelemez.
Layer 4 (TCP SYN / UDP Flood) – “Zili Çalıp Kaçanlar”
En klasik SysAdmin kabusudur. Saldırgan, sunucunuza “Bağlantı kurmak istiyorum!” (SYN) der, sunucu “Tamam, hazırım” (ACK) yanıtını verir ama saldırgan asla geri dönmez. Sunucu, o hayali misafiri beklerken kaynaklarını tüketir.
- Benzetme: Birinin kapı zilinize saniyede binlerce kez basıp, siz kapıyı açtığınızda orada olmaması gibi. Bir süre sonra kapıyı açıp kapamaktan yorgun düşersiniz.
Pro Tip: Layer 3 ve 4 saldırılarını yerel sunucunuzda (on-premise) çözmeye çalışmak, yangını bir bardak suyla söndürmeye benzer. Bu aşamada ISP (İnternet Servis Sağlayıcı) düzeyinde veya bulut tabanlı bir “Scrubbing Center” (Temizleme Merkezi) kullanmak hayat kurtarır.
2. Katman 7 (Application): Garsonu Meşgul Eden Müşteriler
İşte burası işin “sanat” kısmıdır. Layer 7 (Uygulama) saldırıları sessiz ve derinden gelir. Trafik miktar olarak az görünebilir ama sunucunun işlemcisini (CPU) ve belleğini (RAM) içeriden çürütür.
HTTP Flood – “Bitmek Bilmeyen Siparişler”
Saldırgan, web sitenizin en ağır sayfasına (örneğin karmaşık bir arama sorgusu veya PDF oluşturma sayfası) binlerce istek gönderir.
- Benzetme: Bir restorana gelen 100 kişinin yemek siparişi vermesi değil, her birinin garsona “Bu çorbanın içinde kaç tane karabiber tanesi var? Tek tek sayar mısın?” diye sormasıdır. Garson (sunucu) meşguliyetten diğer müşterilere bakamaz hale gelir.
3. Hangi Saldırı Daha Tehlikeli?
| Özellik | Layer 3 & 4 | Layer 7 |
| Hedef | Bant Genişliği (Bps) | Sunucu Kaynakları (RPS/CPU) |
| Yöntem | Kaba Kuvvet (Brute Force) | Taklit ve Karmaşık Sorgular |
| Tespit | Kolay (Trafik artışı barizdir) | Zor (Normal kullanıcı gibi davranır) |
| Çözüm | Firewall & ISP Koruması | WAF (Web Application Firewall) & Captcha |
E-Tablolar’a aktar
SysAdmin’in Not Defterinden: Savunma Hattı Nasıl Kurulur?
- Görünürlük Şart: Neyi koruduğunuzu bilmeniz gerekir. Anlık trafik grafiklerini (Grafana, Zabbix vb.) okumayı öğrenin.
- Rate Limiting: Aynı IP adresinden saniyede gelen istek sayısını sınırlayın. Gerçek bir insan saniyede 500 kez sayfa yenilemez.
- WAF Kullanımı: Layer 7 saldırıları için bir Web Uygulama Güvenlik Duvarı (WAF) şarttır. Bu sistemler “insan” ile “bot” arasındaki farkı kokusundan anlar.
- Atıl Kapasite: Sunucularınızı her zaman tam kapasitede çalıştırmayın. Olası bir yüklenmede esneklik payınız (headroom) olsun.
Bir yanıt yazın