DDoS saldırısı, bir web sitesini veya sunucuyu çalışamaz hale getirmek için tasarlanmış, en yaygın siber tehditlerden biridir. Hacklenmeden farklı olarak amacı veri çalmak değil, siteyi erişilemez kılmaktır: gerçek ziyaretçiler sayfayı açamaz, sepete ürün eklenemez, ödeme alınamaz. Saldırı boyunca işiniz fiilen durur. Bu yazıda DDoS saldırısının ne olduğunu, hangi belirtilerden anlaşıldığını ve web sitenizle sunucunuzu WAF, CDN, rate limit ve doğru hosting sağlayıcısı kombinasyonuyla nasıl koruyacağınızı sade bir dille anlatıyoruz.
DDoS saldırısı nedir?
DDoS, "Distributed Denial of Service" yani dağıtık hizmet engelleme anlamına gelir. Saldırgan, dünyanın dört bir yanındaki binlerce ele geçirilmiş cihazdan (bilgisayar, kamera, modem, IoT cihazları — toplamına botnet denir) aynı anda sitenize istek gönderir. Sunucunuz bu sahte trafiğe cevap yetiştirmeye çalışırken işlemci, bellek ve bant genişliği tükenir; gerçek kullanıcılara yer kalmaz.
"Dağıtık" kelimesi önemli. Tek bir kaynaktan gelen basit saldırıyı (DoS) engellemek nispeten kolaydır; o IP'yi engellersiniz, biter. Ama trafik on binlerce farklı IP'den geliyorsa hangisinin gerçek müşteri, hangisinin bot olduğunu ayırt etmek çok daha zordur. İşte DDoS'u tehlikeli kılan tam olarak budur.
DDoS saldırısı türleri
Saldırılar genellikle üç ana katmanda toplanır:
- Hacim tabanlı (volumetrik) saldırılar: Bant genişliğini doldurmayı hedefler. UDP flood, ICMP flood gibi yöntemlerle sunucuya devasa miktarda veri yollanır. En sık görülen türdür.
- Protokol saldırıları: Sunucunun bağlantı kaynaklarını tüketir. Klasik örnek SYN flood: yarım kalmış bağlantı istekleriyle sunucunun bağlantı tablosu doldurulur.
- Uygulama katmanı (Layer 7) saldırıları: En sinsi olanıdır. Gerçek kullanıcı davranışını taklit eder; örneğin saniyede yüzlerce kez arama sayfasını veya giriş formunu çağırır. Trafik az görünür ama her istek sunucuyu yorduğu için site yine de çöker.
DDoS saldırısının belirtileri
Bir DDoS saldırısını erken fark etmek, müdahale süresini ciddi ölçüde kısaltır. Şu belirtilere dikkat edin:
- Sitenin ani ve açıklanamayan yavaşlaması: Hiçbir değişiklik yapmadığınız halde sayfalar saniyeler yerine dakikalarca açılıyorsa.
- Aralıklı veya tam erişim kaybı: Site bazen açılıp bazen "503 Service Unavailable" veya zaman aşımı hatası veriyorsa.
- Belirli bir kaynaktan anormal trafik: Tek bir ülkeden, tek bir IP aralığından ya da tek bir sayfaya beklenmedik yoğunlukta istek geliyorsa.
- Sunucu kaynaklarının tavan yapması: Kampanya, viral içerik gibi bir sebep olmadan CPU ve RAM kullanımı sürekli %100'e dayanıyorsa.
- E-posta ve diğer servislerin de etkilenmesi: Sunucu tamamen meşgulse aynı makinedeki posta veya panel erişimi de bozulabilir.
Burada kritik bir nokta var: her trafik artışı saldırı değildir. Bir indirim duyurusu, sosyal medyada viral olan bir gönderi veya basın haberi de aniden ziyaretçi patlaması yaratabilir. Sağlıklı trafik genellikle farklı sayfalara dağılır ve normal kullanıcı davranışı sergiler; saldırı trafiği ise dar bir hedefe yığılır ve robotik bir desen izler. Logları incelemek bu ayrımı yapmanın en güvenilir yoludur.
Web sitenizi ve sunucunuzu korumanın yolları
DDoS'a karşı tek bir sihirli çözüm yoktur. En sağlam yaklaşım, birkaç savunma katmanını üst üste koymaktır. Aşağıda en etkili dört bileşeni inceliyoruz.
1. CDN: ilk savunma hattı
CDN (İçerik Dağıtım Ağı), sitenizin içeriğini dünyaya yayılmış birçok sunucuda önbellekler. Ziyaretçi siteye eriştiğinde istek doğrudan sizin sunucunuza değil, en yakın CDN düğümüne gider. Bu mimari DDoS'a karşı doğal bir kalkandır:
- Saldırı trafiği önce CDN'in dev kapasiteli ağına çarpar; tek bir sunucuya yıkılmaz.
- CDN'ler kötü amaçlı trafiği kendi seviyelerinde emer ve filtreler, sizin sunucunuza ulaşmadan temizler.
- Gerçek kullanıcılar için ek bir hız avantajı da kazanırsınız.
Çoğu durumda CDN, volumetrik saldırıların büyük bölümünü daha sunucunuza ulaşmadan eritir.
2. WAF: akıllı trafik filtresi
WAF (Web Uygulama Güvenlik Duvarı), sitenize gelen her isteği bir kural setine göre inceler. Özellikle uygulama katmanı (Layer 7) saldırılarına karşı en etkili araçtır. WAF; bot davranışlarını, anormal istek desenlerini ve bilinen saldırı imzalarını tanır, şüpheli trafiği engeller. SQL injection, XSS gibi diğer web saldırılarına karşı da koruma sağladığı için ikili fayda sunar. CDN trafiğin büyüklüğüyle ilgilenirken WAF trafiğin niyetiyle ilgilenir; ikisi birlikte güçlü bir ekip oluşturur.
3. Rate limit: istek sınırlama
Rate limit (hız sınırlama), belirli bir süre içinde tek bir kaynaktan gelebilecek istek sayısına tavan koyar. Örneğin "aynı IP dakikada en fazla 60 giriş denemesi yapabilir" gibi bir kural tanımlarsınız. Bu sayede:
- Bir bot saniyede yüzlerce istek atmaya çalışsa bile sınırı aşar aşmaz engellenir.
- Giriş formu, arama ve API gibi kaynak tüketen uç noktalar korunmuş olur.
- Gerçek kullanıcılar normal kullanım sınırları içinde olduğu için hiç etkilenmez.
Rate limit, özellikle hedefli Layer 7 saldırılarına karşı sade ama oldukça etkili bir önlemdir.
4. Hosting sağlayıcısının rolü
Bu noktada en çok hafife alınan ama belki de en belirleyici faktöre geliyoruz: hosting sağlayıcınız. Yukarıdaki araçların hepsi, altyapınız sağlam değilse sınırlı kalır. İyi bir sağlayıcı şunları sunar:
- Ağ seviyesinde DDoS koruması: Saldırı trafiğini sunucunuza ulaşmadan veri merkezi sınırında temizleyen sistemler.
- Yeterli bant genişliği ve kaynak havuzu: Ani yükleri tek bir sunucuya yüklemeden dağıtabilen altyapı.
- 7/24 izleme ve hızlı müdahale: Saldırı başladığında size haber veren ve teknik olarak yanınızda olan bir ekip.
- Yurt içi barındırma ve KVKK uyumu: Türkiye'deki ziyaretçilerinize düşük gecikme, verilerinizin yurt içinde kalması ve KVKK açısından net bir hukuki zemin.
Tek başınıza pahalı kurumsal DDoS çözümleri kiralamak yerine, bu korumayı altyapısının bir parçası olarak sunan bir sağlayıcıyla çalışmak hem ekonomik hem de pratiktir.
Korunma araçlarının karşılaştırması
Her aracın hangi saldırı türüne karşı ön planda olduğunu özetleyen tablo:
| Önlem | Öncelikli koruduğu katman | Ana işlevi | Tek başına yeterli mi? |
|---|---|---|---|
| CDN | Volumetrik (hacim) | Trafiği dağıtır ve emer | Hayır |
| WAF | Uygulama (Layer 7) | Kötü niyetli isteği filtreler | Hayır |
| Rate limit | Uygulama / protokol | İstek sayısını sınırlar | Hayır |
| Hosting altyapısı | Tüm katmanlar | Ağ seviyesinde temizler + destek | Temel zemin |
Görüldüğü gibi hiçbiri tek başına tam koruma sağlamaz; güç, bu katmanların birlikte çalışmasından gelir.
Saldırı anında ne yapmalısınız?
Tüm önlemlere rağmen bir saldırıyla karşılaşırsanız panik yapmadan şu adımları izleyin:
- Doğrulayın: Sorunun saldırı mı yoksa normal trafik artışı veya teknik bir arıza mı olduğunu loglardan teyit edin.
- Sağlayıcınıza haber verin: En hızlı çözüm, ağ seviyesinde müdahale edebilecek hosting ekibinizle iletişime geçmektir.
- Saldırı kaynağını daraltın: Mümkünse saldıran IP aralıklarını veya coğrafi bölgeleri geçici olarak kısıtlayın.
- Sınırları sıkın: Rate limit kurallarınızı geçici olarak daha agresif hale getirin.
- Kayıt tutun: Saldırı zamanını, türünü ve etkisini not edin; hem sonrası için ders hem de gerekirse hukuki süreç için belge olur.
Önceden bir CDN ve WAF kurulu, izlemesi açık bir altyapınız varsa bu adımların çoğu zaten otomatik işler ve siz çok daha rahat olursunuz.
Sonuç
DDoS saldırıları, hedef veri çalmak olmasa bile işinizi saatlerce hatta günlerce durdurabilir; bu da gelir kaybı, müşteri güveninde sarsılma ve itibar zedelenmesi demektir. İyi haber şu: tek bir mucize çözüm aramak yerine CDN, WAF, rate limit ve sağlam bir hosting altyapısını katman katman bir araya getirdiğinizde saldırıların büyük çoğunluğu daha size ulaşmadan etkisiz kalır.
Sitenizin saldırılara dayanıklı, izlemesi açık ve KVKK uyumlu bir altyapıda yaşamasını istiyorsanız, doğru zemini seçmek ilk adımdır. Hostmana hosting paketlerini inceleyerek işletmenize uygun, korumalı bir başlangıç yapabilir; aklınıza takılan her konuda bilgi bankamıza göz atabilir veya bizimle iletişime geçebilirsiniz. Güvenliği saldırı gelmeden önce kurmak, her zaman sonradan onarmaktan daha kolaydır.