Açık Bilet 
+373 79 600002 
Telegram Canlı Sohbet 
S.S.S 
Türkçe
English 
Русский 
Română 
Deutsch 
Français 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
GüvenlikDDoS Saldırıları: Türleri, OSI Model Katmanları ve Altyapınızı Koruma Yöntemleri
Dağıtılmış Hizmet Reddi (DDoS) saldırıları, günümüzde çevrimiçi işletmeler, web uygulamaları ve barındırma altyapısı karşısında en yıkıcı ve maliyetli tehditlerden biri olmaya devam etmektedir. İster küçük bir e-ticaret sitesi işletiyorsunuz ister kurumsal düzey sunucuları yönetiyorsunuz, DDoS saldırılarının nasıl çalıştığını — ve bunların OSI modelinin belirli katmanlarına nasıl eşlendiğini — anlamak, herhangi bir ciddi savunma stratejisinin temelini oluşturur.
Bu kapsamlı kılavuzda, her ana DDoS saldırı türünü açıklıyor, her birinin hangi OSI katmanını hedeflediğini belirtiyor, işletmenize gerçek dünyada etkisini özetliyor ve hizmetlerinizi çevrimiçi tutmak için kanıtlanmış azaltma stratejilerini anlatıyoruz.
DDoS Saldırısı Nedir?
Bir Dağıtılmış Hizmet Reddi (DDoS) saldırısı, hedeflenen bir sunucu, ağ veya hizmeti muazzam bir trafik veya kaynak tüketen istekler hacmiyle ezmeye yönelik koordineli, kötü niyetli bir girişimdir — bunu meşru kullanıcılara yanıt veremez hale getirir.
Tek bir makineden başlatılan basit bir DoS saldırısından farklı olarak, DDoS saldırıları botnetleri kullanır: binlerce hatta milyonlarca tehlikeye atılmış cihazın (bilgisayarlar, IoT cihazları, sunucular) ağı hedefi aynı anda sular altında bırakır. Dağıtılmış doğası bu saldırıları engellemeyi çok daha zor ve çok daha güçlü hale getirir.
Nihai hedef açıktır: hedefin kaynaklarını tüketmek — bant genişliği, CPU, bellek veya bağlantı kapasitesi — kapalı kalma süresi, düşürülmüş performans ve hizmet kesintisine neden olmak.
OSI Modeli: DDoS Savunması İçin Neden Önemlidir
OSI (Açık Sistemler Ara Bağlantısı) modeli, ağ iletişimini yedi farklı katmana bölen ve her biri belirli bir işlevden sorumlu olan kavramsal bir çerçevedir. DDoS saldırıları, belirli katmanlardaki güvenlik açıklarından yararlanmak için kasıtlı olarak tasarlanmıştır; bu nedenle modeli anlamak bunlara karşı tanı koymak ve savunmak için gereklidir.
| OSI Katmanı | Ad | İşlev |
|---|---|---|
| Katman 1 | Fiziksel | Ham verilerin donanım iletimi |
| Katman 2 | Veri Bağlantısı | Düğümden düğüme veri aktarımı |
| Katman 3 | Ağ | Yönlendirme ve IP adresleme |
| Katman 4 | Taşıma | Uçtan uca iletişim (TCP/UDP) |
| Katman 5 | Oturum | Oturum yönetimi |
| Katman 6 | Sunum | Veri biçimlendirmesi ve şifreleme |
| Katman 7 | Uygulama | Kullanıcıya yönelik protokoller (HTTP, DNS, vb.) |
DDoS saldırıları öncelikle Katman 3, 4 ve 7‘yi hedefler; her biri farklı bir algılama ve azaltma yaklaşımı gerektirir.
OSI Katmanına Göre DDoS Saldırı Türleri
1. Hacim Tabanlı Saldırılar — Katman 3 (Ağ Katmanı)
Hacim tabanlı saldırılar en basit olanıdır ve genellikle ham trafik hacmi açısından en büyüğüdür. Bunların birincil amacı, hedefin veya onu internete bağlayan ağ altyapısının mevcut bant genişliğini doyurmaktır. Saldırı boyutu tipik olarak saniye başına gigabit (Gbps) veya saniye başına paket (PPS) cinsinden ölçülür.
#### ICMP Taşması (Ping Taşması)
Saldırgan, hedef sunucuya muazzam sayıda ICMP Echo Request (ping) paketleri gönderir. Kurbanın sunucusu her isteği işlemeye ve karşılık gelen bir yanıt göndermeye zorlanır; hem gelen hem de giden bant genişliğini ve CPU döngülerini tüketir. Hacim sunucunun kapasitesini aştığında, meşru trafik tamamen dışlanır.
Temel özellik: Yürütülmesi basit, genellikle daha sofistike eş zamanlı saldırılar için bir perde olarak kullanılır.
#### UDP Taşması
Bir UDP taşmasında, saldırgan hedef ana bilgisayarın rastgele bağlantı noktalarına büyük hacimde Kullanıcı Datagram Protokolü (UDP) paketleri gönderir. UDP bağlantısız ve durumsuz olduğundan, hedef sunucu şunları yapmalıdır:
- Hedef bağlantı noktasında herhangi bir uygulamanın dinleyip dinlemediğini kontrol edin.
- Hiçbir uygulama bulunmazsa bir ICMP “Hedef Ulaşılamıyor” paketi gönderin.
Bu işlem saniyede milyonlarca kez tekrarlandığında, sunucu kaynaklarını ve mevcut bant genişliğini hızla tüketir.
#### Amplifikasyon Saldırıları (DNS/NTP Amplifikasyonu)
Katman 3 hacimsel saldırılarının özellikle tehlikeli bir alt türü olan amplifikasyon saldırıları, genel olarak erişilebilir sunuculardan (DNS çözümleyicileri, NTP sunucuları, memcached örnekleri) yararlanarak saldırı trafiğini çoğaltır. Saldırgan kurbanın IP adresini taklit eder ve bu sunuculara küçük istekler gönderir; bunlar 10x ila 100x daha büyük yanıtlarla yanıt verir — hepsi kurban üzerine yönlendirilir.
2. Protokol Saldırıları — Katman 4 (Taşıma Katmanı)
Protokol saldırıları, sadece bant genişliğini sular altında bırakmak yerine, TCP/IP iletişim protokollerinin kendisindeki zayıflıklardan yararlanır. Bunlar sunucu tarafı kaynakları tüketmeyi amaçlar; örneğin bağlantı durum tabloları, güvenlik duvarı oturum tabloları ve yük dengeleyici kapasitesi. Saldırı boyutu saniye başına paket (PPS) cinsinden ölçülür.
#### SYN Taşması
SYN taşması, en iyi bilinen ve yaygın olarak kullanılan DDoS tekniklerinden biridir. TCP üç yönlü el sıkışmasından yararlanır:
- İstemci bir bağlantı başlatmak için SYN paketi gönderir.
- Sunucu SYN-ACK ile yanıt verir ve son ACK‘ı beklerken kaynakları ayırır.
- Bir SYN taşmasında, saldırgan binlerce SYN paketi gönderir — genellikle taklit edilmiş kaynak IP’leri ile — ancak hiçbir zaman el sıkışmasını tamamlamaz.
Sunucunun bağlantı tablosu yarı açık bağlantılarla dolar ve meşru bağlantıları kabul etmesini engeller. Bu, nispeten düşük trafik hacimlerinde bile oldukça etkili bir saldırıdır.
#### Ölüm Pingu
Ölüm Pingu saldırısı, hedef sunucuya hatalı biçimlendirilmiş veya aşırı boyutlu paketler göndermeyi içerir. IPv4 spesifikasyonu paket boyutunu 65.535 bayta sınırlar; aşırı boyutlu bir paket parçalandığında ve yeniden birleştirildiğinde, arabellek taşmaları, sistem çökmelerine veya savunmasız sistemlerde yeniden başlatmalara neden olabilir. Modern işletim sistemleri büyük ölçüde klasik Ölüm Pingu’na karşı yamalanmış olsa da, varyantlar ortaya çıkmaya devam etmektedir.
#### ACK Taşması
Bir ACK taşmasında, saldırgan hedef sunucuya büyük hacimde TCP ACK paketleri gönderir. Sunucunun karşılık gelen SYN paketlerinin kaydı olmadığından, her birinin geçersiz olduğunu belirlemek için işlemesi gerekir — bu işlemde CPU ve belleği tüketir.
3. Uygulama Katmanı Saldırıları — Katman 7 (Uygulama Katmanı)
Uygulama katmanı saldırıları en sofistike olanıdır ve meşru kullanıcı davranışını yakından taklit ettikleri için tespit edilmesi en zordur. Bant genişliğini ezme veya bağlantı tablolarını tüketme yerine, belirli uygulamaların hesaplama kaynaklarını hedeflerler — web sunucuları, veritabanları, API’ler ve giriş sistemleri. Saldırı boyutu saniye başına istek (RPS) cinsinden ölçülür.
#### HTTP Taşması
Bir HTTP taşması, bir web sunucusuna görünüşte meşru HTTP GET veya POST isteklerinin muazzam sayıda gönderilmesini içerir. Her istek geçerli göründüğünden, basit IP tabanlı engelleme etkisizdir. Sunucu her isteği işlemek zorundadır — veritabanlarını sorgulama, sayfaları işleme, komut dosyalarını yürütme — tamamen bunaldığı ve gerçek kullanıcılara hizmet veremeyene kadar.
GET taşmaları tipik olarak kaynak yoğun sayfaları (arama sonuçları, ürün listeleri) hedefler.
POST taşmaları formları ve giriş uç noktalarını hedefler; sunucuyu gönderilen büyük miktarda veriyi işlemeye zorlar.
#### Slowloris
Slowloris, çok az bant genişliği gerektiren benzersiz bir gizli saldırıdır. Şu şekilde çalışır:
- Hedef web sunucusuna çok sayıda bağlantı açar.
- Kısmi, eksik HTTP istek başlıkları gönderir — her bağlantıyı canlı tutmak için yeterli.
- Zaman aşımlarını önlemek için periyodik olarak ek başlık satırları gönderir.
Sunucu, isteğin tamamlanmasını beklerken her bağlantıyı açık tutar; kademeli olarak maksimum bağlantı havuzunu tüketir. Havuz dolduğunda, yeni meşru bağlantılar kabul edilemez — saldırgan kaynakları minimal kullanırken sunucuyu etkili bir şekilde çevrimdışı bırakır.
#### DNS Sorgusu Taşması
Katman 7’deki DNS altyapısını hedefleyen saldırganlar, var olmayan veya rastgele alan adları için muazzam hacimde DNS arama istekleri gönderir. DNS sunucusu her sorguyu işlemek zorundadır; CPU ve belleği tüketir — meşru istekleri çözümleyemeyene kadar — hedefi internetten etkili bir şekilde keserek.
#### SSL/TLS Tükenmesi
Bu saldırılar SSL/TLS el sıkışmalarının hesaplama maliyetinden yararlanır. Şifreli bir bağlantı kurmak, sunucu tarafında önemli CPU kaynakları gerektirir. Binlerce SSL el sıkışmasını saniye başına başlatarak ancak tamamlamadan, saldırganlar iyi donatılmış sunucuları bile bunaltabilir.
DDoS Saldırılarının Gerçek Dünya Etkisi
Teknik mekanikleri anlamak sadece resmin yarısıdır. Başarılı bir DDoS saldırısının iş sonuçları ciddi ve uzun süreli olabilir:
Hizmet Kapalı Kalma Süresi ve Gelir Kaybı
Web siteniz veya uygulamanız çevrimdışı kaldığı her dakika doğrudan gelir kaybına çevrilir. E-ticaret platformları, SaaS ürünleri ve çevrimiçi hizmetler için, birkaç saatlik kapalı kalma süresi bile binlerce veya on binlerce dolar tutabilir — müşteri kaybının dolaylı maliyetleri sayılmaz.
Artan İşletme Maliyetleri
Acil olay yanıtı, ek bant genişliği sağlama, uzman azaltma hizmetleri ve BT personeli için fazla mesai, bir DDoS saldırısı sırasında ve sonrasında hızla birikir.
İtibar Hasarı
Müşteriler ve ortaklar hizmetler çevrimdışı olduğunda bunu fark ederler. Tekrarlanan veya uzun süreli kesintiler güveni aşındırır, marka itibarına zarar verir ve kullanıcıları kalıcı olarak rakiplere itebilir. Düzenlenmiş endüstrilerdeki işletmeler için, kapalı kalma süresi uyum ihlallerini ve ilişkili cezaları tetikleyebilir.
Güvenlik Dikkat Dağıtması (Perde Saldırıları)
Bazı DDoS saldırıları kasıtlı olarak dikkat dağıtıcı olarak tasarlanmıştır — güvenlik ekiplerini meşgul ederken saldırganlar aynı anda izlenmeyen vektörler aracılığıyla veri ihlalleri, fidye yazılımı dağıtımları veya diğer ihlalleri yürütür.
DDoS Azaltma Stratejileri: Pratik Bir Kılavuz
Etkili DDoS savunması, her OSI seviyesindeki tehditleri ele alan katmanlı, proaktif bir yaklaşım gerektirir. Hiçbir tek çözüm kendi başına yeterli değildir.
1. Esneklik İçin İnşa Edilmiş Altyapı Seçin
Barındırma temeli çok önemlidir. DDoS’a duyarlı altyapı sunan bir sağlayıcı seçmek — yüksek kapasiteli ağ bağlantıları, donanım düzeyinde filtreleme ve yedekli bağlantı ile — ilk savunma hattıdır.
İş açısından kritik uygulamalar çalıştırıyorsanız, VPS Barındırma planına veya Özel Sunucular çözümüne yükseltmeyi düşünün; bunlar ayrılmış kaynaklar, ağ yapılandırması üzerinde daha fazla kontrol ve saldırı altında kritik olan özel güvenlik duvarı kuralları uygulama yeteneği sağlar.
2. Trafik Filtreleme ve Güvenlik Duvarları Uygulayın
Durum bilgisi olan güvenlik duvarları ve iç içe geçmiş algılama/önleme sistemleri (IDS/IPS) dağıtarak gelen trafiği inceleyin ve bilinen saldırı imzalarıyla eşleşen paketleri otomatik olarak bırakın. Kuralları şu şekilde yapılandırın:
- Bilinen kötü niyetli IP aralıkları ve ASN’lerden trafiği engelleyin.
- Hatalı biçimlendirilmiş paketleri ve geçersiz protokol durumlarını bırakın.
- ICMP ve UDP trafiğini meşru kullanım durumlarıyla sınırlayın.
- SYN taşmalarına karşı koymak için katı TCP durum doğrulaması uygulayın.
3. Hız Sınırlaması Uygulayın
Hız sınırlaması, tek bir IP adresinin veya bağlantının tanımlanmış bir zaman penceresi içinde kaç istek yapabileceğini kontrol eder. Bu, özellikle HTTP taşmaları ve DNS sorgusu taşmaları gibi Katman 7 saldırılarına karşı etkilidir. Hız sınırlamasını birden fazla seviyede uygulayın:
- Web sunucusu seviyesi (NGINX, Apache)
- Uygulama güvenlik duvarı seviyesi (WAF kuralları)
- CDN/kenar seviyesi (Cloudflare, Akamai)
4. Web Uygulaması Güvenlik Duvarı (WAF) Dağıtın
Bir WAF, Katman 7’de çalışır ve davranışsal analiz, istek desenleri ve itibar puanlamasına dayalı olarak meşru kullanıcılar ile saldırı trafiği arasında ayrım yapabilir. HTTP taşmaları, Slowloris ve uygulamaya özgü açıklardan yararlanmalara karşı özellikle etkilidir.
5. Anycast Ağ Yayılımını Kullanın
Anycast yönlendirmesi, gelen trafiği coğrafi olarak dağılmış birden fazla veri merkezi arasında dağıtır. Tüm saldırı trafiğinin tek bir sunucuya çarpması yerine, tüm ağ arasında yayılır — hacimsel saldırıları çok daha az etkili hale getirir.
6. Yedeklilik ve Yük Dengelemeyi Uygulayın
Uygulamanızı yük dengeleyiciler kullanarak birden fazla sunucu ve coğrafi bölge arasında dağıtmak, bir düğüm bunaldığında bile diğerlerinin meşru kullanıcılara hizmet vermeye devam etmesini sağlar. Bu mimari ayrıca normal koşullar altında performansı ve kullanılabilirliği iyileştirir.
7. Özel DDoS Koruma Hizmetlerinden Yararlanın
Ciddi veya kalıcı DDoS tehditleriyle karşı karşıya olan işletmeler için, özel DDoS azaltma hizmetleri (Cloudflare Magic Transit, Radware veya Imperva gibi) her zaman açık trafik temizleme sağlar — kötü niyetli trafik altyapınıza ulaşmadan önce temizlenir.
8. DNS Altyapınızı Güvenli Hale Getirin
DNS sık sık DDoS hedefi olduğundan, DNS sağlayıcınızın anycast yönlendirmesi ve hız sınırlaması ile DDoS’a dayanıklı altyapı sunduğundan emin olun. DNSSEC kullanmayı düşünün; DNS sahteciliği ve DDoS hasarını bileştirebilen önbellek zehirlenmesi saldırılarını önleyin.