DDoS Saldırıları: Türleri, OSI Model Katmanları ve Altyapınızı Koruma Yöntemleri
Dağıtılmış Hizmet Reddi (DDoS) saldırıları, günümüzde çevrimiçi işletmeler, web uygulamaları ve barındırma altyapısı için en yıkıcı ve maliyetli tehditlerden biri olmaya devam etmektedir. İster küçük bir e-ticaret sitesi işletiyorsunuz ister kurumsal düzey sunucuları yönetiyorsunuz, DDoS saldırılarının nasıl çalıştığını — ve bunların OSI modelinin belirli katmanlarına nasıl eşlendiğini — anlamak, herhangi bir ciddi savunma stratejisinin temelini oluşturur.
Bu kapsamlı kılavuzda, her büyük DDoS saldırı türünü açıklıyor, her birinin hangi OSI katmanını hedeflediğini belirtiyor, işletmenize gerçek dünyada olan etkisini özetliyor ve hizmetlerinizi çevrimiçi tutmak için kanıtlanmış azaltma stratejilerini adım adım gösteriyoruz.
DDoS Saldırısı Nedir?
Bir Dağıtılmış Hizmet Reddi (DDoS) saldırısı, hedeflenen bir sunucuyu, ağı veya hizmeti muazzam bir trafik veya kaynak tüketen istekler hacmiyle ezmeye yönelik koordineli, kötü niyetli bir girişimdir — bu da sunucunun meşru kullanıcılara yanıt vermesini imkansız hale getirir.
Tek bir makineden başlatılan basit bir DoS saldırısının aksine, DDoS saldırıları botnetleri kullanır: binlerce hatta milyonlarca gizlice ele geçirilmiş cihazın (bilgisayarlar, IoT cihazları, sunucular) aynı anda hedefi sel gibi basması anlamına gelen ağlar. Dağıtılmış yapı, bu saldırıları engellemek çok daha zor ve çok daha güçlü hale getirir.
Nihai hedef açıktır: hedefin kaynaklarını tüketmek — bant genişliği, CPU, bellek veya bağlantı kapasitesi — kapalı kalma süresi, düşük performans ve hizmet kesintisine neden olmak.
OSI Modeli: DDoS Savunması İçin Neden Önemlidir
OSI (Açık Sistemler Ara Bağlantısı) modeli, ağ iletişimini yedi farklı katmana bölen ve her biri belirli bir işlevden sorumlu olan kavramsal bir çerçevedir. DDoS saldırıları, belirli katmanlardaki güvenlik açıklarından yararlanmak için kasıtlı olarak tasarlanmıştır; bu nedenle modeli anlamak, saldırılara karşı teşhis ve savunma için gereklidir.
| OSI Katmanı | Adı | İşlev |
|---|---|---|
| Katman 1 | Fiziksel | Ham verilerin donanım iletimi |
| Katman 2 | Veri Bağlantısı | Düğümden düğüme veri aktarımı |
| Katman 3 | Ağ | Yönlendirme ve IP adresleme |
| Katman 4 | Taşıma | Uçtan uca iletişim (TCP/UDP) |
| Katman 5 | Oturum | Oturum yönetimi |
| Katman 6 | Sunum | Veri biçimlendirmesi ve şifreleme |
| Katman 7 | Uygulama | Kullanıcıya yönelik protokoller (HTTP, DNS, vb.) |
DDoS saldırıları öncelikle Katman 3, 4 ve 7‘yi hedef alır; her biri farklı bir algılama ve azaltma yaklaşımı gerektirir.
OSI Katmanına Göre DDoS Saldırı Türleri
1. Hacim Tabanlı Saldırılar — Katman 3 (Ağ Katmanı)
Hacim tabanlı saldırılar en basit ve genellikle ham trafik hacmi açısından en büyük saldırılardır. Birincil amaçları, hedefin veya onu internete bağlayan ağ altyapısının mevcut bant genişliğini doyurmaktır. Saldırı boyutu tipik olarak saniye başına gigabit (Gbps) veya saniye başına paket (PPS) cinsinden ölçülür.
ICMP Flood (Ping Flood)
Saldırgan, hedefe çok sayıda ICMP Echo Request (ping) paketi gönderir. Kurbanın sunucusu her isteği işlemeye ve karşılık gelen bir yanıt göndermeye zorlanır, hem gelen hem de giden bant genişliğini ve CPU döngülerini tüketir. Hacim sunucunun kapasitesini aştığında, meşru trafik tamamen dışlanır.
Temel özellik: Yürütülmesi basit, genellikle daha sofistike eşzamanlı saldırılar için bir perde olarak kullanılır.
UDP Flood
UDP flood saldırısında, saldırgan hedef ana bilgisayardaki rastgele portlara çok sayıda User Datagram Protocol (UDP) paketi gönderir. UDP bağlantısız ve durumsuz olduğundan, hedef sunucu şunları yapmalıdır:
- Hedef portta herhangi bir uygulamanın dinleyip dinlemediğini kontrol edin.
- Hiçbir uygulama bulunmazsa bir ICMP “Destination Unreachable” paketi ile yanıt verin.
Bu işlem saniyede milyonlarca kez tekrarlandığında sunucu kaynaklarını ve mevcut bant genişliğini hızla tüketir.
Amplifikasyon Saldırıları (DNS/NTP Amplifikasyonu)
Katman 3 hacimsel saldırılarının özellikle tehlikeli bir alt türü olan amplifikasyon saldırıları, herkese açık sunucuları (DNS çözümleyicileri, NTP sunucuları, memcached örnekleri) saldırı trafiğini çoğaltmak için kullanır. Saldırgan kurbanın IP adresini taklit eder ve bu sunuculara küçük istekler gönderir; bunlar 10x ila 100x daha büyük yanıtlarla karşılık verir — tümü kurban tarafından yönlendirilir.
2. Protokol Saldırıları — Katman 4 (Taşıma Katmanı)
Protokol saldırıları, basitçe bant genişliğini doldurmak yerine TCP/IP iletişim protokollerinin zayıflıklarından yararlanır. Sunucu tarafı kaynakları, örneğin bağlantı durum tabloları, güvenlik duvarı oturum tabloları ve yük dengeleyici kapasitesi tüketmeyi amaçlar. Saldırı boyutu saniye başına paket (PPS) cinsinden ölçülür.
SYN Flood
SYN flood, en iyi bilinen ve yaygın olarak kullanılan DDoS tekniklerinden biridir. TCP üç yönlü el sıkışmasından yararlanır:
- İstemci bir bağlantı başlatmak için bir SYN paketi gönderir.
- Sunucu bir SYN-ACK ile yanıt verir ve son ACK‘ı beklerken kaynakları ayırır.
- Bir SYN flood saldırısında, saldırgan binlerce SYN paketi gönderir — genellikle taklit edilmiş kaynak IP’leri ile — ancak hiçbir zaman el sıkışmasını tamamlamaz.
Sunucunun bağlantı tablosu yarı açık bağlantılarla dolar ve yeni meşru bağlantıları kabul etmesini engeller. Bu, nispeten düşük trafik hacimlerinde bile oldukça etkili bir saldırıdır.
Ping of Death
Ping of Death saldırısı, hedefe hatalı biçimlendirilmiş veya aşırı boyutlu paketler göndermeyi içerir. IPv4 spesifikasyonu paket boyutunu 65.535 bayta sınırlar; aşırı boyutlu bir paket parçalanıp yeniden birleştirildiğinde, arabellek taşmaları, sistem çökmelerine veya güvenlik açığı olan sistemlerde yeniden başlatmalara neden olabilir. Modern işletim sistemleri büyük ölçüde klasik Ping of Death’e karşı yamalanmış olsa da, varyantlar ortaya çıkmaya devam etmektedir.
ACK Flood
ACK flood saldırısında, saldırgan hedefe çok sayıda TCP ACK paketi gönderir. Sunucunun karşılık gelen SYN paketlerinin kaydı olmadığından, her birini işlemek ve geçersiz olduğunu belirlemek zorundadır — bu sırada CPU ve belleği tüketir.
3. Uygulama Katmanı Saldırıları — Katman 7 (Uygulama Katmanı)
Uygulama katmanı saldırıları en sofistike ve tespit edilmesi en zor saldırılardır çünkü meşru kullanıcı davranışını yakından taklit ederler. Bant genişliğini veya bağlantı tablolarını tüketmek yerine, belirli uygulamaların hesaplama kaynaklarını hedeflerler — web sunucuları, veritabanları, API’ler ve giriş sistemleri. Saldırı boyutu saniye başına istek (RPS) cinsinden ölçülür.
HTTP Flood
HTTP flood, bir web sunucusuna çok sayıda görünüşte meşru HTTP GET veya POST isteği gönderir. Her istek geçerli göründüğünden, basit IP tabanlı engelleme etkisizdir. Sunucu her isteği işlemek zorundadır — veritabanlarını sorgulayarak, sayfaları işleyerek, komut dosyalarını çalıştırarak — ta ki tamamen bunalmış ve gerçek kullanıcılara hizmet veremez hale gelene kadar.
GET flood’ları tipik olarak kaynak açısından ağır sayfaları hedefler (arama sonuçları, ürün listeleri).
POST flood’ları formları ve giriş uç noktalarını hedefler, sunucuyu gönderilen büyük miktarda veriyi işlemeye zorlar.
Slowloris
Slowloris, çok az bant genişliği gerektiren benzersiz bir gizli saldırıdır. Şu şekilde çalışır:
- Hedef web sunucusuna çok sayıda bağlantı açar.
- Kısmi, eksik HTTP istek başlıkları gönderir — her bağlantıyı canlı tutmak için yeterince.
- Zaman aşımını önlemek için periyodik olarak ek başlık satırları gönderir.
Sunucu, isteğin tamamlanmasını beklerken her bağlantıyı açık tutar ve kademeli olarak maksimum bağlantı havuzunu tüketir. Havuz dolduğunda, yeni meşru bağlantılar kabul edilemez — sunucuyu etkili bir şekilde çevrimdışı alırken saldırgan kaynakları minimal düzeyde kullanır.
DNS Query Flood
Katman 7’deki DNS altyapısını hedefleyen saldırganlar, var olmayan veya rastgele alan adları için muazzam hacimde DNS arama istekleri gönderir. DNS sunucusu her sorguyu işlemek zorundadır, CPU ve belleği tüketir ta ki meşru istekleri çözemez hale gelene kadar — hedefi etkili bir şekilde internetten keserek.
SSL/TLS Exhaustion
Bu saldırılar SSL/TLS el sıkışmalarının hesaplama maliyetinden yararlanır. Şifreli bir bağlantı kurmak sunucu tarafında önemli CPU kaynakları gerektirir. Binlerce SSL el sıkışmasını saniye başına başlatarak ancak tamamlamadan, saldırganlar iyi donanımlı sunucuları bile bunaltabilir.
DDoS Saldırılarının Gerçek Dünya Etkisi
Teknik mekanikleri anlamak sadece resmin yarısıdır. Başarılı bir DDoS saldırısının iş sonuçları ciddi ve uzun süreli olabilir:
Hizmet Kesintisi ve Gelir Kaybı
Web siteniz veya uygulamanız çevrimdışı olduğu her dakika doğrudan gelir kaybına dönüşür. E-ticaret platformları, SaaS ürünleri ve çevrimiçi hizmetler için, birkaç saatlik bir kesinti bile binlerce veya on binlerce dolar maliyete neden olabilir — müşteri kaybının dolaylı maliyetleri saymıyoruz bile.
Artan Operasyonel Maliyetler
Acil olay müdahalesi, ek bant genişliği sağlanması, uzman azaltma hizmetleri ve BT personelinin fazla mesaisi, bir DDoS saldırısı sırasında ve sonrasında hızla birikir.
İtibar Hasarı
Müşteriler ve ortaklar hizmetler kesintiye uğradığında bunu fark ederler. Tekrarlanan veya uzun süreli kesintiler güveni zedeler, marka itibarına zarar verir ve kullanıcıları kalıcı olarak rakiplere itebilir. Düzenlenmiş endüstrilerdeki işletmeler için, kesinti uyum ihlalleri ve ilgili cezaları tetikleyebilir.
Güvenlik Dikkat Dağıtması (Perdesi Saldırıları)
Bazı DDoS saldırıları kasıtlı olarak dikkat dağıtıcı olarak tasarlanmıştır — güvenlik ekiplerini meşgul ederken saldırganlar aynı anda veri ihlalleri, fidye yazılımı dağıtımı veya izlenmeyen vektörler aracılığıyla diğer ihlalleri gerçekleştirirler.
DDoS Hafifletme Stratejileri: Pratik Bir Rehber
Etkili DDoS savunması, her OSI seviyesinde tehditleri ele alan katmanlı, proaktif bir yaklaşım gerektirir. Tek başına hiçbir çözüm yeterli değildir.
1. Dayanıklılık İçin İnşa Edilmiş Altyapı Seçin
Barındırma altyapınız son derece önemlidir. Yüksek kapasiteli ağ bağlantıları, donanım seviyesi filtreleme ve yedekli bağlantı ile DDoS farkında altyapı sunan bir sağlayıcı seçmek ilk savunma hattıdır.
İş açısından kritik uygulamalar çalıştırıyorsanız, ayrılmış kaynaklar, ağ yapılandırması üzerinde daha fazla kontrol ve özel güvenlik duvarı kuralları uygulama yeteneği sağlayan bir VPS Hosting planına veya Dedicated Servers çözümüne yükseltmeyi düşünün — bunların tümü saldırı altındayken kritik avantajlardır.
2. Trafik Filtreleme ve Güvenlik Duvarları Uygulayın
Gelen trafiği incelemek ve bilinen saldırı imzalarıyla eşleşen paketleri otomatik olarak bırakmak için durum bilgisi olan güvenlik duvarları ve saldırı algılama/önleme sistemleri (IDS/IPS) dağıtın. Kuralları şu şekilde yapılandırın:
- Bilinen kötü amaçlı IP aralıklarından ve ASN’lerden gelen trafiği engelleyin.
- Hatalı biçimlendirilmiş paketleri ve geçersiz protokol durumlarını bırakın.
- ICMP ve UDP trafiğini meşru kullanım durumlarıyla sınırlayın.
- SYN taşkınlarına karşı koymak için katı TCP durum doğrulaması uygulayın.
3. Hız Sınırlaması Uygulayın
Hız sınırlaması, tek bir IP adresinin veya bağlantının tanımlanmış bir zaman penceresinde kaç istek yapabileceğini kontrol eder. Bu, HTTP taşkınları ve DNS sorgu taşkınları gibi Layer 7 saldırılarına karşı özellikle etkilidir. Hız sınırlamasını birden fazla seviyede uygulayın:
- Web sunucusu seviyesi (NGINX, Apache)
- Uygulama güvenlik duvarı seviyesi (WAF kuralları)
- CDN/edge seviyesi (Cloudflare, Akamai)
4. Web Uygulaması Güvenlik Duvarı (WAF) Dağıtın
Bir WAF Layer 7’de çalışır ve davranışsal analiz, istek desenleri ve itibar puanlamasına dayalı olarak meşru kullanıcılar ile saldırı trafiği arasında ayrım yapabilir. HTTP taşkınları, Slowloris ve uygulamaya özgü açıklar için özellikle etkilidir.
5. Anycast Ağ Yayılımı Kullanın
Anycast yönlendirmesi, gelen trafiği coğrafi olarak dağılmış birden fazla veri merkezi arasında dağıtır. Tüm saldırı trafiğinin tek bir sunucuya çarpması yerine, tüm ağ genelinde yayılır — etkisini azaltır ve hacimsel saldırıları çok daha az etkili hale getirir.
6. Yedeklilik ve Yük Dengeleme Uygulayın
Uygulamanızı birden fazla sunucu ve coğrafi bölge arasında yük dengeleyiciler kullanarak dağıtmak, bir düğüm bunalmış olsa bile diğerlerinin meşru kullanıcılara hizmet vermeye devam etmesini sağlar. Bu mimari ayrıca normal koşullar altında performansı ve kullanılabilirliği iyileştirir.
7. Özel DDoS Koruma Hizmetlerinden Yararlanın
Ciddi veya kalıcı DDoS tehditleriyle karşı karşıya olan işletmeler için özel DDoS hafifletme hizmetleri (Cloudflare Magic Transit, Radware veya Imperva gibi) her zaman açık trafik temizleme sağlar — kötü amaçlı trafik altyapınıza ulaşmadan önce temizlenir.
8. DNS Altyapınızı Güvenli Hale Getirin
DNS sık sık DDoS hedefi olduğundan, DNS sağlayıcınızın anycast yönlendirmesi ve hız sınırlaması ile DDoS-dayanıklı altyapı sunmasını sağlayın. DDoS hasarını artırabilen DNS spoofing ve cache poisoning saldırılarını önlemek için DNSSEC kullanmayı düşünün.
9. SSL Sertifikalarını Geçerli ve Düzgün Yapılandırılmış Tutun
Süresi dolmuş veya yanlış yapılandırılmış SSL sertifikaları, saldırganların istismar ettiği güvenlik açıkları oluşturabilir. Geçerli SSL Sertifikaları tutmak şifreli bağlantıların verimli bir şekilde işlenmesini sağlar ve SSL tükenmesi saldırılarına maruz kalma riskini azaltır.
10. Bir Olay Yanıt Planı Geliştirin ve Test Edin
Belgelenmiş, test edilmiş bir DDoS yanıt planı olmak, bir saldırıyı hafifletme süresini önemli ölçüde azaltır. Planınız şunları içermelidir:
- Net yükseltme yolları ve iletişim listeleri.
- Yaygın saldırı türleri için önceden yapılandırılmış güvenlik duvarı kuralı şablonları.
- Acil null-routing veya trafik temizleme için upstream sağlayıcılarla ilişkiler.
- Savunmaları iyileştirmek için olay sonrası inceleme prosedürleri.
DDoS Saldırısı Özeti: OSI Katmanları Bir Bakışta
| Saldırı Türü | OSI Katmanı | Hedef Kaynak | Ölçü Birimi |
|---|---|---|---|
| ICMP Flood | Katman 3 — Ağ | Bant Genişliği | Gbps |
| UDP Flood | Katman 3 — Ağ | Bant Genişliği / CPU | Gbps / PPS |
| DNS/NTP Amplification | Katman 3 — Ağ | Bant Genişliği | Gbps |
| SYN Flood | Katman 4 — Taşıma | Bağlantı tabloları | PPS |
| ACK Flood | Katman 4 — Taşıma | CPU / Durum tabloları | PPS |
| Ping of Death | Katman 4 — Taşıma | Sistem stabilitesi | PPS |
| HTTP Flood | Katman 7 — Uygulama | Web sunucusu CPU | RPS |
| Slowloris | Katman 7 — Uygulama | Bağlantı havuzu | Bağlantılar |
| DNS Query Flood | Katman 7 — Uygulama | DNS sunucusu CPU | RPS |
| SSL Exhaustion | Katman 7 — Uygulama | CPU (kripto işlemleri) | Handshakes/sec |
DDoS’a Karşı Dayanıklı Bir Hosting Ortamı Oluşturma
DDoS saldırılarına karşı en etkili uzun vadeli savunma, doğru altyapıyı seçmekle başlar. AlexHost’un nasıl yardımcı olabileceği aşağıda açıklanmıştır:
- VPS Hosting — Ayrılmış sanal sunucular, özel kaynaklar, tam root erişimi ve güvenlik gereksinimlerinize uyarlanmış özel güvenlik duvarı kuralları ve ağ yapılandırmaları uygulama yeteneği.
- Dedicated Servers — En yüksek DDoS dayanıklılığı ve özel ağ koruması gerektiren yüksek trafikli uygulamalar için maksimum performans ve kontrol.
- VPS Control Panels — Trafik desenlerini izlemeyi, güvenlik kurallarını yapılandırmayı ve anormalliklere hızlı yanıt vermeyi kolaylaştıran sezgisel yönetim arayüzleri.
- SSL Certificates — Şifreli bağlantılarınızı güvenli tutun ve SSL tabanlı saldırı yüzeylerini en aza indirmek için düzgün şekilde yapılandırın.
- Shared Web Hosting — Daha küçük projeler için AlexHost’un paylaşılan hosting altyapısı, kendi sunucunuzu yönetmenin karmaşıklığı olmadan sağlam bir güvenlik temeli sağlayan ağ düzeyinde korumalar içerir.
Sonuç
DDoS saldırıları, hiçbir çevrimiçi işletmenin göz ardı edemeyeceği kalıcı ve gelişen bir tehdittir. Farklı saldırı türlerinin belirli OSI katmanlarını nasıl hedef aldığını anlamak — Layer 3’teki ham bant genişliği sularından, Layer 4’teki protokol istismarına, Layer 7’deki sofistike uygulama düzeyindeki saldırılara — gerçekten kapsamlı bir savunma stratejisi oluşturmak için gereken bilgiyi sağlar.
Etkili koruma asla tek bir çözüm değildir. Bu, dayanıklı altyapı, akıllı trafik filtreleme, hız sınırlaması, yedeklilik ve proaktif izlemenin — hepsi birlikte çalışarak saldırganlar saldırı yaptığında hizmetlerinizi çevrimiçi tutmanın bir kombinasyonudur.
Doğru hosting altyapısına yatırım yapmak bu savunmanın temelini oluşturur. AlexHost’un hosting çözümleri aralığını keşfedin ve güvenlik ve performans gereksinimlerinize uygun olanı bulun — ve işletmenizin ne olursa olsun çevrimiçi kalmasını sağlayın.
tasarruf edin