DDoS Saldırıları

A Dağıtılmış Hizmet Reddi (DDoS) saldırısı, bir hedefi kaldıramayacağından daha fazla trafiğe boğarak bant genişliğini, CPU'yu veya uygulama kapasitesini tüketir. Trafik birçok kaynaktan (çoğunlukla botnet görevi gören onbinlerce güvenliği ihlal edilmiş cihaz veya yanlış yapılandırılmış sunucular yoluyla güçlendirme) geldiğinden, hedefte filtreleme işe yaramaz; saldırının absorbe edilmesi veya yukarı akışta temizlenmesi gerekir.

Üç saldırı katmanı

DDoS saldırıları, üç katmandan birini hedefler:

• Volumetrik (Katman) 3/4) saldırılar — bant genişliğini doyurmak için ağı ham paketlerle doldurur. UDP taşkınları, ICMP taşkınları, SYN taşkınları. Çoğunlukla amplifikasyona dayalıdır: Yanlış yapılandırılmış bir sunucuya yapılan küçük bir istek, sahte kaynak IP'ye (kurban) büyük bir yanıt verir.
• Protokol saldırıları — protokollerin kendilerindeki zayıflıklardan yararlanır. Slowloris binlerce TCP bağlantısını tamamlamadan açık tutar; SSL yeniden anlaşma saldırıları pahalı kripto işlemlerini zorlar.
• Uygulama katmanı (7. Katman) saldırıları — yasal kullanıcı trafiğine benzer ancak uygulama kaynaklarını tüketmek için tasarlanmıştır. HTTP baskınları, pahalı arama sorguları, önbelleği kaçıran dinamik uç noktalara tekrarlanan istekler.

Hacimsel saldırılar en yüksek haberi verir (Tbps sınıfı) ancak uygulama katmanı saldırıları genellikle daha zarar vericidir çünkü gerçek kullanıcıları etkilemeden filtrelenmeleri daha zordur.

Amplifikasyon: küçük selleri devasa hale getirmek

En büyük DDoS saldırıları amplification: Saldırgan, çok daha büyük bir yanıt döndüren bir sunucuya sahte kaynak IP'si (kurbanın adresi) içeren küçük bir UDP isteği gönderir. Kurban devasa bir yanıt alır ve asıl isteğin nereden geldiğine dair hiçbir fikri yoktur. Yükseltme faktörleri:

• DNS — EDNS0 ve DNSSEC yanıtlarıyla 50–100 kat yükseltme
• NTP monlist — 500 kata kadar (yama uygulanalı uzun zaman oldu, ancak eski sunucular hâlâ kullanılıyor)
• memcached — tarihsel olarak 2018'de 50.000x'e kadar; şu anda çoğunlukla yamalı
• CLDAP — yaklaşık 50×
• SSDP/UPnP — yaklaşık 30×

Kamuya açıklanan en büyük DDoS saldırılarının tümü, botnet'lerle birleştirilmiş güçlendirmeye dayanıyordu ve 3 Tbps'nin üzerinde zirvelere ulaşıyordu. 2025'in en büyüğü 5 Tbps'yi kırdı.

Botnet'ler: trafiğin geldiği yer

En büyük saldırıların arkasında: güvenliği ihlal edilmiş cihazlardan oluşan bir botnet. IoT cihazları (güvenlik kameraları, yönlendiriciler, akıllı TV'ler, DVR'ler) varsayılan kimlik bilgileriyle gönderildikleri ve nadiren güvenlik güncellemeleri aldıkları için kolay hedeflerdir. Mirai botneti (2016) yüz binlerce IoT cihazını tehlikeye attı ve ünlü Krebs ve OVH saldırılarında kullanıldı. Mirai'nin kaynak kodu kamuya sızdırıldı ve düzinelerce türevi hâlâ çalışıyor.

Modern botnet'ler aynı zamanda güvenliği ihlal edilmiş bulut sunucularını, çalıntı kredi kartlarıyla elde edilen sanal makineleri ve konut proxy'lerini (etkili bir şekilde kiralanan botnet'ler olan mobil IP hizmetleri) içerir.

Stresleyici/önyükleyici hizmetleri

Ayda 50 doların altında bir ücret karşılığında herkes saldırı kapasitesini kiralayabilir. "önyükleyici" veya "stresleyici" hizmetler. Pazarlama, meşru stres testi için olduklarını iddia ediyor; pratikte müşterilerin büyük bir kısmı başkalarının sitelerine saldırıyor. Uluslararası kolluk kuvvetleri tarafından birçok büyük stres kaynağı ortadan kaldırıldı, ancak birkaç ay içinde bunların yerini yenileri aldı. Arz çok ucuz ve talep yok olamayacak kadar istikrarlı.

DDoS koruması nasıl çalışır

Tek bir siteyi çoklu Tbps saldırılarına karşı savunmak imkansızdır; hiçbir normal site bu kadar bant genişliğine sahip değildir. Savunma, korumayı sitenin önüne çok daha fazla kapasiteye sahip bir sağlayıcıya koymaktır:

• BGP yeniden yönlendirme / kara delik oluşturma — hedeflenen IP'ye giden rotaları geri çekerek tüm trafiği bırakır. Son çare olarak kullanışlıdır ancak kurbanın bağlantısını tamamen keser.
• Fırçalama merkezleri — Cloudflare, Akamai, AWS Shield, Imperva ve diğerleri, gelen trafiğin filtrelendiği büyük tesislere sahiptir. Meşru trafik kaynağa iletilir; saldırı trafiği düşürülür.
• Hız sınırlama — CDN kenarında, uygulama katmanı taşmalarını önlemek için IP başına istek hızlarını sınırlayın.
• JavaScript zorlukları — gerçek tarayıcıların görünmez bir şekilde tamamladığı ancak çoğu botun tamamladığı kısa bir hesaplama zorluğu sunar yapamazsınız.
• CAPTCHA geri dönüşü — şüpheli trafik için insan doğrulaması isteyin.

Büyük CDN/WAF sağlayıcıları, esas olarak doğada görülen her boyuttaki saldırıları absorbe edebilir — Cloudflare'in ağ kapasitesi 2026 itibarıyla 300 Tbps'yi aşıyor.

Ne yapabilirsiniz? küçük site operatörü gibi çalışın

• DDoS korumalı bir CDN'nin arkasında oturun — Cloudflare'in ücretsiz katmanı küçük siteler için temel korumayı kapsar; ücretli katmanlar ve diğer sağlayıcılar (Akamai, Fastly) daha fazlasını halleder.
• Kökeninizi gizleyin IP — yalnızca CDN'nin IP aralıklarından gelen trafiğe izin verin; doğrudan bağlantıları reddedin.
• Makul bir hız sınırı politikası kullanın — birçok ücretsiz CDN katmanı temel hız sınırlaması sunar.
• Saldırı sırasında sabırlı olun — savunma devreye girer, saldırganların parası biter veya sıkılır.

Silahlanma yarışı devam ediyor

2024–2026 yeni saldırı kategorileri gördü: protokol zayıflıklarından yararlanan HTTP/2 "Hızlı Sıfırlama" saldırıları, insan davranışını taklit etmek için yapay zeka tarafından oluşturulan katman-7 saldırıları ve ele geçirilen bulut sanal makineleri aracılığıyla sağlanan hiper-hacimsel katman-3 saldırıları. Savunmacılar bu duruma daha akıllı davranışsal filtreleme, donanımla hızlandırılmış azaltma ve sağlayıcılar arasında daha sıkı işbirliği ile yanıt verdi. Net trend: Küçük saldırılar her zamankinden daha ucuz, ancak iyi savunulan siteler de her zamankinden daha hızlı iyileşiyor.