Siteniz aniden yavaşlıyor, ardından tamamen erişilemez hale geliyor. Sunucu paneline bakıyorsunuz — trafik normalin yüzlerce katına çıkmış. Hosting sağlayıcınız sizi arıyor. Bu sahne bir DDoS saldırısının klasik açılış sekansı. Önceden hazırlıklı olmayan siteler için sonuçları saatlerden günlere uzanan kesintiye dönüşebilir.
DDoS (Distributed Denial of Service — Dağıtık Hizmet Engelleme), binlerce hatta milyonlarca farklı kaynaktan eş zamanlı olarak sunucuya sahte trafik göndererek sistemin gerçek kullanıcılara yanıt veremez hale getirilmesini amaçlayan saldırıdır.
"Dağıtık" kelimesi burada kritik. Saldırı tek bir IP adresinden gelmediği için basit bir engellemeyle durdurulamıyor. Saldırganlar genellikle ele geçirdikleri binlerce cihazdan oluşan botnet ağlarını kullanır — bu cihazlar arasında bilgisayarlar, yönlendiriciler ve güvenlik açığı bulunan IoT cihazları bulunabilir.
Hacimsel saldırılar en yaygın form. Sunucunun bant genişliğini tamamen doldurmayı hedefler. Saniyede gigabit mertebesinde sahte trafik göndererek ağ altyapısını tıkar. Büyüklük odaklı bu saldırıların etkisi anlık ama yıkıcıdır.
Protokol saldırıları sunucunun veya ağ ekipmanının işleme kapasitesini hedefler. SYN flood bu kategorinin en bilinen örneği — TCP el sıkışma sürecini yarım bırakarak sunucunun hafızasını sahte bağlantı istekleriyle doldurur.
Uygulama katmanı saldırıları (Layer 7) en sinsi olanlar. Gerçek kullanıcı trafiğini taklit ederek sunucunun kaynak yoğun sayfalarına tekrar tekrar istek gönderir. Veritabanı sorgusu gerektiren arama sayfaları, giriş formları veya ürün filtreleme gibi işlemler hedef alınır. Daha düşük hacimli olduğu için tespit etmesi güçtür.
Paniklemeden sistematik hareket etmek kritik. İlk adım hosting sağlayıcınızı aramak — saldırının boyutunu ve türünü belirlemek için sunucu tarafındaki log verilerine ihtiyacınız var, bunu en hızlı sağlayıcınız yapabilir.
Saldırının kaynaklandığı IP aralıklarını tespit edebiliyorsanız sunucu güvenlik duvarında geçici olarak engelleyin. Ancak DDoS saldırıları yüzlerce farklı kaynaktan geldiği için bu yöntem kısmi bir çözüm sunar.
Cloudflare gibi bir CDN ve WAF hizmetini henüz kullanmıyorsanız saldırı anında DNS kayıtlarınızı Cloudflare'e yönlendirmek birkaç dakika içinde trafiği filtrelemeye başlar. Cloudflare'in ücretsiz planı bile temel DDoS koruması sunuyor.
CDN ve WAF kullanımı en etkili koruma katmanı. Cloudflare, Akamai veya AWS Shield gibi hizmetler, trafiği uç sunucularında filtreleyerek zararlı isteklerin asıl sunucunuza ulaşmasını engelliyor. Orijin IP adresinizi gizli tutmak bu korumayı daha da güçlendiriyor.
Hız sınırlama (rate limiting), tek bir IP'den gelen istek sayısını belirli bir sürede sınırlandırır. Saniyede yüz istek yapan bir kaynak ya bot ya da saldırgan — gerçek bir kullanıcı bu hızda davranamaz.
Anycast ağ dağılımı, trafiği dünyanın farklı noktalarına dağıtarak saldırının etkisini seyreltir. Büyük CDN sağlayıcıları bu teknolojiyi altyapılarının temel taşı olarak kullanıyor.
Kapasite planlaması da göz ardı edilmemeli. Sunucunuzun normal trafik kapasitesinin birkaç katını kaldırabilecek esnekliğe sahip olması, küçük çaplı saldırılarda siteyi ayakta tutmanıza yardımcı olur. Ölçeklenebilir cloud altyapıları bu açıdan avantajlıdır.
DDoS saldırılarının arkasında farklı motivasyonlar olabilir: rakip işletmelerin kara rekabeti, fidye amaçlı saldırılar ("saldırıyı durdurmamız için ödeme yapın"), ideolojik nedenlerle hareket eden hacktivistler veya botnet kiralayan script kiddies. Büyük bir e-ticaret kampanyası, önemli bir etkinlik ya da dikkat çeken bir haber de sizi hedef haline getirebilir.
Küçük siteler de risk altında — "ben küçüğüm, beni neden hedef alsınlar" düşüncesi yanlış bir güvende uyutabilir. Botnet saldırıları çoğu zaman rastgele IP taramasıyla zayıf noktaları hedef alır, sitenizin büyüklüğü değil, savunmasızlığı belirleyici olur.
