DDoS Saldırısı Nedir? Sunucu Koruma Yöntemleri 2026

DDoS Saldırısı Nedir? Sunucu Koruma Yöntemleri 2026

DDoS (Distributed Denial of Service — Dağıtık Hizmet Reddi) saldırısı, internet altyapısının en yıkıcı tehditlerinden biridir. Küçük bir kişisel blog da dahil olmak üzere herhangi bir sunucu hedef alınabilir; saldırı süresi boyunca site veya uygulama erişilemez hale gelir. Bu rehber: DDoS'un ne olduğunu, farklı saldırı türlerini, nasıl tespit edileceğini, anlık müdahaleyi ve katmanlı koruma mimarisini teknik derinlikte ele alır.

Buyukweb notu: Bursa Pendc Tier 3 veri merkezimizde upstream bağlantılar ve CSF + Imunify360 sunucu güvenlik katmanı standart olarak bulunur. Bu rehber; VDS müşterilerimizin kendi sunucularında uygulayabileceği ek savunma tekniklerini de içerir.

DDoS Tanımı: Botnet, Amplifikasyon, Kaynak Sahteciliği

DDoS saldırısının üç temel bileşeni vardır:

1. Botnet: Kötü amaçlı yazılımla ele geçirilmiş on binlerce – milyonlarca cihazdan (PC, yönlendirici, IoT) oluşan ağ. Saldırgan bu cihazları merkezi bir komuta-kontrol (C2) sunucusu aracılığıyla koordine eder; kurbanlar ne olduğunu bile bilmez.

2. Amplifikasyon (Yükseltme): Saldırgan küçük bir istek gönderir, ama yanıt çok daha büyük bir pakettir. DNS amplifikasyonunda 60 baytlık sorgu 3.000 baytlık yanıta (50x büyütme) dönüşebilir. Saldırganın bant genişliği ihtiyacı dramatik biçimde azalır.

3. Kaynak IP Sahteciliği (IP Spoofing): UDP tabanlı saldırılarda kaynak IP adresi sahtelenebilir. Bu durum hem saldırganın izini kaybettirmesini hem de amplifikasyon için yansıma sunucularının kurban IP'ye cevap göndermesini sağlar.

DDoS Türleri

Saldırılar etki ettiği ağ katmanına göre üçe ayrılır:

Volumetrik Saldırılar (L3/L4 — Gbps Ölçeği)

Hedefe çok büyük hacimde trafik göndererek bant genişliğini tıkamayı amaçlar. Ölçütü Gbps (saniyede gigabit) veya Mpps (saniyede milyon paket)'tir.

Saldırı Türü	Mekanizma	Tipik Büyüklük
UDP Flood	Rastgele portlara yüksek hacimde UDP paketi	100 Gbps – 1+ Tbps
ICMP Flood	Ping (echo-request) bombardımanı	10–100 Gbps
DNS Amplification	Sahte kaynak IP ile DNS sunucusundan yansıtma	300 Gbps+
NTP Amplification	monlist komutuyla NTP yansıtma (700x büyütme)	400 Gbps+
Memcached Amplification	UDP 11211 portu üzerinden 51.000x büyütme	1+ Tbps

Volumetrik saldırıları savuşturmak sunucu seviyesinde mümkün değildir; upstream sağlayıcı veya scrubbing merkezi devreye girmeden bant genişliği dolar.

Protokol Saldırıları (L4 — PPS/SYN Ölçeği)

Ağ yığını ve güvenlik duvarı tablolarını doldurarak kaynak tüketimi yaratır. Ölçütü PPS (saniyede paket) veya SYN/s'dir.

Saldırı Türü	Mekanizma	Etki
SYN Flood	Yarım açık TCP bağlantısı tablosunu (backlog) doldurur	conntrack tablosu taşar
ACK Flood	Sahte ACK paketleriyle CPU'yu yorar	Güvenlik duvarı tablosu dolması
Ping of Death	Çok büyük fragmanlı ICMP paketi	Eski sistemlerde kernel çökmesi
Smurf Attack	Sahte IP ile broadcast ping	Ağ içi yansıtma

SYN flood için en etkili çözüm SYN cookie'dir (kernel seviyesinde, ek bellek gerektirmez).

Uygulama Katmanı Saldırıları (L7 — RPS Ölçeği)

HTTP/HTTPS seviyesinde çalışır, trafiğin görünürde meşru olduğu durumlardır. Ölçütü RPS (saniyede istek)'tir.

Saldırı Türü	Mekanizma	Neden Zor Tespiti
HTTP Flood	Yüksek hacimde GET/POST isteği	Normal tarayıcı trafiği gibi görünür
Slowloris	Bağlantıları yavaşça açık tutar (partial header)	Bant genişliği neredeyse sıfır
RUDY	POST gövdesini çok yavaş gönderir (R-U-Dead-Yet)	Tek bağlantı; çok az kaynak kullanır
Cache-Busting	Her istekte benzersiz query string (?v=rand)	CDN cache'i devre dışı bırakır

L7 saldırılar WAF ve rate limiting olmadan tespit edilemez; trafik volumetrik olarak küçük ama uygulama için yıkıcıdır.

DDoS Tespiti

Bandwidth Spike

# 5 saniyelik aralıklarla ağ arayüzü istatistikleri
sar -n DEV 5 12

# Anlık RX/TX
cat /proc/net/dev

Normal trafiğe kıyasla aniden 10–100x artan RX, volumetrik saldırı göstergesidir.

CPU/RAM Artışı

# 1 saniyelik CPU + bellek özeti
vmstat 1 30

# En çok CPU tüketen süreçler
top -bn1 | head -20

L7 saldırıda PHP-FPM veya web sunucu süreci CPU'yu %100'e taşır; swap kullanımı patlayabilir.

Anormal Bağlantı Sayısı (netstat/ss)

# SYN_RECV durumundaki bağlantı sayısı (SYN flood göstergesi)
ss -n state syn-recv | wc -l

# En fazla bağlantı kuran IP'ler
ss -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

# TIME_WAIT birikimi (bağlantı flood sonrası)
ss -s

Normal bir web sunucusunda tek IP'den 50+ eşzamanlı bağlantı ciddi bir uyarıdır.

Access Log Analizi

# Nginx: son 1000 satırda en çok istek atan IP'ler
tail -n 10000 /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20

# HTTP 200 alan ama şüpheli User-Agent'lar
grep -E "(python-requests|curl|libwww|masscan|zgrab)" /var/log/nginx/access.log | awk '{print $1}' | sort -u

# Cache-busting pattern (query string hep farklı)
awk '{print $7}' /var/log/nginx/access.log | grep "?" | sed 's/?.*/?/' | sort | uniq -c | sort -rn | head -10

Anlık Müdahale (Incident Response)

Saldırı tespit edildiğinde izlenecek adımlar öncelik sırasıyla:

1. Null Route (En Hızlı Önlem)

Hedef IP'yi upstream'de kara deliğe yönlendir; trafiğin sunucuya ulaşmadan düşürülmesini sağlar. Bu noktada sunucu tamamen devre dışı kalır ama en azından ağ sağlıklı kalır.

# Sunucu seviyesinde (volumetrik saldırıda işe yaramaz, upstream gerekir)
ip route add blackhole <SALDIRGAN_IP>/32

2. Upstream Sağlayıcı Bildirimi

Volumetrik saldırıda mutlaka hosting sağlayıcınızı arayın. Sağlayıcının upstream bağlantısı zaten doluysa sunucu seviyesindeki hiçbir önlem işe yaramaz. Sağlayıcı BGP blackhole veya scrubbing merkezi devreye alabilir.

Buyukweb kullanıcıları için: 0850 302 60 70 (7/24 destek hattı) veya [email protected]

3. Geçici Rate Limiting

# iptables ile saniyede 10'dan fazla SYN'i düşür
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

Sunucu Seviyesinde Koruma

iptables / nftables: SYN Cookie ve Bağlantı Limiti

Kernel 5.x ile gelen modern nftables veya klasik iptables kuralları:

# SYN cookie kernel parametresi (varsayılan açık; doğrula)
sysctl net.ipv4.tcp_syncookies
# Beklenen: 1

# conntrack tablosunu koruma altına al
# Tek IP'den maksimum 100 eşzamanlı bağlantı
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT

# SYN paketleri için hashlimit (saniyede max 25 SYN/IP)
iptables -A INPUT -p tcp --syn -m hashlimit   --hashlimit-name SYN   --hashlimit-upto 25/sec   --hashlimit-burst 50   --hashlimit-mode srcip   -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

nftables karşılığı (kernel 5.x + nft 0.9.3+):

table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;
    ct state established,related accept
    tcp flags syn limit rate 25/second burst 50 packets accept
    tcp flags syn drop
  }
}

CSF (ConfigServer Security & Firewall) ile Rate Limiting

CSF 14.x, cPanel/Plesk sunucularda en yaygın kullanılan güvenlik duvarı çerçevesidir. Buyukweb VDS'lerinde standart kurulum seçeneği olarak mevcuttur.

# /etc/csf/csf.conf içinde kritik DDoS parametreleri
CT_LIMIT = "100"          # Tek IP'den maksimum eşzamanlı bağlantı
CT_INTERVAL = "30"        # Bu limiti kontrol etme aralığı (saniye)
SYN_RATE = "25/s"         # SYN rate limiting
SYNFLOOD = "1"            # SYN flood korumasını aktif et
SYNFLOOD_RATE = "75/s"    # Toplam SYN limiti
SYNFLOOD_BURST = "150"    # Burst toleransı

# Değişiklik sonrası yeniden başlat
csf -r

Nginx: limit_req_zone ve limit_conn_zone

Nginx 1.26 ile uygulama katmanı rate limiting:

# /etc/nginx/nginx.conf — http bloğuna ekle
limit_req_zone  $binary_remote_addr zone=req_limit:10m rate=20r/s;
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;

# /etc/nginx/sites-available/example.conf — server bloğu
server {
    location / {
        limit_req  zone=req_limit burst=40 nodelay;
        limit_conn conn_limit 20;

        # Yanıt vermek yerine bağlantıyı kapat (444 = no response)
        limit_req_status 444;
        limit_conn_status 444;
    }

    # Slowloris koruması
    client_body_timeout   10s;
    client_header_timeout 10s;
    keepalive_timeout     5s 5s;
    send_timeout          10s;
}

return 444; kullanmak sunucu kaynaklarını daha da azaltır — yanıt gövdesi gönderilmediği için bant genişliği tüketilmez.

fail2ban ile L7 Flood Blocking

fail2ban, Nginx access log'larını izleyerek aşırı istek atan IP'leri otomatik olarak iptables'a ekler.

# /etc/fail2ban/jail.local
[nginx-req-limit]
enabled  = true
filter   = nginx-req-limit
logpath  = /var/log/nginx/error.log
maxretry = 5
findtime = 60
bantime  = 3600

# /etc/fail2ban/filter.d/nginx-req-limit.conf
[Definition]
failregex = limiting requests, excess:.* by zone.*client: <HOST>

Ağ Seviyesinde Koruma

BGP Blackholing

Saldırı IP bloğu upstream BGP yönlendiricisine "null route" olarak duyurulur; trafik sunucuya ulaşmadan düşürülür. Büyük ölçekli hosting sağlayıcıları ve veri merkezleri bu mekanizmayı kullanır.

Anycast Yönlendirme

Aynı IP adresinin coğrafi olarak farklı noktalardan duyurulması. Saldırı trafiği bir noktada absore edilirken diğerleri hizmet vermeye devam eder. Büyük bant genişliği kapasitesi gerektirir.

Upstream Scrubbing Center

Trafik, saldırı filtreleme merkezine yönlendirilir; temiz trafik sunucuya iletilir, kirli trafik düşürülür. Bu hizmetler bağımsız ağ güvenliği sağlayıcıları tarafından abonelik modeliyle satılır; maliyet, kapasite (Gbps) ve scrubbing noktalarının konumuna göre değişir.

Seçim kriterleri:

• Mitigation kapasitesi (Tbps cinsinden)
• Scrubbing datacenter'larının konumu (latency etkisi)
• False-positive oranı (meşru trafik ne kadar engelleniyor?)
• BGP entegrasyon süresi (saldırı başladığında devreye alma hızı)
• Aylık/yıllık fiyatlandırma (₺ cinsinden değerlendirin)

Buyukweb perspektifi: Bu tür DDoS scrubbing hizmetini satmıyoruz. Yukarıdaki bilgiler, müşterilerimizin üçüncü taraf hizmet seçerken nelere dikkat etmesi gerektiğini açıklamak içindir.

CDN ve Proxy Koruması

İçerik Dağıtım Ağları (CDN), statik içeriği önbelleğe alarak kaynak sunucuya ulaşan istek sayısını düşürür; aynı zamanda gerçek sunucu IP'sini gizler.

Cloudflare ücretsiz planı (altyapı servisi, hosting değil) temel L7 koruma sağlar:

• Anycast ağı üzerinden trafik yönlendirme
• Otomatik bot tespiti ve JS challenge
• 5s kuralı (hızlı CPU'su olmayan botlar geçemez)
• Free tier: sınırsız bant genişliği koruması

Cloudflare entegrasyonu sonrası gerçek IP'nin sızmaması için:

• Nginx'te yalnızca Cloudflare IP bloklarından bağlantıya izin verin
• Origin SSL sertifikası mutlaka kullanın
• DNS'te A kaydı doğrudan sunucu IP'ye dönmemelidir

# Cloudflare IP'leri dışından gelen 443 trafiğini engelle
# Cloudflare IPv4 listesi: https://www.cloudflare.com/ips-v4
geo $cloudflare_ip {
    default 0;
    173.245.48.0/20  1;
    103.21.244.0/22  1;
    103.22.200.0/22  1;
    # ... (tam liste)
}
server {
    if ($cloudflare_ip = 0) { return 403; }
}

Web Application Firewall (WAF)

ModSecurity 3.x + OWASP Core Rule Set

ModSecurity, Nginx 1.26 veya Apache ile çalışan açık kaynaklı WAF motoru; OWASP CRS 3.3+ kural seti L7 saldırı imzalarını tanır.

# Debian/Ubuntu için kurulum
apt install libmodsecurity3 libnginx-mod-security2 -y

# /etc/nginx/modsec/modsecurity.conf içinde
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off
SecAuditLog /var/log/modsec_audit.log

# OWASP CRS etkinleştirme
Include /etc/nginx/modsec/crs/crs-setup.conf
Include /etc/nginx/modsec/crs/rules/*.conf

HTTP Flood imzaları CRS içinde REQUEST-912 kuralı grubu altındadır; Slowloris ve RUDY desenleri REQUEST-920 altında bulunur.

Imunify360 7.x

Imunify360, cPanel ve Plesk entegrasyonlu kapsamlı güvenlik süitidir. Buyukweb cPanel hosting paketlerinde standarttir; VDS'lerde lisanslı kurulum yapılabilir.

• WAF: Apache/LiteSpeed için ModSecurity tabanlı, günlük kural güncellemesi
• Proactive Defense: PHP exploit koruması (dosya izleme)
• Network Firewall: CSF tabanlı L3/L4 filtreleme
• Malware Scanner: Gerçek zamanlı dosya taraması
• Reputasyon tabanlı IP engelleme: Global IP kara liste senkronizasyonu

Imunify360 7.x yenilikler: AI-destekli saldırı tespit modeli, doğrudan WHM entegrasyonu ve gelişmiş raporlama paneli.

Türkiye'de DDoS: Yasal Boyut

TCK Madde 243 — Bilişim Sistemine Girme:
Bir bilişim sistemine hukuka aykırı olarak giren veya orada kalmaya devam eden kişi, 1 yıla kadar hapis cezasıyla yargılanır. DDoS için sistem içine girilmesi gerekmediğinden bu madde doğrudan uygulanmaz; ancak botnet kurma ve yönetme bu kapsamda değerlendirilebilir.

TCK Madde 244 — Sistemi Engelleme, Bozma, Değiştirme:
Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, 1-5 yıl hapis cezasıyla yargılanır. DDoS saldırıları bu madde kapsamında açıkça suçtur.

USOM (Ulusal Siber Olaylarını Müdahale Merkezi) Bildirimi:
Ciddi bir DDoS saldırısı yaşayan kurumların BTK/USOM'a ([email protected]) olay bildirimi yapması önerilir. USOM koordinasyon desteği ve Türk servis sağlayıcıları ile koordinasyon imkânı sunar.

DDoS Sonrası Analiz

Saldırı sona erdikten sonra yapılacaklar:

Log Forensics

# Saldırı süresince en çok istek yapan IP'ler
zcat /var/log/nginx/access.log.*.gz | awk '{print $1}' | sort | uniq -c | sort -rn | head -30

# Saldırının başlangıç ve bitiş zamanı
awk '{print $4}' /var/log/nginx/access.log | cut -d: -f2 | sort | uniq -c

# Saldırgan User-Agent profili
awk -F'"' '{print $6}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -20

IP Reputation Kontrolü

Tespit edilen kaynak IP'leri şu araçlarla sorgulanabilir:

• AbuseIPDB (abuseipdb.com) — kötüye kullanım bildirimleri
• Shodan (shodan.io) — açık portlar ve banner bilgisi
• IPinfo (ipinfo.io) — ASN ve coğrafi konum

Güvenlik Açığı Kapatma

Log analizinde tespit edilen zayıf noktalara göre:

• Keşfedilen açık endpoint'lere rate limit ekleyin
• IP kara listesini kalıcı hale getirin
• Sunucu yazılımlarını güncelleyin (Nginx 1.26, CSF 14.x, ModSecurity 3.x)
• Varsa DoS'a açık eski API endpoint'lerini kaldırın

Proaktif Koruma Kontrol Listesi (15 Madde)

1. SYN cookie etkin: sysctl net.ipv4.tcp_syncookies=1
2. conntrack sınırı ayarlı: net.netfilter.nf_conntrack_max değeri kontrol edildi
3. CSF kurulu ve CT_LIMIT=100 ayarlı
4. Nginx limit_req_zone aktif (≤20r/s per IP)
5. Nginx limit_conn_zone aktif (≤20 conn per IP)
6. Slowloris timeout'ları kısaltıldı (client_body_timeout 10s)
7. fail2ban nginx-req-limit jail aktif
8. ModSecurity + OWASP CRS kurulu ve "On" modda
9. Cloudflare veya benzeri CDN etkin (gerçek IP gizlenmiş)
10. Gerçek IP, yalnızca CDN IP bloklarından erişilebilir
11. Imunify360 (cPanel hostingde standart) aktif ve güncel
12. Günlük yedekleme çalışıyor (Veeam tabanlı; VDS'lerde standart)
13. Uptime izleme aracı var (alerting kurulu)
14. Upstream sağlayıcı acil iletişim numarası hazır (Buyukweb: 0850 302 60 70)
15. USOM olay bildirimi prosedürü hazır (ciddi saldırılar için)

Buyukweb VDS'lerinde Pratik Öneri

VDS sunucu veya E5-V4 VDS müşterileri için önerilen minimum DDoS koruma stack'i:

• CSF 14.x + SYN cookie + CT_LIMIT=100 → L4 koruma
• Nginx 1.26 limit_req_zone + limit_conn_zone + return 444 → L7 hız sınırı
• fail2ban nginx-req-limit jail → L7 otomatik blok
• Cloudflare ücretsiz veya ücretli plan → gerçek IP gizleme + anycast
• ModSecurity 3.x + OWASP CRS → WAF imza koruması

cPanel web hosting paketlerinde Imunify360 ve CSF halihazırda kurulu gelir; ek yapılandırma gerekmez. Sanal sunucu sayfasında paket karşılaştırmasını inceleyebilirsiniz.

Sık Sorulan Sorular

DDoS'u kim yapıyor?

Motivasyonlar çeşitlidir: rakip firmalar (kötü niyetli rekabet), fidye amaçlı saldırganlar ("DDoS durdurmak istiyorsan öde"), hacktivist gruplar, kişisel husumet veya scriptler çalıştıran meraklı "script kiddie"ler. Botnet kiralamak bugün için çok ucuza geldiğinden küçük siteler de hedef olabilir.

Küçük bir siteye DDoS saldırısı olur mu?

Evet. Özellikle uygulama katmanı (L7) saldırıları çok düşük bant genişliğiyle küçük bir PHP sitesini çökertebilir. Slowloris için saniyede birkaç bağlantı yeter. Büyük olmak sizi korumaz; temel savunmaları uygulamak korur.

Cloudflare tek başına yeterli mi?

Cloudflare volumetrik ve birçok L7 saldırısına karşı güçlü bir kalkan oluşturur, ancak yeterli değildir. Gerçek IP'niz sızdıysa Cloudflare devre dışı kalır. Ayrıca origin sunucusunuzda limit_req, fail2ban ve CSF olmazsa Cloudflare'den geçen meşru görünümlü L7 flood'u yakalayamazsınız. Katmanlı savunma gereklidir.

DDoS sırasında sunucu kapatılır mı?

Sunucuyu kapatmak son çare değildir; daha kötüye gidebilir. Null route (IP'nin upstream'de kara deliğe alınması) daha iyi bir seçenektir — diğer IP'lerden hizmet vermeye devam edebilirsiniz. Sağlayıcıyla koordineli BGP blackhole en hızlı ve etkili anlık yanıttır.

DDoS için sigorta var mı?

Türkiye'de bazı siber sigorta ürünleri DDoS kaynaklı iş kesintisini kapsayabilir. Sigorta; kesinti süresindeki gelir kaybı, veri kurtarma ve hukuki masrafları karşılayabilir. Poliçe içeriğini sigorta şirketiyle ayrıntılı inceleyin; "DDoS coverage" maddesinin açıkça yazılı olması gerekir.

DDoS ile DoS arasındaki fark nedir?

DoS (Denial of Service) tek bir kaynaktan gelir; kaynak IP kolayca engellenir. DDoS ise botnet üzerinden on binlerce farklı IP'den gelen koordineli saldırıdır, tek IP engellemenin işe yaramadığı senaryodur. Modern saldırıların büyük çoğunluğu DDoS biçimindedir.

Saldırı sona erdi, şimdi ne yapmalıyım?

Saldırı bittikten sonra: (1) log forensics ile IP profili çıkarın, (2) AbuseIPDB'ye bildirin, (3) tespit ettiğiniz zayıf noktaları kapatın, (4) izleme ve alerting kurulumunu doğrulayın, (5) saldırı ciddi idiyse USOM'a bildirim yapın. Bundan sonraki saldırıya hazırlıklı olmak için yukarıdaki 15 maddelik kontrol listesini tamamlayın.

---

İlgili Buyukweb Hizmetleri

• VDS Sunucu — DDoS koruması için CSF + Imunify360 kurulumuna uygun KVM VDS
• E5-V4 VDS — Xeon E5-V4 işlemcili, NVMe SSD'li yüksek performanslı VDS paketleri
• cPanel Web Hosting — Imunify360 + CSF dahili, Türkiye lokasyonlu paylaşımlı hosting
• Sanal Sunucu — VDS paket karşılaştırması ve teknik özellikler

Güvenlik konusunda sorularınız için 0850 302 60 70 destek hattımızı veya iletişim sayfamızı kullanabilirsiniz.