DDoS Saldırısı Nedir ve Nasıl Engellenir?

DDoS saldırısı, bir sistemi, sunucuyu veya ağı, kapasitesinin çok üzerinde sahte internet trafiğine maruz bırakarak meşru kullanıcıların erişimini kilitleyen kasıtlı ve kötü niyetli bir siber saldırı türüdür. Eskiden tek bir bilgisayardan hedefe doğru yapılan DoS (Hizmet Engelleme) saldırıları, günümüzde yerini dünyanın dört bir yanına “dağıtılmış” milyonlarca enfekte cihazın aynı anda tek bir hedefe saldırdığı devasa operasyonlara bırakmıştır. Siber tehdit aktörleri artık sisteminize sızıp veri çalmakla vakit kaybetmek yerine, doğrudan operasyonel süreçlerinizi durdurarak size diz çöktürmeyi ve fidye koparmayı hedefliyor.

Bir DDoS saldırısının en tehlikeli yanı, saldırı trafiğinin tek bir merkezden gelmemesidir. Eğer saldırı tek bir IP adresinden gelseydi, güvenlik duvarınızdan o adresi engeller ve hayatınıza devam ederdiniz. Ancak DDoS mimarisinde saldırganlar, “Botnet” (Robot Ağı) adı verilen ve genellikle habersiz kurbanların cihazlarından oluşan devasa ordular kullanır.

Bir botnet’in oluşum süreci şu şekilde işler:

1. Zafiyet Keşfi ve Enfeksiyon: Saldırganlar, internete bağlı cihazlardaki (akıllı televizyonlar, ev yönlendiricileri, güvenlik kameraları, akıllı buzdolapları vb.) güvenlik açıklarını tarar. Zayıf veya varsayılan fabrikasyon şifrelerle internete açılmış cihazlara kötü amaçlı yazılımlar yüklenir.
2. Zombi Cihazlara Dönüşüm: Enfekte olan bu cihazlar artık birer “zombi” haline gelmiştir. Cihazın asıl sahibi (örneğin evinde akıllı TV izleyen bir kullanıcı), arka planda cihazının bir siber silah olarak kullanıldığından tamamen habersizdir.
3. Komuta ve Kontrol (C2) Merkezine Bağlantı: Zombi cihazlar, saldırganın yönettiği gizli Komuta ve Kontrol merkezlerine bağlanarak emir beklemeye başlar.
4. Saldırı Emri ve Trafik Seli: Saldırgan, gözüne kestirdiği hedefi (örneğin sizin e-ticaret sitenizi) belirlediğinde C2 merkezinden tek bir komut gönderir. Milyonlarca cihaz aynı saniye içinde web sitenize erişim istekleri göndermeye başlar. Bant genişliğiniz dolar, sunucu işlemciniz (%100 CPU) kilitlenir ve sisteminiz çöker.

💡 Uzman İpucu: Ağınızdaki Nesnelerin İnterneti (IoT) cihazlarını mutlaka ana şirket ağınızdan izole edin (VLAN kullanarak ayırın). Cloudflare tarafından tespit edilen devasa hiper-hacimli saldırıların büyük bir kısmı, “Aisuru-Kimwolf” adlı ve tamamen Android TV’lerin enfekte edilmesiyle oluşturulmuş bir botnet üzerinden gerçekleştirilmiştir. Bu durum, evimizdeki masum cihazların dahi nasıl bir silaha dönüşebileceğinin en net kanıtıdır.

DDoS Saldırı Türleri

Siber güvenlik uzmanları olarak ağ trafiğini ve güvenlik önlemlerini yapılandırırken, iletişimi 7 farklı katmana ayıran Açık Sistemler Bağlantısı (OSI) modelini kullanırız. Hedeflenen katmana ve saldırının çalışma mekanizmasına göre DDoS saldırılarını temel olarak üç ana kategoriye ayırıyoruz. Savunma mimarinizi kurarken hangi tür saldırıyla karşı karşıya olduğunuzu bilmeniz hayati önem taşır.

1. Hacim Tabanlı Saldırılar (Volumetric Attacks – Katman 3 ve Katman 4)

Hacim tabanlı saldırılar, ağınıza giden boruyu (bant genişliği) tamamen suyla doldurarak meşru kullanıcıların geçebileceği tek bir boşluk bile bırakmamayı hedefler. Burada amaç sunucunun beynini yormak değil, kapıdaki yolu tıkamaktır. Bu saldırıların büyüklüğü saniyedeki Gigabit (Gbps) veya Terabit (Tbps) cinsinden ölçülür.

• UDP Flood (Kullanıcı Veri Birimi Protokolü Seli): UDP, hızlı ancak kontrolsüz bir veri transfer protokolüdür. Karşı tarafın veriyi alıp almadığını kontrol etmez. Saldırganlar, sunucunuzun rastgele portlarına devasa boyutlarda UDP paketleri gönderir. Sunucunuz sürekli olarak bu portları kontrol eder, bir uygulama bulamazsa “Hedef Ulaşılamaz” yanıtı üretmeye çalışır. Bu çaba saniyede milyonlarca kez tekrarlandığında sunucu donanımınız tükenir.
• DNS ve NTP Amplifikasyon (Yükseltme / Yansıtma) Saldırıları: Siber dünyanın en kurnaz taktiklerinden biridir. Saldırgan, internette açık bulunan meşru DNS veya NTP (Zaman Senkronizasyonu) sunucularına çok küçük boyutlu bir soru sorar. Ancak bu soruyu sorarken “gönderen IP adresi” kısmına kendi adresini değil, sizin IP adresinizi yazar. Sunucu, bu küçük soruya karşılık gelen devasa boyuttaki cevabı (bazen 60-70 kat daha büyük) doğrudan size gönderir. Siz ne olduğunu anlamadan dünyanın dört bir yanındaki meşru sunuculardan gelen trafikle boğulursunuz.

2. Protokol ve Durum Tüketme Saldırıları (Katman 3 ve Katman 4)

Protokol saldırıları, ağınızdaki güvenlik duvarları (Firewall), yük dengeleyiciler (Load Balancers) ve sunucuların “bağlantı durum tablolarını” (state tables) hedef alır. İnternet protokollerinin çalışma mantığındaki yasal boşlukları kullanırlar.

• SYN Flood (Senkronizasyon Seli): Bunu bir restorandaki rezervasyon sistemine benzetebiliriz. İnternette bir bilgisayar (istemci) sunucunuza bağlanmak istediğinde TCP protokolü gereği “Üçlü El Sıkışma” yapar. Önce “Bağlanmak istiyorum (SYN)” der, sunucunuz “Tamam bekliyorum, yerini ayırdım (SYN-ACK)” diye yanıt verir, son olarak istemcinin “Geldim, başlıyoruz (ACK)” demesi gerekir. Saldırgan saniyede yüz binlerce SYN isteği gönderir, sunucunuz hepsine yer ayırır (SYN-ACK) ama saldırgan asla son onayı (ACK) göndermez. Sunucunuzun bekleme kapasitesi (bağlantı havuzu) tamamen dolar ve gerçek müşteriler kapıda kalır.
• Smurf Saldırısı ve Ping of Death: Kurbanın IP adresini taklit ederek devasa ICMP (Ping) yankı istekleri oluşturulması veya sistemin işlem kapasitesini aşan parçalanmış hatalı paketler gönderilerek sunucunun çökmesinin sağlanmasıdır.

3. Uygulama Katmanı Saldırıları (Layer 7 – L7)

Uygulama katmanı saldırıları, ağ bağlantınızı hedef almaz; doğrudan uygulamanızın kalbine, yani veritabanınıza ve işlemcinize (CPU) odaklanır. OSI modelinin 7. katmanında gerçekleştiği için bu saldırılardaki trafik, tıpkı sıradan bir müşteri trafiği gibi görünür.

• HTTP Flood: Meşru bir kullanıcının sayfayı sürekli yenilemesine benzer. Saldırgan botlar, web sitenizden saniyede binlerce kez büyük dosyalar indirmeye çalışır veya arama çubuğunuza karmaşık veritabanı sorguları gönderir. Sunucu, veritabanından bu bilgileri çekip web sayfası oluşturmak için tüm CPU gücünü harcar ve saniyeler içinde kilitlenir.
• API Odaklı Saldırılar: Artık sistemler birbirleriyle API’ler üzerinden konuşuyor. Finansal servisler ve mobil uygulamalar için kritik olan bu uç noktalar, 2025’in sonundan itibaren saldırganların favorisi olmuştur. Çok düşük hacimli ama yüksek işlem gücü gerektiren API çağrıları yapılarak arka plan sistemleri çökertilir.
• Slowloris (Düşük ve Yavaş): Bant genişliği umurlarında bile değildir. Sunucunuza çok yavaş, saniyede sadece birkaç baytlık veriler göndererek bağlantıyı bilerek açık tutarlar. Sunucu “ne zaman veri bitecek” diye beklerken, tüm bağlantı limitleri dolar ve sistem felç olur.

4. Modern Tehlikeler: Hibrit Saldırılar, Vur-Kaç Taktikleri ve RDDoS

Siber suçlular artık tek bir saldırı vektörüyle yetinmiyor. Savunma mimarinizi şaşırtmak için Katman 3, 4 ve 7 saldırılarını aynı anda kullandıkları Hibrit (Çok Vektörlü) saldırılar düzenliyorlar. Örneğin, sisteminize devasa bir UDP seli gönderiyorlar; güvenlik ekibiniz bant genişliğini korumaya çalışırken, arka planda sinsice sızan HTTP seli veritabanınızı çökertiyor.

Sahadaki kurumsal deneyimlerimizde sıklıkla karşılaştığımız bir diğer sinsi taktik ise Vur-Kaç (Hit-and-Run) saldırılarıdır. Saldırganlar sisteminize sadece 2-3 dakika boyunca devasa bir trafik gönderir ve aniden durur. Tam güvenlik protokolleriniz devreye girmek üzereyken saldırı bitmiş olur. Ekipleriniz alarmı kapatıp rahatladığında 15 dakika sonra tekrar saldırırlar. Bu psikolojik yıpratma savaşı saatlerce sürer.

Bunun bir de finansal boyutu var: RDDoS (Fidye Amaçlı DDoS). Fidye Yazılımı sisteminizi şifrelerken, RDDoS size doğrudan şantaj yapar. “Bize 5 Bitcoin göndermezseniz Black Friday haftasında e-ticaret sitenizi kapatırız” derler. İddialarını kanıtlamak için 10 dakikalık bir “demo” saldırısı yapıp gücünü gösterirler. Endüstri istatistikleri, DDoS nedeniyle yaşanan her 1 dakikalık kurumsal kesintinin 22.000 ABD Dolarına mal olduğunu göstermektedir. Saldırganlar bu hesabı sizden iyi bilir ve fidye miktarını tam olarak bu acı eşiğinin biraz altına konumlandırırlar. Uzmanlar olarak tavsiyemiz kesin ve nettir: Asla fidye ödemeyin. Ödediğiniz fidye bu siber suç şebekelerini daha da güçlendirecektir. Bunun yerine proaktif savunma araçlarına yatırım yapmalısınız.

5. Otonom AI ve Bulut Saldırıları

Siber güvenliği sadece firewall kuralları ve ağ cihazlarıyla sağlama dönemi resmen kapandı. 2026’nın en büyük devrimi (ve tehdidi) siber saldırıların yapay zeka ile yönetilmeye başlanmasıdır. Eskiden kaba kuvvetle yapılan DDoS saldırıları, artık “Agentic AI” (Otonom Ajan Yapay Zekası) dediğimiz sistemlerle yürütülüyor.

Bu yapay zekalar körü körüne saldırmaz. Ağınıza sızmadan önce adeta bir insan gibi keşif yapar, sisteminizin zayıf noktalarını tespit eder. Örneğin sitenize 1000 istek gönderir, güvenlik duvarınızın bunu engellediğini görürse, taktiğini anında değiştirerek 500 yavaş HTTP isteğine geçer. Gerçek bir kullanıcı gibi sayfada gezinir, sepete ürün ekler, ödeme ekranına kadar gelir ve orada sistemi kilitler. Geleneksel güvenlik araçları, bu trafiğin meşru bir insandan geldiğine inandığı için müdahale edemez.

Palo Alto Unit 42 verilerine göre, “Dark AI” olarak adlandırılan ve ChatGPT gibi sistemlerin ahlaki/etik kısıtlamalarından arındırılmış karanlık versiyonları (WormGPT, FraudGPT vb.) kullanılarak üretilen siber saldırı hacmi 2025-2026 döneminde %300 artmıştır. Hiçbir kodlama bilgisi olmayan sıradan bir kişi, bu AI araçlarına “Hedefteki web sitesinin veritabanını kilitleyecek bir HTTP Flood betiği yaz ve bunu gizle” komutunu vererek profesyonel bir saldırgan haline gelebilmektedir.

Bunun yanı sıra saldırganlar, zararlı trafiklerini tamamen yasal araçların içine gizlemeye başlamıştır. 2026 Threat Report’ta detaylandırıldığı üzere bazı öne çıkan ulus-devlet destekli tehdit gruplarının taktikleri şöyledir:

• FrumpyToad (Çin): Kötü amaçlı komuta-kontrol mesajlarını Google Takvim etkinliklerinin açıklamalarına gizleyerek güvenlik yazılımlarını atlatıyor.
• PatheticSlug (Kuzey Kore): Siber saldırı yazılımlarını (XenoRAT) meşru Google Drive ve Dropbox sunucularında barındırıyor.
• CrustyKrill (İran): Oltalama ve C2 altyapısını yasal Azure Web Uygulamaları üzerinde konumlandırıyor.

DDoS Saldırısı Nasıl Engellenir?

Bir sabah uyanıp sunucularınızın erişilemez olduğunu görmek istemiyorsanız, reaktif (saldırı gelince tepki verme) yaklaşımdan çıkıp, proaktif (saldırı gelmeden hazırlıklı olma) bir savunma mimarisi kurmalısınız. Güvenlik önlemlerini bir soğan gibi katman katman düşünmelisiniz. En dıştan merkeze doğru uygulamanız gereken altın standartlar şunlardır:

1. Anycast Yönlendirme ve CDN Kullanımı

DDoS saldırılarının can damarı, sisteminizin tek bir IP adresinde, tek bir noktada barınmasıdır. Tüm trafik oraya yığıldığında boğulursunuz. Anycast ağları, sizin IP adresinizi dünyanın farklı kıtalarındaki düzinelerce veri merkezine kopyalar. Sisteminize devasa bir küresel DDoS saldırısı başladığında, Anycast yönlendirmesi bu trafiği tek bir sunucunun üzerine yıkmak yerine, coğrafi olarak saldırgana en yakın temizleme merkezlerine böler. 30 Tbps’lik bir saldırı, 30 farklı veri merkezine 1’er Tbps olarak paylaştırılarak sistemin ayakta kalması sağlanır.

Benzer şekilde CDN’ler (Content Delivery Network), web sitenizdeki görseller, CSS dosyaları gibi statik içerikleri kendi önbelleklerinde tutar. Saldırgan web sitenize yüklenmek istediğinde, aslında arka plandaki asıl sunucunuza ulaşamaz, sadece CDN firmasının devasa altyapısına toslar. Bu sayede origin IP adresiniz gizli kalır.

2. Gelişmiş Hız Sınırlaması (Rate Limiting)

Özellikle Uygulama Katmanı saldırılarına karşı en etkili silahınız hız sınırlandırmasıdır. Rate Limiting, bir IP adresinin veya bir API anahtarının belirli bir zaman dilimi içinde yapabileceği işlem sayısına kilit vurur. Ancak bu sınırı koyarken akıllıca davranmalısınız.

AWS (Amazon Web Services) güvenlik mühendislerinin önerdiği yapılandırma mantığı şudur: Ana sayfanız için geniş bir ağ atın (örneğin 5 dakikada 500 istek limiti). Ancak veritabanınızı doğrudan yoran, CPU gücü tüketen dinamik sayfalara ( /login, /signup, /forgotpassword) çok daha sıkı bir sınır koyun (5 dakikada 100 istek). Böylece meşru kullanıcıları engellemeden, şifre kırmaya veya veritabanını şişirmeye çalışan botları 403 Forbidden (Yasaklandı) hatası ile otomatik olarak bloklarsınız.

3. Yapay Zeka Destekli WAF

Geleneksel Güvenlik Duvarları ağın kapısındaki bekçidir; içeri kimin girdiğine bakar. WAF ise doğrudan restoranın içindeki şef gibidir; müşterinin (kullanıcının) nasıl davrandığını inceler. Sadece belirli imza kurallarına uymakla kalmaz, aynı zamanda makine öğrenimi ile sitenize gelen meşru ziyaretçilerin davranış profilini çıkarır.

Örneğin, Imperva gibi gelişmiş çözümler 6 Tbps küresel temizleme ağı sunarken , WAF sistemleri anormal bir hızda sayfa değiştiren, fareyi hiç oynatmayan veya sayfanın görünmeyen kodlarına tıklayan bir bot tespit ettiğinde anında araya girer. Bota gizli kriptografik bulmacalar veya CAPTCHA ekranları sunar. Bot bu bulmacayı çözmeye çalışırken kendi CPU gücünü tüketir ve saldırı etkisiz hale gelir.

4. BGP Blackholing ve Yukarı Akış Temizleme

Eğer 100 Gbps bant genişliğine sahip bir saldırı geliyorsa ve sizin hattınız 10 Gbps ise, kapıya koyacağınız hiçbir güvenlik duvarı işe yaramayacaktır; çünkü kapıya giden yol çoktan tıkanmıştır. Bu noktada saldırının İnternet Servis Sağlayıcısı düzeyinde engellenmesi gerekir.

ISS’ler BGP (Border Gateway Protocol) Kara Delik yönlendirmesi yaparak, saldırganlardan gelen IP trafiğini hedefe ulaşmadan doğrudan dijital bir çöplüğe atar. Ancak bu yöntem bazen meşru trafiği de kesebilir. Daha sağlıklı olanı “Yukarı Akış Temizleme” (Upstream Scrubbing) hizmetleridir. Kirli trafik devasa veri merkezlerine çekilir, zararlı veri paketleri filtreden geçirilir ve sadece temiz trafik sizin sunucunuza iletilir.

5. Sıfır Güven (Zero Trust) ve Ağ Segmentasyonu

Sisteminize giren hiç kimseye ve hiçbir cihaza körü körüne güvenmeyin. Ofis ağınızdaki internete bağlı kahve makinesinin hacklenip finansal veritabanınıza saldırmasını istemiyorsanız ağlarınızı bölmelisiniz (VLAN/Segmentasyon). Her cihaz ve her kullanıcı sadece işini yapabileceği minimum yetkiyle donatılmalıdır. Kurumsal mail altyapılarında mutlaka DMARC doğrulamaları yapılmalıdır; çünkü 2026 raporlarına göre e-postaların %46’sı bu doğrulamadan geçememekte ve oltalama amacıyla rahatlıkla kullanılmaktadır

Web Sitesi DDoS Saldırısına Uğrarsa Ne Yapılmalı?

Tüm önlemlere rağmen o kabus anı geldi çattı ve sistemleriniz alarm veriyor. Siteniz yavaşladı veya tamamen kilitlendi. Bu noktada panik yapmak ve sunucuyu rastgele yeniden başlatmak yerine, soğukkanlılıkla kriz eylem planınızı devreye sokmanız gerekir. İşte saldırı anında adım adım yapmanız gerekenler:

1. Doğrulayın ve İletişime Geçin: Öncelikle sorunun gerçekten bir DDoS saldırısı olduğundan emin olun (viral bir kampanya nedeniyle anlık organik bir yoğunluk da yaşıyor olabilirsiniz). Saldırıyı tespit ettiğiniz an, kendi başınıza çözmeye çalışmak yerine derhal İnternet Servis Sağlayıcınız ve barındırma (hosting/bulut) firmanızla iletişime geçin. Devasa trafiği yukarı akışta filtrelemek veya geçici Kara Delik (Blackholing) yönlendirmeleri yapmak ancak onların yetkisindedir.
2. “Saldırı Altındayım” Modunu ve Coğrafi Engelleri Aktif Edin: Eğer CDN veya WAF (Örn: Cloudflare, Sucuri) kullanıyorsanız, “I’m Under Attack” modunu derhal aktif edin. Çoğu zaman zararlı trafik belirli ülkelerdeki botnetlerden gelir. Müşteri kitleniz sadece Türkiye ise ve saldırı Asya/Güney Amerika kıtasından geliyorsa, o bölgelerden gelen IP trafiğine geçici olarak coğrafi engelleme (Geo-blocking / Regional Restrictions) uygulayın.
3. Yalın Mod Stratejisine Geçiş: Kaynaklarınız tükenmek üzereyse, gemiyi tamamen batırmaktansa ağırlıkları denize atmalısınız. Sitenizin en kritik işlemlerini (örneğin e-ticaret siteniz varsa sadece ödeme ve sepet adımlarını) güvenceye alın; arka plandaki ağır veritabanı raporlamalarını, gelişmiş arama sorgularını veya blog gibi hayati olmayan servisleri geçici olarak kapatarak sistemi “Yalın Mod”da ayakta tutmaya çalışın.
4. Açık API’leri ve Uç Noktaları Devre Dışı Bırakın: Özellikle WordPress veya benzeri içerik yönetim sistemleri kullanıyorsanız, XML-RPC veya REST API gibi dışarıdan çok fazla çağrı alan ancak o an kullanıcılar için elzem olmayan uç noktaları acil olarak devre dışı bırakın. Saldırganların en çok yüklendiği bu arka kapıları kapatmak sunucunuza ciddi bir nefes aldıracaktır.
5. Kanıtları Toplayın ve Asla Fidye Ödemeyin: E-postanıza bir RDDoS notu düşse bile asla pazarlığa oturmayın ve ödeme yapmayın. Ancak bu süreçte siber suçluların izini sürebilmek ve hukuki haklarınızı arayabilmek için tüm sistem loglarınızı, HTS kayıtlarınızı ve IP trafik verilerinizi güvenli, harici bir alana yedekleyin.
6. Resmi Otoritelere Bildirim: Durumu gecikmeden Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) ve ilgili kolluk kuvvetlerine bildirin. Ulusal istihbarat havuzuna yapacağınız bu bildirim, hem sizin yasal sorumluluğunuzdur hem de saldırganın ülke içindeki diğer hedeflere ulaşmasını engelleyecektir.