DDoS (Distributed Denial of Service) saldırıları, son beş yılda hem hacim hem karmaşıklık açısından her yıl çift haneli oranlarda büyüdü. Tek bir bot ağıyla 1 Tbps üzerinde trafik üretebilen saldırılar artık olağan; korunmasız bir e-ticaret sitesinin Black Friday’de saatlerce çevrimdışı kalması artık istisna değil — sıradan iş riski. Bu rehberde DDoS koruması seçerken nelere dikkat etmeniz gerektiğini, koruma seviyelerini, gerçek vakalar üzerinden maliyet analizini ve Türkiye’deki sektörlere özgü riskleri ele alıyoruz.
DDoS saldırısı nedir ve neden tehlikelidir?
DDoS saldırısı, binlerce ele geçirilmiş cihazdan oluşan bir bot ağının (botnet) eş zamanlı olarak hedef bir sunucuya veya altyapıya trafik göndermesi ile gerçekleşen siber saldırı türüdür. Sunucunun normal kullanıcılara hizmet veremeyecek hale gelmesi hedeflenir.
2025’te Türkiye’deki DDoS trendleri
2025 yılında Türkiye’deki kurumlara yönelik DDoS saldırılarının ortalama büyüklüğü 50 Gbps’ye ulaştı; e-ticaret sektörü saldırıların %38’ini, fintech %22’sini, kamu %15’ini aldı. Saldırıların büyük kısmı Black Friday, banka maaş günleri ve seçim dönemlerinde yoğunlaştı.
Saldırı türleri: volumetric, protocol, application
- Volumetric (UDP flood, amplification): Bant genişliğini doldurur. Gbps cinsinden ölçülür.
- Protocol (SYN flood, Ping of Death): Sunucu kaynaklarını tüketir. Pps (packet/sec) cinsinden ölçülür.
- Application layer (HTTP flood, Slowloris): Uygulama katmanını hedefler. Düşük hacimle yıkıcı etki yaratır.
DDoS korumasının temel mimarisi
Edge-level filtreleme (scrubbing center)
Modern DDoS koruması, trafiği sunucunuza ulaşmadan önce scrubbing center denilen filtreleme noktalarından geçirir. Kötü amaçlı paketler atılır, temiz trafik backend’e iletilir. Türkiye’de düşük gecikme için yerel scrubbing center kritik.
Always-on vs on-demand koruma
- Always-on: Trafik sürekli scrubbing’den geçer. Anlık koruma, ek gecikme 1-3 ms.
- On-demand: Saldırı algılandığında trafik scrubbing’e yönlendirilir. Cutover süresi 30-90 saniye, bu sürede sitede kesinti olabilir.
Production iş yükleri için always-on standarttır.
BGP yönlendirme ve magic transit
Büyük altyapılar tüm /24 IP bloğunu sağlayıcının BGP’si üzerinden yönlendirir. Bu, hem sayısız sunucuyu tek hareketle koruma altına alır, hem de saldırı IP rotasyonu yapsa bile koruma devam eder. dedicated sunucu kiralama ortamında bu yapı sıkça kullanılır.
DDoS koruması seçerken nelere dikkat etmelisiniz?
Koruma kapasitesi (Gbps ve Mpps)
Tipik tier’lar:
- Basic: 10 Gbps / 5 Mpps — küçük site, blog
- Pro: 100 Gbps / 50 Mpps — orta ölçek e-ticaret
- Enterprise: 500+ Gbps / 200+ Mpps — bank, kamu, gaming
Saldırı algılama süresi (TTM)
Time-to-Mitigation, saldırının başladığı andan itibaren scrubbing’in devreye girdiği süredir. Always-on için 0 saniye, on-demand için 30-90 saniye standart.
Tier-3, Tier-4 ve Tier-7 koruma seviyeleri
OSI katman bazında:
- Tier 3-4: Network ve transport (volumetric, protocol)
- Tier 7: Application (HTTP flood, slow loris)
Tam koruma için her üç katman birden gerekir.
Web Application Firewall (WAF) entegrasyonu
Tier-7 saldırıları için WAF zorunludur. SQL injection, XSS, bot trafiği gibi uygulama katmanı tehditleri WAF tarafından filtrelenir.
SLA ve garanti edilen uptime
%99.99 SLA + DDoS sırasında %100 koruma garantisi premium sağlayıcıların sunduğu standart paket.
Türkiye’deki sektörlere göre DDoS riskleri
E-ticaret: Black Friday saldırı pikleri
Black Friday haftasında e-ticaret sitelerine DDoS saldırı sayısı 6-8x artar. Korumasız bir orta ölçek e-ticaret sitesi tek saatte 50.000-200.000 TL gelir kaybı yaşayabilir.
Fintech ve bankacılık
BDDK düzenlemeleri çerçevesinde DDoS koruması zorunlu kontrollerden biri haline geldi. Banka saldırılarında saldırı boyutları 200 Gbps üzerine kolay çıkıyor. Aynı zamanda felaket kurtarma planı zorunluluk.
Online oyun ve gaming sunucuları
Oyuncu kavgaları sonucu kişisel hedefli DDoS oldukça yaygın. Düşük gecikme gerektiren oyun sunucuları için always-on koruma şarttır.
Devlet ve kamu hizmetleri
Hacktivist gruplar tarafından kamu sitelerine yapılan saldırılar 2024-2025’te artış gösterdi. Zorunlu koruma eşiği yükseltildi.
Maliyet karşılaştırması: koruma vs kesinti
1 saatlik downtime’ın gerçek maliyeti
Orta ölçekli bir e-ticaret sitesi için 1 saat kesintinin maliyeti: doğrudan satış kaybı (50.000-200.000 TL) + müşteri kaybı (ortalama %3 kalıcı churn) + marka itibarı + olası SLA cezası. Toplam yıllık 5-10 saat downtime, kolayca 1-3 milyon TL hasara denk gelir.
Korunmasız vs korunan senaryoda yıllık TCO
| Senaryo | Yıllık koruma | Beklenen kayıp | Toplam |
|---|---|---|---|
| Korumasız (e-ticaret) | 0 | 1.500.000 TL | 1.500.000 TL |
| Basic (10 Gbps) | 12.000 TL | 800.000 TL | 812.000 TL |
| Pro (100 Gbps) | 60.000 TL | 100.000 TL | 160.000 TL |
| Enterprise (500+) | 250.000 TL | 30.000 TL | 280.000 TL |
Pro tier orta ölçekli e-ticaret için sweet spot.
Mini case study: Black Friday saldırısı
Bir İstanbul-merkezli moda e-ticaret platformu, 2024 Black Friday’ında 80 Gbps volumetric + 35 Mpps SYN flood karma saldırı aldı. Always-on Tier-Pro koruma sayesinde:
- Algılama süresi (TTM): 0 saniye (always-on filtreleme)
- Saldırı süresi: 47 dakika
- Site kullanılabilirliği: %99.97 (sadece 0.5 saniyelik mikro-glitch)
- Etkilenen sipariş: 0
- Saldırının iş etkisi: Sıfır
- Aynı dönem korumasız muadili: ~250.000 TL kayıp
DDoS koruması nasıl test edilir?
Penetrasyon testi etiği ve yasallığı
Sağlayıcınızın izni olmadan DDoS testi yapmak Türkiye’de yasa dışıdır (TCK 244). Sağlayıcı yetkilisi ile imzalı bir test sözleşmesi gereklidir.
Yönetilen DDoS simülasyonu
Profesyonel sağlayıcılar kontrollü saldırı simülasyonu sunar — gerçek bot trafiği değil, izole edilmiş test trafiği ile koruma kapasitesi gerçekçi koşullarda doğrulanır.
Güçlendirilmiş kapsamlı DDoS koruması için ek önlemler
Rate limiting ve CAPTCHA
Uygulama katmanında IP başı istek limiti, anomali algılandığında CAPTCHA göstermek bot trafiğinin %80’ini engeller.
Auto-scaling ve elastik altyapı
Saldırı sırasında otomatik olarak yatay ölçeklenebilen IaaS altyapısı, küçük-orta ölçekli volumetric saldırıları absorbe edebilir.
Çoklu CDN stratejisi
Statik içerikleri çoklu CDN üzerinden dağıtmak, origin sunucunuzu büyük ölçüde gizler ve volumetric saldırılara karşı doğal koruma sağlar.
Saldırı algılama metrikleri
Production altyapınızda izlemeniz gereken DDoS göstergeleri:
# Prometheus query örnekleri
# Beklenmedik trafik artışı (5 dk window'da)
rate(node_network_receive_bytes_total[5m]) >
avg_over_time(rate(node_network_receive_bytes_total[5m])[1d:1h]) * 5
# Anormal SYN paket oranı
rate(node_netstat_Tcp_InSegs[1m]) - rate(node_netstat_Tcp_OutSegs[1m]) > 10000
# HTTP error rate spike (Tier-7 saldırı işareti)
rate(nginx_http_requests_total{status=~"5.."}[5m]) /
rate(nginx_http_requests_total[5m]) > 0.05
# Bot trafiği (User-Agent analiz)
sum(rate(nginx_http_requests_total{user_agent="-"}[5m])) > 100Bu metrikler PagerDuty veya OpsGenie’ye yönlendirilmeli — saldırı dakikalar içinde başlayıp kritik etkiye ulaşır.
DDoS koruma sağlayıcıları karşılaştırması
| Özellik | Cloudflare Pro | AWS Shield Adv | Cloud4U Anti-DDoS |
|---|---|---|---|
| Koruma kapasitesi | İhtiyaca göre | 100+ Gbps | 100+ Gbps |
| Always-on | ✓ | ✓ | ✓ |
| TR scrubbing center | ❌ (AB) | ❌ (AB/ME) | ✓ (İstanbul) |
| WAF dahil | Ek ücret | ✓ | ✓ |
| Türkçe destek | ❌ | ❌ | ✓ |
| KVKK uyumluluğu | Ek değerlendirme | Ek değerlendirme | ✓ |
| Aylık fiyat (Pro tier) | ~200 USD | 3.000+ USD | ~150 USD |
| BGP magic transit | Enterprise | ✓ | ✓ |
Türkiye merkezli iş yükleri için yerel scrubbing center düşük gecikme açısından kritik — global sağlayıcılar 30-50 ms ek gecikme yaşatır.
WAF kuralları örneği
ModSecurity / OWASP Core Rule Set tabanlı temel kurallar:
# nginx.conf
http {
# Rate limiting
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login_limit:10m rate=3r/m;
# GeoIP based block (opsiyonel)
geoip2 /etc/nginx/GeoLite2-Country.mmdb {
$geoip2_country_code source=$remote_addr country iso_code;
}
server {
# Login bruteforce koruması
location /login {
limit_req zone=login_limit burst=5 nodelay;
limit_req_status 429;
}
# API rate limit
location /api/ {
limit_req zone=api_limit burst=20;
}
# Bot block (boş User-Agent)
if ($http_user_agent = "") {
return 403;
}
# Common attack patterns
if ($args ~* "union.*select|<script|drop\s+table") {
return 403;
}
}
}DDoS incident response runbook
Saldırı başladığında ekibin izleyeceği adımlar:
Faz 1: Algılama (0-5 dk)
- Monitoring alarm tetiklenir
- Oncall mühendis bağlanır, dashboard incelenir
- Saldırı türü tespit edilir (volumetric / protocol / app)
Faz 2: Mitigation (5-15 dk)
- Always-on koruma zaten devrede ise: log analizi başlar
- On-demand modda: trafiği scrubbing’e yönlendir
- WAF kurallarını gerekirse sıkılaştır
- Cloudflare/Cloud4U dashboard’dan rate limit artır
Faz 3: İzleme (15 dk - saldırı sonu)
- Müşteri etkisini izle (uptime, sipariş akışı)
- Saldırı kaynaklarını analiz et (botnet imzaları)
- PR ekibine bilgi ver (gerekirse müşteri bilgilendirmesi)
Faz 4: Post-mortem (24-48 saat sonra)
- Detaylı saldırı raporu (kapasite, süre, tür, mali etki)
- Koruma yapılandırmasını iyileştir
- Runbook’u güncelle
- Ekiple lessons-learned
CDN ve bot yönetimi katmanı
Tam koruma için katmanlı mimari:
İnternet → CDN (statik içerik, ilk savunma)
→ Bot management (CAPTCHA, JavaScript challenge)
→ DDoS scrubbing (always-on)
→ WAF (uygulama katmanı)
→ Origin sunucu (en içerideki katman)Her katman %20-40 trafiği filtreler — origin’e ulaşan trafik temiz olur.
Sıkça Sorulan Sorular (SSS)
DDoS koruması her saldırıyı engeller mi?
Hayır — hiçbir koruma %100 değildir. İyi bir Pro/Enterprise tier koruma, %99+ saldırıyı şeffaf şekilde engeller. Çok büyük volumetrik saldırılarda (1 Tbps+) kısa gecikmeler olabilir.
Bulut sağlayıcımın dahili koruması yetiyor mu?
Çoğu IaaS sağlayıcısı temel L3/L4 koruma sunar (~10-20 Gbps). Üretim e-ticaret veya fintech için yetersiz; ek katman almak şart.
WAF DDoS yerine geçer mi?
Hayır. WAF Tier-7 (uygulama) saldırılarına karşıdır; Tier 3-4 volumetric saldırıları engelleyemez. İkisi de gerekir.
Saldırı sırasında müşterilerim siteye erişebilir mi?
Always-on koruma ile evet — kullanıcılar hiç fark etmez. On-demand’da ilk 30-90 saniye kesinti olabilir.
CDN tek başına DDoS koruması mıdır?
Kısmen. Statik içerik CDN’den döner, ama dinamik istekler origin’e ulaşır — origin korumasız ise saldırılır. CDN + DDoS koruma birlikte kullanılır.
Saldırıyı kimin yaptığını öğrenebilir miyim?
Genelde hayır — botnet’ler ele geçirilmiş cihazlardan oluşur, gerçek saldırgan IP’leri spoofing’le saklanır. Forensic analiz pahalı ve sınırlı sonuç verir.
DDoS koruması KVKK uyumluluğunu etkiler mi?
Olumlu yönde — DDoS yüzünden veri ulaşamaz halde olmak da KVKK ihlali sayılabilir. Profesyonel koruma uyumluluk gereği olarak değerlendirilir.
Cloud4U Türkiye Anti-DDoS Koruma
Edge-level scrubbing ve always-on koruma
Cloud4U Türkiye Anti-DDoS Koruma, Türkiye’deki scrubbing center’ımızdan çalışan, always-on edge-level filtreleme sağlar. Tier 3-7 tüm saldırı türlerine karşı 100 Gbps ve üzeri koruma, otomatik mitigation, gerçek zamanlı dashboard ve detaylı saldırı raporları dahildir.
Türkiye veri merkezi ve düşük gecikme
Yurt dışı sağlayıcılarla 30-50 ms ek gecikme yaşarken, DDoS koruması trafiğimiz Türkiye’de işlendiği için 1-3 ms’lik tek haneli ek gecikmeyle çalışır. Ücretsiz risk değerlendirme ve POC için ekibimizle iletişime geçin.
