Giriş
Dağıtık Hizmet Engelleme (DDoS) saldırıları, çevrimiçi hizmetler için en kalıcı tehditlerden biri olmaya devam ediyor. Binlerce kaynaktan gelen trafikle hedefleri sel gibi dolduran saldırganlar, en sağlam altyapıyı bile alt edebilir. 2024 tehdit ortamı, DDoS saldırılarının hem sıklık hem de karmaşıklık açısından arttığını, çok vektörlü saldırıların istisna olmaktan çıkıp norm haline geldiğini gösterdi.
Etkili DDoS koruması, saldırıların ağ yığınının farklı katmanlarında gerçekleştiğini anlamayı gerektirir—ve her katman kendi savunma stratejisini talep eder. Volumetrik bir UDP flood'u, her ikisi de DDoS saldırıları olarak sınıflandırılsa da, uygulama katmanı HTTP flood'undan temelden farklı bir azaltma gerektirir.
Bu rehber, L4 (ağ/taşıma katmanı) ve L7 (uygulama katmanı) savunmalarının kapsamlı koruma sağlamak için nasıl birlikte çalıştığını açıklayarak çok katmanlı DDoS korumasını inceliyor. Her katmandaki saldırı türlerini, kullanılan azaltma tekniklerini ve modern yapay zeka destekli sistemlerin saldırıları milisaniyeler içinde nasıl tespit edip yanıt verdiğini inceleyeceğiz.
DDoS Tehdit Ortamı
DDoS saldırıları ölçek, sıklık ve karmaşıklık açısından büyümeye devam ediyor:
2024'ün ilk yarısında dünya genelinde kaydedilen DDoS saldırıları
Netscout DDoS Tehdit İstihbarat Raporu 20242024'te azaltılan rekor kıran volumetrik saldırı
Cloudflare DDoS Tehdit Raporu Q4 2024Birden fazla tekniği eşzamanlı kullanan saldırılar
Radware Global Tehdit Analiz RaporuÖnemli iş etkisinden önce azaltma için gereken süre
Endüstri En İyi Uygulama StandardıDDoS Saldırı Kategorileri
DDoS saldırıları, hedefledikleri OSI katmanına göre kategorize edilir. Bu kategorileri anlamak, uygun savunmaları uygulamak için esastır:
Volumetrik Saldırılar (L3/L4)
Bant genişliğini ve ağ kapasitesini büyük trafik hacimleriyle aşar. UDP flood'ları, ICMP flood'ları ve amplifikasyon saldırıları bu kategoriye girer.
Protokol Saldırıları (L4)
Sunucu kaynaklarını tüketmek için ağ protokollerindeki zayıflıkları istismar eder. SYN flood'ları, parçalanma saldırıları ve bağlantı tablosu tükenmesi taşıma katmanını hedefler.
Uygulama Katmanı Saldırıları (L7)
Görünüşte meşru isteklerle uygulama mantığını ve web sunucusu kaynaklarını hedefler. HTTP flood'ları, yavaş istek saldırıları ve API istismarı uygulama işleme gücünü tüketir.
Çok Vektörlü Saldırılar
Farklı savunma katmanlarını alt etmek için birden fazla saldırı türünü eşzamanlı olarak birleştirir. Modern saldırganlar etkiyi maksimize etmek için giderek bu yaklaşımı kullanıyor.
L4 DDoS Koruması: Ağ Katmanı Savunması
L4 koruması, taşıma katmanında (TCP/UDP) çalışarak kötü amaçlı trafiği uygulama sunucularınıza ulaşmadan önce filtreler. Bu katman, bant genişliğini doyurmayı veya bağlantı kaynaklarını tüketmeyi amaçlayan volumetrik ve protokol saldırılarına karşı ilk savunma hattınızdır.
Etkili L4 koruması, birlikte çalışan birden fazla filtreleme mekanizmasını birleştirir. IP kara listeleri bilinen kötü amaçlı kaynakları engeller. Bogon filtreleri, kamusal internette asla görünmemesi gereken geçersiz veya yönlendirilemez IP adreslerinden gelen trafiği düşürür. Ülke bazlı engelleme, meşru kullanıcınızın olmadığı coğrafi bölgelerden trafiği kısıtlar.
L4'te hız sınırlama, belirli kaynaklardan veya belirli hedeflere izin verilen trafik hacmini kontrol eder. Bu, ICMP flood koruması, TCP flood koruması (SYN, ACK, RST), UDP flood koruması, kaynak başına bağlantı limitleri ve bant genişliği kısıtlamasını içerir. Bu kontroller, herhangi bir tek kaynağın orantısız kaynak tüketmesini önler.
L4 Saldırı Türleri ve Azaltmaları
| Saldırı Türü | Açıklama | L4 Azaltması |
|---|---|---|
| SYN Flood | Tamamlanmamış TCP el sıkışmalarıyla sunucu bağlantı tablolarını tüketir | SYN çerezleri, bağlantı hızı sınırlama, TCP doğrulama |
| UDP Flood | Rastgele portlara UDP paketleriyle bant genişliğini aşar | Hız sınırlama, protokol doğrulama, bant genişliği sınırları |
| ICMP Flood | Bant genişliğini tüketen ping istekleriyle hedefi doldurur | ICMP hız sınırlama, paket filtreleme |
| DNS Amplifikasyonu | Saldırı trafiğini 50-100x büyütmek için DNS sunucularını istismar eder | Kaynak doğrulama, yanıt hızı sınırlama |
| NTP Amplifikasyonu | Trafik amplifikasyonu için NTP sunucularını kullanır | Monlist komut engelleme, hız sınırlama |
| Parçalanma Saldırısı | Sistemleri çökertmek için hatalı biçimlendirilmiş parçalanmış paketler gönderir | Parça incelemesi, yeniden birleştirme doğrulaması |
| Bağlantı Tükenmesi | Meşru erişimi engellemek için maksimum bağlantı açar | IP başına bağlantı limitleri, zaman aşımı ayarları |
L4 Koruma Özellikleri
Modern L4 DDoS koruması şu temel yetenekleri içerir:
IP Kara Listesi
Bilinen kötü amaçlı IP adreslerinden, botnet kaynaklarından ve tehdit istihbarat akışlarından gelen trafiği engeller. Listeler küresel tehdit verilerinden otomatik güncellenir.
Bogon Filtresi
Kamusal internet trafiğinde görünmemesi gereken geçersiz, tahsis edilmemiş veya özel IP aralıklarından gelen paketleri düşürür. Sahte kaynak adreslerini ortadan kaldırır.
Ülke Engelleme
Saldırılar belirli bölgelerden yoğunlaştığında trafiği coğrafi kökenine göre kısıtlar. Kullanıcı tabanınız için meşru ülkeleri beyaz listeye alın.
Protokol Hız Sınırlama
Yapılandırılabilir hız limitleriyle ICMP, TCP ve UDP flood trafiğini kontrol edin. Kaynak başına veya küresel olarak bağlantı limitleri ve bant genişliği sınırları belirleyin.
L7 DDoS Koruması: Uygulama Katmanı Savunması
L7 koruması, uygulama katmanında çalışarak meşru trafik gibi görünen saldırıları tespit etmek için HTTP isteklerini, TLS el sıkışmalarını ve uygulama davranışını analiz eder. L4 saldırıları volumetrik iken, L7 saldırıları genellikle düşük bant genişlikli ancak yüksek etkilidir ve ağ kapasitesi yerine uygulama mantığını hedefler.
Uygulama katmanı saldırılarını tespit etmek daha zordur çünkü her bir istek meşru görünür. Saldırı kalıbı ancak birçok istek arasındaki istek oranları, davranışsal kalıplar ve kaynak tüketimi analiz edildiğinde ortaya çıkar. Bu, L4 filtrelemenin sağlayabileceğinden daha derin inceleme gerektirir.
L7 koruması, istek oranları, URL kalıpları, başlık analizi ve TLS davranışı dahil istek özelliklerini inceler. Saldırı tespiti, tek kaynaklardan olağandışı yüksek istek oranları, kaynak yoğun uç noktalara istekler veya TLS el sıkışma istismarı gibi anormal kalıpları belirler. Azaltma eylemleri engellemeden bakım sayfaları sunmaya veya trafiği yönlendirmeye kadar uzanır.
L7 Saldırı Türleri ve Azaltmaları
| Saldırı Türü | Açıklama | L7 Azaltması |
|---|---|---|
| HTTP Flood | Görünüşte meşru HTTP istekleriyle web sunucularını aşar | İstek hızı sınırlama, davranışsal analiz, CAPTCHA |
| Slowloris | Sunucu iş parçacıklarını tüketmek için kısmi isteklerle bağlantıları açık tutar | Bağlantı zaman aşımı uygulama, istek tamamlama doğrulaması |
| Slow POST | Bağlantıları tutmak için POST gövde verilerini aşırı yavaş gönderir | Gövde zaman aşımı limitleri, minimum veri hızı uygulama |
| R.U.D.Y. | Yavaş veri iletimiyle form gönderimlerini hedefler | Form zaman aşımı limitleri, istek hızı kontrolleri |
| TLS İstismarı | Tekrarlanan TLS el sıkışma istekleriyle sunucu CPU'sunu tüketir | TLS el sıkışma hızı sınırlama, oturum devamı uygulama |
| API İstismarı | Kaynakları tüketmek için API uç noktalarını isteklerle doldurur | API hız sınırlama, kimlik doğrulama gereksinimleri |
| Önbellek Atlama | Önbelleklemeyi atlamak ve kaynak sunuculara ulaşmak için benzersiz URL'ler ister | Sorgu parametresi normalleştirme, önbellek dostu yönlendirmeler |
L7 Koruma Özellikleri
Uygulama katmanı koruması şu gelişmiş yetenekleri sağlar:
İstek Saldırı Tespiti
Uygulamanızı hedefleyen flood'ları tespit etmek için HTTP istek kalıplarını analiz edin. Anormal istek oranlarını, şüpheli URL kalıplarını ve kaynak istismarını tespit edin.
TLS Saldırı Tespiti
Şifreleme işlemesini hedefleyen SSL/TLS istismar saldırılarını tespit etmek için TLS el sıkışma davranışını izleyin. TLS flood kalıplarını belirleyin ve engelleyin.
Esnek Azaltma Eylemleri
Uygun yanıtı seçin: Saldırı trafiğini tamamen engelleyin, saldırılar sırasında bakım sayfası sunun veya alternatif bir kaynağa yönlendirin.
Davranışsal Analiz
Navigasyon kalıpları, istek zamanlaması ve oturum davranışına göre saldırı trafiğini meşru kullanıcılardan ayırt etmek için yapay zeka destekli analiz kullanın.
Azaltma Yanıt Seçenekleri
Saldırılar tespit edildiğinde, modern DDoS koruması basit engellemenin ötesinde birden fazla yanıt seçeneği sunar. Uygun yanıt, saldırı şiddetine, iş gereksinimlerine ve kullanıcı deneyimi değerlendirmelerine bağlıdır.
Engelleme modu saldırı trafiğini tamamen düşürür ve kötü amaçlı isteklerin sunucularınıza ulaşmasını önler. Bu, yanlış pozitif riskinin düşük olduğu net saldırı kalıpları için uygundur. Bakım modu, kullanıcıları geçici kesinti hakkında bilgilendiren özel bir sayfa sunar—meşru kullanıcılarla iletişim kurmak istediğiniz şiddetli saldırılar sırasında kullanışlıdır. Yönlendirme modu trafiği alternatif bir hedefe gönderir, kullanıcıları bir durum sayfasına veya yedek hizmete yönlendirmek için kullanışlıdır.
Akıllı sistemler, saldırı şiddetine göre yanıtları otomatik olarak yükseltir. Hafif saldırılar hız sınırlamayı tetikleyebilir, orta saldırılar challenge mekanizmalarını etkinleştirebilir ve şiddetli saldırılar bakım sayfalarıyla tam engellemeyi aktive edebilir. Bu kademeli yanıt, maksimum koruma sağlarken meşru kullanıcılar üzerindeki etkiyi minimize eder.
IP İstihbaratı ve İtibar
IP istihbaratı, saldırılar başlamadan önce potansiyel olarak kötü amaçlı trafiği tanımlayarak DDoS korumasına proaktif bir katman ekler. Geçmiş davranışa, tehdit istihbarat akışlarına ve gerçek zamanlı analize dayalı IP adresleri için itibar puanları tutarak, sistemler gelen trafik hakkında bilinçli kararlar verebilir.
IP itibar veritabanları, botnet komuta sunucuları, daha önce tespit edilen saldırı kaynakları, saldırılar için yaygın olarak kullanılan tor çıkış düğümleri, proxy hizmetleri ve yakın zamanda ele geçirilmiş sistemler dahil bilinen kötü niyetli aktörleri izler. Düşük itibarlı IP'lerden gelen trafik ek inceleme veya anında engelleme alır.
İtibar sistemleri gözlemlenen davranışa göre sürekli güncellenir. Tekrar tekrar saldırı tespitini tetikleyen bir IP'nin itibarı düşürülür. Tutarlı meşru davranış sergileyen IP'ler yüksek itibar puanlarını korur. Bu dinamik yaklaşım, meşru kullanıcılar için yanlış pozitifleri minimize ederken gelişen tehdit ortamına uyum sağlar.
Davranışsal Tespit
Modern DDoS koruması, saldırıları kural tabanlı sistemlerden daha hızlı ve daha doğru tespit etmek için yapay zekadan yararlanır:
Davranışsal Temel Çizgi
Yapay zeka, kuruluşunuza özgü normal trafik kalıplarını—yoğun saatler, coğrafi dağılım, istek kalıpları—öğrenir ve saldırıları gösteren anormallikleri belirler.
Milisaniye Tespiti
Makine öğrenmesi modelleri trafiği gerçek zamanlı analiz eder ve ilk kötü amaçlı paketlerin gelişinden milisaniyeler içinde saldırı kalıplarını tespit eder.
Adaptif Eşikler
Mevcut trafik koşullarına ve tehdit seviyelerine göre dinamik eşik ayarlaması. Eşikler saldırılar sırasında sıkılaşır ve normal operasyonlar sırasında gevşer.
Saldırı Kalıbı Tanıma
Bilinen saldırı imzalarını tanırken sürekli yeni kalıpları öğrenir. Yapay zeka, manuel imza güncellemelerine ihtiyaç duymadan gelişen saldırı tekniklerine uyum sağlar.
Gelişmiş DDoS koruma sistemleri, bir uygulamayı hedefleyen saldırıların diğerlerini etkilememesini sağlamak için hizmet izolasyonu kullanır. Donanım düzeyinde izolasyon ve yazılım süreç ayrımı, diğer hizmetler saldırı altındayken bile korunan hizmetlerin normal şekilde çalışmaya devam etmesini sağlar. Bu mimari yaklaşım, saldırganların altyapınız genelinde yan hasar elde etmesini önler.
Çok Katmanlı Savunma Oluşturma
Etkili DDoS koruması, her katmanda koordineli savunmalar gerektirir. Kapsamlı bir strateji nasıl oluşturulur:
L4 Temel Korumayı Etkinleştirin
IP kara listelerini, bogon filtrelerini ve ülke kısıtlamalarını yapılandırın. Bariz saldırı trafiğini filtrelemek için ICMP, TCP ve UDP protokolleri için temel hız limitleri belirleyin.
Protokol Saldırı Korumasını Yapılandırın
Yaygın protokol saldırıları için özel korumaları etkinleştirin: bağlantı limitleriyle SYN flood koruması, bant genişliği sınırlarıyla UDP flood azaltma ve parçalanma saldırısı filtreleme.
L7 Tespiti Devreye Alın
HTTP istekleri ve TLS el sıkışmaları için uygulama katmanı saldırı tespitini etkinleştirin. Normal trafik kalıplarınıza göre eşikleri yapılandırın.
IP İstihbaratını Kurun
Bilinen kötü amaçlı kaynaklardan trafiği proaktif olarak tanımlamak için IP itibar kontrolünü etkinleştirin. Düşük itibarlı IP'ler için yanıt politikalarını yapılandırın.
Yanıt Eylemlerini Yapılandırın
Farklı saldırı şiddet seviyeleri için azaltma yanıtlarını tanımlayın: hafif saldırılar için hız sınırlama, onaylanmış saldırılar için engelleme, şiddetli olaylar için bakım sayfaları.
Davranışsal Adaptasyonu Etkinleştirin
Sistemin kuruluşunuza özgü trafik kalıplarını öğrenmesine ve minimum yanlış pozitif için tespit eşiklerini otomatik ayarlamasına izin verin.
Kullanım Senaryosuna Göre Koruma Stratejisi
E-Ticaret Platformu
- L4: Sıkı hız limitleri, pazar dışı bölgeler için ülke kısıtlamaları
- L7: CAPTCHA challenge'larıyla HTTP flood koruması
- Öncelik: Saldırılar sırasında ödeme kullanılabilirliğini koruma
- Yanıt: Tahmini geri yükleme süresini gösteren bakım sayfası
Finansal Hizmetler
- L4: Maksimum protokol saldırı koruması, muhafazakar limitler
- L7: Sıkı TLS ve istek doğrulaması
- Öncelik: Hizmet kesintisine sıfır tolerans
- Yanıt: SOC bildirimiyle anında engelleme
SaaS Uygulaması
- L4: Kiracı başına hız sınırlama ve bant genişliği tahsisi
- L7: Kimlik doğrulama gereksinimleriyle API'ye özgü koruma
- Öncelik: Çapraz kiracı etkisini önlemek için saldırıları izole etme
- Yanıt: Şiddete göre kademeli yükseltme
Uygulama En İyi Uygulamaları
Bu uygulamalar, yanlış pozitifleri minimize ederken DDoS koruma etkinliğini maksimize etmeye yardımcı olur:
Önce Normal Trafiği Temelleyin
Eşikleri yapılandırmadan önce normal trafik kalıplarınızı analiz edin. Uygun limitler belirlemek için yoğun saatleri, coğrafi dağılımı ve tipik istek oranlarını anlayın.
Savunmalarınızı Katmanlayın
Tek bir koruma mekanizmasına güvenmeyin. Kapsamlı kapsam için L4 filtreleme, L7 analiz, IP istihbaratı ve davranışsal tespiti birleştirin.
Yanıtlarınızı Test Edin
Bakım sayfaları ve yönlendirme yapılandırmaları dahil azaltma yanıtlarını düzenli olarak test edin. Yük devretme senaryolarınızın beklendiği gibi çalıştığından emin olun.
İzleyin ve Ayarlayın
Engellenen trafiği ve yanlış pozitif raporlarını gözden geçirin. Eşikleri sürekli ayarlayın ve yanlış pozitifleri tetikleyen meşru kaynakları beyaz listeye alın.
Yükseltme Prosedürlerini Hazırlayın
SOC bildirimi, yönetim iletişimi ve ek kaynakların ne zaman devreye alınacağı dahil saldırı yükseltmesi için net prosedürler tanımlayın.
Sıkça Sorulan Sorular
L4 (Katman 4) saldırıları, TCP/UDP flood'ları, SYN flood'ları ve protokol istismarı ile taşıma katmanını hedefler. L7 (Katman 7) saldırıları, HTTP flood'ları, yavaş istek saldırıları ve uygulamaya özgü istismarlarla uygulama katmanını hedefler. L4 saldırıları ağ kapasitesini aşmaya odaklanırken, L7 saldırıları uygulama kaynaklarını tüketmeyi amaçlar.
Çok katmanlı DDoS koruması, saldırıların gerçekleştiği her OSI katmanında savunma konuşlandırır. L4 koruması, IP kara listeleri, bogon filtreleri, hız sınırlama ve protokol doğrulaması kullanarak volumetrik ve protokol saldırılarını filtreler. L7 koruması, uygulama katmanı saldırılarını tespit etmek için HTTP isteklerini ve TLS trafiğini analiz eder. Bu katmanlı yaklaşım, saldırıların mümkün olan en erken noktada durdurulmasını sağlar.
IP itibar sistemleri, botnet komuta sunucuları, daha önce tespit edilen saldırı kaynakları ve şüpheli ağlar dahil bilinen kötü amaçlı IP adreslerinin veritabanlarını tutar. Gelen trafiği itibar verilerine göre kontrol ederek, DDoS koruması altyapınıza ulaşmadan önce yüksek riskli kaynaklardan gelen trafiği engelleyebilir veya sorgulayabilir.
Yapay zeka destekli DDoS koruma sistemleri, trafik kalıplarını ve davranışsal anormallikleri analiz ederek saldırıları milisaniyeler içinde tespit edebilir. Tam azaltma tipik olarak saldırı tespitinden 3 saniye içinde devreye girer. Donanım hızlandırmalı azaltma, performans düşüşü olmadan hat hızında filtreleme sağlar.
En yaygın DDoS saldırıları arasında UDP flood'ları, SYN flood'ları, HTTP flood'ları, DNS amplifikasyonu ve uygulamaya özgü saldırılar yer alır. Volumetrik saldırılar (UDP flood'ları gibi) bant genişliğini doyurmayı amaçlarken, uygulama katmanı saldırıları (HTTP flood'ları gibi) sunucu kaynaklarını hedefler. Modern saldırganlar genellikle birden fazla saldırı vektörünü eşzamanlı olarak birleştirir.
Sonuç
DDoS saldırıları karmaşıklık açısından gelişmeye devam ediyor, ancak savunma yetenekleri de öyle. L4 ve L7'deki saldırılara hitap eden çok katmanlı koruma, büyük volumetrik flood'lardan ince uygulama katmanı saldırılarına kadar DDoS tehditlerinin tüm yelpazesine karşı kapsamlı kapsam sağlar.
Etkili DDoS korumasının anahtarı, birden fazla savunma mekanizmasının entegrasyonundadır. IP istihbaratı bilinen tehditlerin proaktif engellemesini sağlar. L4 hız sınırlama ve protokol doğrulama volumetrik ve protokol saldırılarını durdurur. L7 davranışsal analiz, daha basit filtreleri atlatan uygulama katmanı saldırılarını tespit eder. Yapay zeka destekli tespit hepsini bir araya getirerek saldırıları milisaniyeler içinde tanımlar ve yeni kalıplara otomatik uyum sağlar.
Uygun yapılandırma ve sürekli ayarlama ile modern DDoS koruması, meşru kullanıcılar üzerindeki etkiyi minimize ederken önemli saldırı baskısı altında bile hizmet kullanılabilirliğini koruyabilir. Amaç sadece saldırıları engellemek değil—önemli olan kullanıcılar için hizmetlerinizin sorunsuz çalışmasını sağlamaktır.
Çok Katmanlı DDoS Savunması
TR7'nin DDoS Koruması, L4 ve L7 katmanlarında adaptif yapay zeka tespitini donanım hızlandırmalı azaltmayla birleştirir. Altyapınızı 3 saniyenin altında saldırı yanıtı ve kuruluşa özgü savunma profilleriyle koruyun.
DDoS Korumasını Keşfet