Geleneksel DDoS korumasında en yaygın hata, tüm servisler için aynı sabit eşiği kullanmaktır. "100 istek/saniye üstü blokla" gibi basit kurallar düşük trafikli bir servis için geç kalabilir, kampanya dönemindeki e-ticaret trafiği için ise yanlış engelleme üretebilir. Her uygulamanın normal trafiği, path yoğunluğu, istemci profili ve bağlantı davranışı farklıdır.
L7 DDoS saldırıları yalnızca yüksek paket sayısı veya yüksek istek oranıyla gelmez. Slowloris benzeri düşük hızda ama çok sayıda açık bağlantı tutan saldırılar, SSL bağlantı yoğunluğu, hata oranı artışı, bot davranışı veya belirli endpoint'lere odaklanan yüklenmeler klasik rate-limit mantığını aşabilir. Bu nedenle yalnızca tek sayaç üzerinden karar vermek yetersizdir.
Bir diğer sorun, koruma aksiyonunun tek tip olmasıdır. Her şüpheli trafik hemen drop edilirse gerçek kullanıcılar etkilenebilir; her durumda captcha gösterilirse kullanıcı deneyimi bozulur. Bazı senaryolarda sessiz drop, bazı senaryolarda yönlendirme, bazı senaryolarda bilgilendirme sayfası, bazı senaryolarda ise self-hosted captcha daha doğru aksiyondur.
Doğru yaklaşım, servis bazlı trafik davranışını öğrenmek, L4 ve L7 sinyalleri birlikte değerlendirmek ve aksiyonu koşula göre seçmektir. Whitelist, path davranışı, bağlantı sayısı, istek hızı, bot skoru ve IP itibarı aynı karar hattında kullanılmalıdır.
TR7 Uyarlanabilir DDoS Öğrenme bu modeli sunar: servis trafiğini izler, öğrenilen davranışı politika önerisine dönüştürür ve operatör onayıyla kontrollü koruma aksiyonları uygular.
TR7, DDoS kararını sayaç toplama, birleşik koşul, öğrenilen baseline ve aşamalı aksiyon modeliyle uygular.
TR7, global ve takip anahtarı bazlı sayaçlarla bağlantı, istek, hata ve SSL davranışını izler. Bu veriler servis bazlı DDoS koşullarının temel sinyallerini oluşturur.
`ddosCond` ile birden fazla ACL koşulu AND, OR ve NOT mantığıyla birleştirilebilir. Böylece yalnızca istek oranına değil, SSL bağlantı sayısı, hata oranı, bot skoru, IP itibarı veya path davranışına göre karar alınabilir.
Geçmiş trafik ve log verileri üzerinden servis, path ve istek davranışı analiz edilir. Öğrenilen değerler operatöre öneri olarak sunulabilir ve onaylandığında uygulanabilir politika haline gelir.
TR7, deny, redirect, showContent ve showCaptcha aksiyonlarını destekler. Operatör servis hassasiyetine göre sessiz drop, yönlendirme, özel içerik veya self-hosted captcha tercih edebilir.
Uyarlanabilir DDoS Öğrenme, servis bazlı trafik sinyallerini öğrenilen davranışla birleştirerek daha kontrollü L4/L7 koruma sağlar.
TR7, DDoS durumunu global seviyede işaretleyebilen bir flag modeli kullanır. Bir servis veya takip koşulu saldırı durumunu tetiklediğinde bu bilgi diğer koruma kararlarında da sinyal olarak kullanılabilir. Böylece DDoS yalnızca tek request'in değil, sistem genelindeki davranışın parçası olarak değerlendirilir. Operasyon ekipleri olay anında genel koruma modunu daha net görebilir.
Global sinyalin yanında request bazlı DDoS flag de kullanılır. Bir isteğin DDoS koşuluna yakalanıp yakalanmadığı işlem seviyesinde belirlenebilir. Bu sayede aksiyon yalnızca ilgili akışa uygulanır; tüm trafiği gereksiz yere aynı sepete koymak zorunda kalınmaz. İnce taneli davranış, yanlış pozitif riskini azaltır.
TR7; HTTP istek hızı, HTTP hata oranı, bağlantı oranı, aktif bağlantı sayısı ve SSL bağlantı sayısı gibi farklı anahtarları takip edebilir. HTTP servislerinde L7 davranış, TCP servislerinde bağlantı temelli sinyaller öne çıkar. Bu ayrım, her servis tipine uygun DDoS göstergesi seçmeyi sağlar. Tek sayaç yerine servis davranışına uygun sinyal setiyle karar verilir.
Tracking süresi kısa tutulduğunda hızlı saldırı dalgaları daha çabuk yakalanabilir; daha uzun tutulduğunda yavaş ve kalıcı davranışlar görünür hale gelir. TR7 bu süreyi servis ihtiyacına göre ayarlanabilir yapar. Varsayılan kısa pencereler hızlı başlangıç için uygundur, ancak production politikası servis profiline göre şekillendirilmelidir. Bu esneklik, ani kampanya trafiği ile yavaş DDoS davranışını ayırmaya yardımcı olur.
`ddosWhitelistCond` ile belirli IP, ASN, path veya güvenilir trafik kaynakları DDoS aksiyonlarından muaf tutulabilir. Bu özellikle arama motoru botları, kurumsal entegrasyonlar, izleme sistemleri veya partner API trafiği için önemlidir. Whitelist de statik liste olmak zorunda değildir; koşul mantığıyla daha kontrollü yazılabilir. Böylece koruma agresifleşirken iş açısından kritik akışlar korunur.
TR7, deny, redirect, showContent ve showCaptcha aksiyonlarını destekler. deny en agresif sessiz drop yaklaşımıdır; redirect trafiği başka bir lokasyona alabilir; showContent özel bir sayfa ve durum kodu döndürebilir; showCaptcha ise kullanıcı doğrulaması başlatır. Bu aksiyon çeşitliliği, her saldırıyı aynı sertlikte karşılamamayı sağlar. Operatör servis değerine ve false-positive riskine göre doğru yanıtı seçer.
TR7, DDoS challenge senaryolarında çoklu dil destekli doğrulama sayfaları sunabilir. Bu sayfalar harici bir üçüncü taraf servise bağımlı olmadan kullanıcıya kontrol akışı gösterir. Self-hosted challenge yaklaşımı, veri paylaşımı ve uyumluluk hassasiyeti olan sektörlerde avantaj sağlar. Kullanıcıya yalnızca hata göstermek yerine kontrollü doğrulama deneyimi sunulur.
TR7, geçmiş log ve trafik davranışından servis bazlı normal profil çıkarabilir. Path başına beklenen trafik, olağan hata oranı veya yoğunluk davranışı operatöre öneri olarak sunulabilir. Operatör bu önerileri inceleyip onaylayarak DDoS koşullarına dönüştürür. Bu yaklaşım, kör eşik yazmak yerine gözlenen gerçek trafik üzerinden politika kurmayı kolaylaştırır.
Bot koruma skorları DDoS kararlarında yardımcı sinyal olarak kullanılabilir. Datacenter IP, Tor çıkışı, kötü IP itibarı, kullanıcı ajanı analizi, header fingerprint ve TLS fingerprint gibi faktörler risk skorunu etkileyebilir. Bot skoru belirli eşiği geçtiğinde deny, redirect veya captcha aksiyonu tetiklenebilir. Böylece DDoS koruması yalnızca hacme değil, istemci kalitesine de bakar.
TR7, open proxy, kötü bot, brute force, web uygulama saldırısı, SQL injection, hacking, DDoS attack, exploited host, port scan, web spam, email spam, blog spam ve VPN IP gibi 13 IP itibar kategorisini karar sinyali olarak kullanabilir. Bu kategoriler tek başına kesin karar olmak zorunda değildir; birleşik koşul içinde ek risk puanı sağlar. Böylece bilinen kötü kaynaklar normal kullanıcı trafiğinden daha hızlı ayrıştırılır. Koruma politikası daha bağlam farkındalıklı hale gelir.
TR7, bağlantı oranı, aktif bağlantı, istek hızı, hata oranı ve path davranışı gibi sinyallerden servis bazlı öneriler çıkarabilir. Bu öneriler doğrudan kör biçimde uygulanmak yerine operatör tarafından gözden geçirilir. Onaylanan değerler DDoS koşulu ve aksiyon politikasına dönüştürülür. Bu model otomasyonu kontrolsüz bırakmaz; öğrenme, insan onayı ve uygulanabilir politika birlikte çalışır.
Operasyon ekibi saldırı anında DDoS durumunu manuel olarak da devreye alabilir. Bu, otomatik öğrenme veya koşul tetiklenmesini beklemeden hızlı koruma aksiyonu almak için kullanışlıdır. Manuel mod özellikle olay müdahale sürecinde geçici savunma katmanı sağlar. Olay sonrası koşullar kalıcı politika haline getirilebilir.
Uyarlanabilir DDoS koruması; eşikler, koşul birleşimi, aksiyon seçimi, whitelist, bot skoru ve challenge davranışıyla birlikte işletilir.
Bot koruma skoru belirli eşiğe ulaştığında deny, redirect veya captcha gibi aksiyonlar tetiklenebilir. Bu eşik servis hassasiyetine göre dikkatli kullanılmalıdır. Yalnızca bot skoru değil, request davranışı ve whitelist koşullarıyla birlikte değerlendirilmesi daha sağlıklı sonuç verir.
Global DDoS tracking modeli tekil sistem durumu için sayaç tutabilir. Bu yapı, servis bazlı koşulların yanında sistem genelindeki saldırı durumunu anlamaya yardımcı olur. Operasyon ekipleri olay anında yalnızca tek request değil, toplam davranış sinyalini de izler.
DDoS flag aktif olduğunda seçilen koruma aksiyonu devreye girer. deny sessiz drop, redirect yönlendirme, showContent özel içerik, showCaptcha ise challenge akışı sağlar. Aksiyon seçimi servis değeri, kullanıcı deneyimi ve saldırı şiddetine göre yapılmalıdır.
showContent aksiyonunda durum kodu, content-type ve içerik profili özelleştirilebilir. Böylece kullanıcıya standart hata yerine kurumun kendi mesajı gösterilebilir. Bu özellik bakım, olay yönetimi ve uyumluluk iletişimi açısından değerlidir.
showCaptcha aksiyonu TR7'nin kendi CAPTCHA modülünü devreye alabilir. Harici üçüncü taraf doğrulama servisine bağımlılık azalır. Bu yaklaşım, veri koruma ve regülasyon hassasiyeti olan kurumlarda daha kontrollü doğrulama akışı sağlar.
`ddosCond` içinde AND, OR ve NOT mantığıyla birden fazla sinyal birleştirilebilir. Örneğin yüksek istek oranı tek başına değil, belirli path yoğunluğu ve IP itibar kategorisiyle birlikte değerlendirilebilir. Bu, yanlış pozitifleri azaltırken daha hedefli aksiyon almayı sağlar.
E-ticaret ekipleri kampanya sırasında trafik artışını saldırıdan ayırmak için servis bazlı DDoS koşulları kullanabilir. Güvenilir crawler veya partner kaynakları whitelist'e alınırken anormal path ve istek davranışı aksiyona bağlanır.
Bankacılık uygulamaları login trafiğinde HTTP istek hızı, SSL bağlantı sayısı ve hata oranını birlikte izleyebilir. Eşik aşıldığında redirect, captcha veya deny aksiyonu servis politikasına göre uygulanır.
Kamu portalları harici doğrulama servisine veri göndermeden kendi TR7 challenge sayfalarını kullanabilir. Çoklu dil destekli içeriklerle kullanıcı doğrulama akışı kurum kontrolünde kalır.
Düşük istek oranına rağmen yüksek açık bağlantı sayısı oluşturan saldırılar bağlantı sayısı ve süre davranışıyla izlenebilir. TR7, yalnızca yüksek PPS değil, bağlantı tüketen yavaş saldırı modellerini de görünür kılar.
Baseline öğrenme, birleşik koşul ve aşamalı aksiyon modelini kendi servislerinizle birlikte inceleyelim.