Klasik DDoS mitigasyon yaklaşımları iki sorundan birine düşer. Birincisi: bulut scrubbing servisleri trafiği başka bir ağa yönlendirir. Bu hem gecikme yaratır hem de saldırı analizi sırasında verinizi üçüncü tarafın gözüne açar. Maliyet hesap edilirken çoğu zaman saldırı trafiği de faturalandırılır.
İkincisi: özel on-prem DDoS cihazları doğru tepki için DDoS uzmanı tuning gerektirir. Eşikler manuel ayarlanır; ağ topolojisi değiştikçe eşikler eskimiş kalır; operasyon ekibi düzenli olarak güncelleme zorunda kalır.
Saldırgan tarafında ise vektör sürekli değişir. SYN flood başlar, dakikalar içinde UDP flood'a evrilir, sonra DNS amplification gelir. IoT botnet ile orchestrated kampanyalar saat boyunca farklı vektörleri birleştirir. Tek-vektör savunma her geçen kampanyada eskir.
TR7 L4 DDoS eklentisi bu üç sorunu birlikte ele alır: kernel seviyesi paket filtreleme tüm yaygın vektörleri tek motorda karşılar, adaptif baseline operatörü manuel tuning'den çıkarır, ve mitigation kendi donanımınızda kalır.
L4 DDoS eklentisi dört prensiple çalışır: kernel seviyesi performans, çok-vektörlü kapsam, adaptif baseline öğrenme ve route-table granularitesi.
Saldırı tespiti ve filtreleme uygulama katmanına çıkmadan, paket düzeyinde uygulanır. Yüksek-hacimli flood'lar uygulama thread'lerine ulaşmadan düşürülür; kaynak tüketimi minimum.
SYN/UDP/ICMP/ACK flood, fragment saldırıları, DNS/NTP/SSDP/Memcached amplification — hepsi aynı filtreleme motorunda tanınır. Kampanya ortasında vektör değişiminde mitigation kesintisiz devam eder.
Sistem trafiğinizin normal profilini gözlemler, periyodik olarak baseline çıkarır ve operatöre 'bu seviyenin üstünü saldırı saymalı mıyım?' diye sorar. Operatör onaylar; baseline aktifleşir ve zaman içinde kendini tune eder.
Mitigation kapsamı route table seviyesinde ölçeklenir. Aynı ADC üzerinde farklı segmentler için ayrı L4 koruma profilleri tanımlanabilir; küçük dağıtımlar tek route table, çok-müşterili veya çok-segmentli kurumlar 25+ route table kullanır.
TR7 L4 DDoS eklentisi modern saldırı kampanyalarının en yaygın ağ katmanı vektörlerini tek motorda karşılar.
Saldırgan yüz binlerce yarım-açık TCP bağlantısı ile sunucunun bağlantı havuzunu doyurmaya çalışır. Klasik sistem havuzu dolduğunda meşru istekleri reddetmek zorunda kalır. TR7 L4 DDoS koruması SYN paketlerini baseline'a göre değerlendirir; anormal kaynak çeşitliliği veya SYN/ACK oranı yakalandığında SYN cookie ve agresif TIME_WAIT yönetimi devreye girer. Meşru bağlantılar etkilenmez.
Bağlantısız UDP protokolünün doğası saldırgan için kolay flood imkânı sağlar. TR7, UDP flood'larını kaynak adres doğrulama, paket büyüklüğü dağılımı ve port-bazlı yoğunluk profili ile yakalar. Beklenmedik kaynaklardan gelen yüksek hacim trafiği baseline'a karşı değerlendirilir; saldırı tanındığında protokol-spesifik throttle uygulanır.
Ping flood ve ICMP echo amplification klasik volumetric saldırı vektörleridir. TR7 ICMP trafiğini baseline ile karşılaştırır; protokol-uyumlu ama anormal hacimli trafik per-source rate-limit ile düşürülür. Network mühendisliği test trafiği etkilenmez.
Saldırgan rastgele ACK paketleri yollar; sunucu state lookup yapmak zorunda kalır ve CPU tüketilir. TR7 ACK flood'ları state-table sorgu yoğunluğu profili ile yakalar; saldırı paketleri kernel düzeyinde reddedilir.
Parçalanmış paketler hedef sunucuda bütünleştirme havuzunu doyurarak kaynak tüketir. TR7 fragment trafiğini bütünleştirme öncesi inceler; eksik veya overlapping parçacık paternleri yakalandığında düşürülür.
Saldırgan yanlış yapılandırılmış DNS resolver'ları kullanarak küçük sorguları büyük yanıtlara çevirir. TR7 DNS yanıt trafiğini sorgu tarihçesi ile karşılaştırır; eşleşmeyen sorgu-yanıt çiftleri reflektör saldırısı olarak tanınır ve düşürülür.
DNS dışında klasik amplification vektörleri: NTP monlist, SSDP discovery, Memcached UDP, SNMP getbulk. Her biri için protokol-spesifik trafik profili tanımlıdır; beklenmeyen yüksek-amplifikasyon yanıtları kaynağa ulaşmadan filtrelenir.
Modern saldırı kampanyaları kampanya ortasında vektör değiştirir. TR7 aktif vektör karışımını sürekli izler; mitigation politikası vektör değişimine göre otomatik adapte olur. Operatör müdahalesi gerekmez.
Trafik profili saatlik, günlük ve haftalık çevrimlere göre öğrenilir. Operatör baseline'ı önce inceler, onaylar; sonrasında baseline kendi kendini tune eder. Trafik büyüdükçe eşikler kendiliğinden büyür; küçüldükçe sıkılaşır.
Mitigation route table seviyesinde tanımlanır. Aynı ADC üzerinde farklı müşteri segmentleri, farklı uygulama grupları veya farklı ağ topolojileri ayrı L4 koruma profilleriyle korunur. Kapasite seçenekleri 1, 2, 5, 10, 25 route table — kurumsal için Sınırsız.
L4 DDoS eklentisi yalnızca teknik bir filtre değil; baseline öğrenme, operatör akışı, granular ölçeklenebilirlik ve denetim kayıtları ile bütün bir operasyon modeli sunar.
Trafik profili saatlik, günlük ve haftalık ölçeklerde gözlemlenir. Sistem 'şu seviyenin üstü saldırı sayılır mı?' diye operatöre öneri sunar; operatör inceler, onaylar veya değiştirir. Baseline aktifleştikten sonra trafik profili evrilirse sistem yeni baseline önerisi getirir.
Yeni baseline veya politika değişikliği aktivasyondan önce operatör onayına sunulur. Onay zinciri konfigüre edilebilir; yüksek-etkili değişiklikler için ikili onay tanımlanabilir.
Mitigation kuralları route table seviyesinde tanımlanır. Aynı ADC çoklu segmentlere hizmet veriyorsa her segment için bağımsız baseline ve mitigation profili çalışır.
Tespit edilen saldırı vektörüne göre eylem otomatik seçilir: drop, rate-limit, source-blacklist, protokol-spesifik throttle. Operatör politika ile özelleştirebilir.
Volumetric saldırı trafiği faturanıza yansımaz. Klasik üreticiler engelledikleri saldırı trafiğini de bant genişliği sayacına dahil eder; TR7 baştan dışarıda bırakır.
Tespit edilen her saldırı vektörü, alınan mitigation aksiyonu, kaynak coğrafyası ve süresi audit izine yazılır; SIEM akışına aktarılır. Forensik inceleme ve compliance raporlama için tam kayıt zinciri.
Bir bankacılık altyapısının trafiği gündüz yüksek, gece düşük. Saldırgan gece saatlerinde SYN flood başlatır; statik eşik gece çok küçük olduğu için meşru gece trafiği de etkilenir. TR7 adaptif baseline gece profilini bilir; saldırı normal-gece profilinin üstüne çıktığı anda anlık tanınır.
Saldırgan dünya çapında 10.000+ açık DNS resolver kullanarak kurumun WAN bağlantısını doyurmaya çalışır. Trafik 'normal' DNS yanıtı gibi görünür. TR7 reflektör tespiti sorgu-yanıt eşleşmesi olmayan trafiği yakalar; upstream'de değil, kurum ağı kenarında durdurulur.
Saldırgan IoT botnet ile saatlerce süren bir kampanya yürütür: SYN flood ile başlar, UDP flood'a geçer, sonra DNS amplification ekler. Klasik tek-vektör savunma her geçişte yeniden tune gerektirir. TR7 vektör karışımını sürekli izler; mitigation politikası otomatik adapte olur.
Bir MSP aynı ADC üzerinde 25 farklı müşteri için L4 koruma sağlamak ister. Her müşterinin trafik profili farklı; bir müşterinin baseline'ı diğerinin saldırısına benzeyebilir. TR7 route table seviyesinde her müşteri için bağımsız baseline ve mitigation profili çalıştırır.
Baseline öğrenme akışı, operatör onayı ve çok-vektörlü mitigation'ı kendi ortamınızda canlı görelim — pilot route table üzerinde kurulum oturumu planlayalım.