L7 DDoS saldırılarının temel zorluğu protokol-uyumlu olmalarıdır. Saldırgan geçerli HTTP istekleri yollar; her bir istek tek başına meşru bir kullanıcının yapacağı türden görünür. Yalnız trafik agregasyonuna bakan eşik sistemi ya saldırıyı geç tanır (eşik aşıldığında zaten zarar verilmiştir) ya da meşru trafiği bloklamak zorunda kalır.
Slowloris ve R.U.D.Y. saldırıları bu sorunu uç noktaya taşır. Saldırgan çok sayıda yarım-açık bağlantı kurar ve her birine saniyede yalnızca birkaç bayt yollar. İstek/saniye eşiği hiç tetiklenmez; ama sunucunun worker thread havuzu doluyor. Klasik koruma görmez.
Cache-busting ve recursive GET saldırıları cache katmanını aşar; her istek farklı URL parametresi ile gelir, cache'i atlar ve backend sunucuya çıkar. Tek başına 'çok istek var' demek yetmez; davranışın yapısal kalıbına bakmak gerekir.
Bot DDoS kampanyaları dağıtık IP havuzundan, her kaynak düşük hızda, ama toplam yüksek hata oranı veya hedefli endpoint yoğunluğu ile gelir. Saldırı tek bir sinyalde görünmez; birden çok sinyalin AND/OR/NOT kombinasyonu ile yakalanmalı.
L7 DDoS eklentisi davranışsal skor + birleşik koşul mantığı + adaptif aksiyon + vService granularitesiyle çalışır. Klasik 'istek/saniye' eşiği yerine yapısal saldırı kalıbına bakar.
Tek bir sinyal değil; bağlantı oranı, oturum yaşam süresi, request/response oranı, path yoğunluğu, IP itibarı, bot skoru ve hata oranı aynı anda değerlendirilir. Saldırı modeli yapısal kalıpla yakalanır, hacimle değil.
Her vService için birleşik koşul tanımlanabilir. Örnek: 'istek oranı yüksek VE SSL bağlantı artıyor VE path /api/login yoğun VE IP itibar düşük'. Tek bir sinyal değil; saldırı yapısal kalıbı tetikleyici olur.
Sistem trafik davranışını gözlemler, baseline çıkarır ve operatöre öneri sunar. Operatör inceler, onaylar veya değiştirir; politika olarak devreye alır. Trafik profili evrilirse Smart Learning yeni öneri getirir.
Saldırı algılandığında aksiyon saldırı modeline göre seçilir: deny (açık saldırı), redirect (alternatif yol), kontrollü içerik gösterme, yerel CAPTCHA (bot/insan ayrımı), rate-limit. Tek tip aksiyon yerine kademeli yanıt.
L7 DDoS eklentisi uygulama katmanı saldırılarının en sofistike vektörlerini WAAP politika zincirinde karşılar.
Saldırgan saniyede binlerce gerçek-görünümlü HTTP isteği gönderir. Tek başına istek hızı meşru kampanya trafiğine benzeyebilir. TR7 davranışsal skor motoru istek hızını oturum yaşam süresi, IP itibarı ve hedef path yoğunluğu ile birlikte değerlendirir; saldırı yapısal kalıbı tanındığında aksiyon uygulanır.
Saldırgan çok sayıda yarım-açık HTTP bağlantısı kurar; her bağlantıya saniyede yalnızca birkaç bayt yollar. İstek/saniye eşiği hiç tetiklenmez. TR7 anormal oturum yaşam süresi + düşük request/response oranı + yüksek aktif bağlantı sinyallerini birlikte değerlendirir; saldırı bağlantıları filtrelenir.
Saldırgan POST isteği başlatır; Content-Length büyük olarak deklare edilir ama gövde saniyede 1 bayt gönderilir. Worker thread saatlerce bekler. TR7 yavaş gövde göndericisini Content-Length tutarsızlığı ve thread bekleme süresi ile yakalar.
Saldırgan her isteğe farklı URL parametresi ekler; cache atlanır ve backend her isteği yeniden hesaplamak zorunda kalır. TR7 cache hit/miss oranı ve URL parametre çeşitliliği davranışını izler; cache-busting yapısal kalıbı yakalandığında aksiyon uygulanır.
Saldırgan büyük bir sayfanın tüm alt-URL'lerine ardışık istek yollayarak backend'i yorar. Davranışsal motor recursive paterni — aynı oturumdan ardışık yüksek-yoğun istek + tutarlı user-agent — yakalar.
Saldırgan binlerce IP'den her birine düşük hızda istek yollar; toplam saldırı yapısal kalıp gösterir ama tek IP profilinde sıradan görünür. TR7 IP itibarı + bot skoru + path yoğunluğu birleşik koşulu ile bot havuzunu yakalar; kademeli aksiyon (CAPTCHA → blok) uygulanır.
Saldırgan ele geçirilmiş kullanıcı/parola listesini dağıtık IP'lerden login formuna yollar. Yüksek 4xx hata oranı + login path yoğunluğu + IP itibarı + dağıtık kaynak birlikte değerlendirilir; saldırı dalgası başında durdurulur.
Modern API'leri hedefleyen bot saldırıları human-benzeri hızda istek yollar. Tek bir bağlantı sinyalinde bot olduğu görülmez. TR7 bot skoru + davranışsal parmak izi + path yoğunluğu birleşik değerlendirme ile yapısal botu yakalar.
Saldırı yapısal olarak tanındığında yerel CAPTCHA challenge tetiklenebilir. TR7 platformunun parçası olarak çalışır; 3. taraf reCAPTCHA veya benzeri servise ihtiyaç yoktur. Veri yerelliği korunur.
Her uygulama servisinin trafik profili farklı; her vService için ayrı davranışsal baseline ve mitigation politikası çalıştırılır. Bir vService'in saldırısı diğerini etkilemez; bir vService'in normal trafiği diğerinin saldırı profiline benzeyebilir. Kapasite seçenekleri: 1, 10, 25, 100, 1000 vService veya Sınırsız Koruma.
L7 DDoS eklentisi davranışsal skor + ddosCond birleşik koşulları + Smart Learning + adaptif aksiyon + audit izinin bütünleşik operasyon modelini sunar.
Smart Learning trafik davranışını gözlemler, vService bazlı baseline çıkarır ve operatöre öneri sunar. Operatör inceler, onaylar veya değiştirir; politika olarak devreye alır. Trafik profili evrilirse yeni öneri getirilir.
AND/OR/NOT mantığıyla davranış sinyalleri birleştirilebilir. Bağlantı oranı, oturum yaşam süresi, request/response oranı, path yoğunluğu, HTTP method dağılımı, body büyüklüğü davranışı, IP itibarı, bot skoru, hata oranı — hepsi koşul tanımının girdisi.
deny, redirect, içerik gösterme, yerel CAPTCHA, rate-limit. Saldırı modeline göre operatör kademeli aksiyon tanımlayabilir: ilk eşik CAPTCHA, ikinci eşik rate-limit, üçüncü eşik blok.
L7 DDoS ddosCond koşulları aynı WAAP politika zincirinde çalışır. Bot management skoru ve API saldırı bağlamı ddosCond'a girdi olur; saldırı algılandığında WAAP saldırı raporlamasıyla aynı kayıt zincirine yazılır.
TR7 platformunun parçası olarak çalışır. 3. parti reCAPTCHA veya benzeri SaaS servise ihtiyaç yoktur; istemci verisi başka bir buluta akmaz. Görsel, sayısal, davranışsal challenge seçenekleri.
Tespit edilen her saldırı, alınan aksiyon, kaynak IP havuzu coğrafyası, hedef vService ve süre audit izine yazılır. L7 Raporlama eklentisi açıksa dashboard üzerinden görselleştirilir; SIEM akışı kuruldysa kurumsal SIEM'e aktarılır.
Saldırgan 5000 yarım-açık bağlantı kurar; her birine saniyede 2 bayt yollar. İstek/saniye eşiği hiç tetiklenmez ama sunucu worker pool'u doluyor. TR7 anormal oturum yaşam süresi + düşük request/response oranı birleşik koşulunu yakalar; saldırı bağlantıları filtre edilir, meşru kullanıcı görünür.
Saldırgan 50.000 IP'den login formuna ele geçirilmiş kullanıcı/parola çifti yollar. Her IP saniyede 1-2 istek; tek IP profilinde botnet görünmez. ddosCond: yüksek 4xx oranı VE login path yoğunluğu VE IP itibar düşük → kademeli aksiyon (CAPTCHA → blok).
AI ajanı tabanlı saldırgan API endpoint'lerine human-benzeri hızda istek yollar. Tek bağlantı sinyalinde bot tespiti zor. Bot skoru + davranışsal parmak izi + path yoğunluğu birleşik değerlendirme ile AI ajanın yapısal kalıbı yakalanır; rate-limit veya yerel CAPTCHA uygulanır.
E-ticaret kampanyası başlangıcında trafik 10 katına çıkar. Statik eşik ya sayfayı beyazlatır ya da meşru trafiği bloklayarak iş kaybına yol açar. TR7 Smart Learning kampanya günü beklentisini de öğrenmiştir (haftalık döngü); eşik dinamik. Meşru trafik etkilenmez, bot/saldırgan trafiği ayırt edilir.
ddosCond birleşik koşulları, Smart Learning önerileri ve adaptif aksiyon kütüphanesini kendi ortamınızda canlı görelim — pilot vService üzerinde kurulum oturumu planlayalım.