Katman 3, katman 4 ve katman 7 saldırıları
Katman 3 saldırıları ağ katmanını (IP, ICMP) hedefler — örnekler ICMP taşması ve IP parçalanma saldırılarıdır. Katman 4 saldırıları taşıma katmanını (TCP, UDP) hedefler — örnekler SYN taşması, UDP amplifikasyonu ve DNS amplifikasyonudur. Katman 7 saldırıları uygulama katmanını (HTTP, HTTPS) hedefler — örnekler HTTP GET/POST taşmaları ve Slowloris'tir. Her katman farklı azaltma gerektirir.
Katman 3 ve 4'teki hacimsel saldırılar ağ borusunun kendisini doyurmaya çalışır. Kamuya açıklanan en büyük saldırılar, saniye başına çoklu terabit eşiğini aştı — Cloudflare Mayıs 2025'te 7,3 Tbps'lik bir saldırıyı azalttığını bildirdi ve AWS Shield Şubat 2020 kadar erken bir tarihte 2,3 Tbps'lik bir saldırı bildirdi. Bu saldırılar çalışır çünkü amplifikasyon protokolleri (DNS, NTP, memcached, CLDAP) küçük bir sahte sorgunun kurbana gönderilen çok daha büyük bir yanıtı tetiklemesine izin verir — DNS için 50 kat, NTP için 200 kat ve memcached için 50.000 kat amplifikasyon faktörleri belgelenmiştir. Katman 4'teki protokol saldırıları — SYN taşmaları, ACK taşmaları, parçalı paket saldırıları — bant genişliğini doyurmak yerine güvenlik duvarları ve yük dengeleyicilerinde bağlantı izleme durumunu tüketir. Katman 7 saldırıları bayt olarak en küçüğüdür ancak filtrelemesi en zor olanıdır: 100.000 düğümlü bir botnetten gelen bir HTTP taşması bit bit gerçek kullanıcılar gibi görünür ve yalnızca uygulama farkındalı mantık onları ayırt edebilir.
BGP blackhole ve uzaktan tetiklenen kara delik (RTBH)
BGP blackhole, son çare olan acımasız ama etkili azaltmadır: ağ operatörü, saldırıya uğrayan IP için /32 yolu özel bir 'blackhole' BGP topluluğuna duyurur ve tüm yukarı akış eşlerine bu IP'ye giden trafiği tamamen düşürmelerini söyler. Hedef çevrimdışı kalır, ancak ağın geri kalanı ayakta kalır. RTBH, RFC 5635'te standartlaştırılmıştır ve her Tier 1 taşıyıcı tarafından desteklenir.
RTBH, RFC 5635'te (Ağustos 2009) belgelenmiştir ve bir yolu, yukarı akış eşlerinin 'bu önek için hedeflenen tüm trafiği at' olarak yorumladığı bir topluluk niteliğiyle etiketleyerek çalışır. Azaltma toplamdır — korunan IP, meşru kullanıcılar dahil tüm internetten erişilemez hale gelir — ancak müşteri filosunun geri kalanını dolaylı zarardan korur. Ne kadar küt olduğundan dolayı, tek bir IP çoklu yüz gigabitlik bir saldırıyla doyurulduğunda ve daha geniş bir kesintinin maliyeti o IP'yi çevrimiçi tutmaktan ağır bastığında RTBH uygundur. Birçok düşük katmanlı 'DDoS korumalı' VPS planı aslında tam olarak bunu kastediyor: sağlayıcı, filo geri kalanını güvende tutmak için saldırı altındaki IP'nizi null-route eder. Bu tanım gereği hizmet reddi azaltmasıdır, ancak korunan kaynak sağlayıcının ağıdır, sizinki değil.
Filtreleme merkezleri ve trafik yönlendirme
Filtreleme merkezi, saldırı trafiğinin filtrelendiği ve temiz trafiğin kaynağa yönlendirildiği güçlendirilmiş bir ağ sitesidir. Trafik oraya BGP duyurusu (her zaman açık veya talep üzerine) veya DNS yönlendirmesi yoluyla yönlendirilir. Tbps başına filtreleme kapasitesi başlık metriğidir — en büyük sağlayıcılar 200+ Tbps toplam filtreleme işletir, özel hosting sağlayıcıları ise genellikle 1-10 Tbps reklam yapar.
Filtreleme merkezleri, her paketi inceleyen, iyi huylu ile kötü amaçlı kalıpları sınıflandıran ve yalnızca temiz kısmı kaynağa ileten özel cihazlar — Arbor TMS, Radware DefensePro, A10 Thunder, NSFOCUS ADS veya büyük ölçekli özel Linux/DPDK boru hatları — çalıştırır. Yönlendirme genellikle BGP ile yapılır: müşterinin öneki, bir saldırı sırasında filtreleme sağlayıcısının anycast ağından duyurulur ve tüm trafiği en yakın filtreleme sitesine çeker. Temizlemeden sonra, trafik kaynak sunucuya geri tünellenir (GRE, IPSec, özel cross-connect veya doğrudan peering). Filtreleme gecikmesi genellikle bölge içinde 1-3 ms'dir, artı yönlendirmenin eklediği fazladan yol. Her zaman açık filtreleme, sürekli bir gecikme vergisi karşılığında azaltma başlangıç süresini ortadan kaldırarak yönlendirmeyi kalıcı tutar. Talep üzerine filtreleme yalnızca tespit edilen saldırılar sırasında yönlendirir, bu daha ucuzdur ancak saldırının indiği 30-180 saniyelik bir etkinleştirme penceresi sunar.
Her zaman açık ile talep üzerine azaltma
Her zaman açık azaltma tüm trafiği 7/24 filtreleme katmanından yönlendirir — sıfır etkinleştirme gecikmesi, ancak her paket küçük bir gecikme vergisi öder (tipik olarak 1-5 ms). Talep üzerine azaltma yalnızca bir saldırı tespit edildiğinde etkinleşir, kararlı durum gecikmesini ortadan kaldırır ancak etkinleştirme penceresi sırasında (genellikle 30-180 saniye) kaynağı açığa çıkarır. Hibrit kurulumlar her ikisini de birleştirir: HTTP/HTTPS için her zaman açık, ham IP trafiği için talep üzerine.
Her zaman açık ile talep üzerine arasında seçim yapmak, kararlı durum gecikmesi ile saldırı penceresi savunmasızlığı arasındaki bir ödünleşimdir. Gecikme hassasiyetli hizmetler — çok oyunculu oyun sunucuları, düşük gecikmeli ticaret, ses/video — genellikle talep üzerine seçer ve etkinleştirme boşluğunu kabul eder çünkü her milisaniye kararlı durum RTT onlara mâl olur. Halka açık web hizmetleri, API'ler ve SaaS uygulamaları genellikle her zaman açık veya kaynak IP'sinin kamuya bilinmediği tamamen proxylenmiş CDN benzeri bir topoloji seçer ve saldırı penceresini tamamen ortadan kaldırır. Modern bulut kenarı sağlayıcıları (Cloudflare, Fastly, AWS Shield Advanced, Google Cloud Armor) ağları zaten yüzlerce kenar konumunda trafiği sonlandırdığından ve 'sapma' temelde sıfır olduğundan varsayılan olarak her zaman açık eğilimindedir.
Hız sınırlama, WAF ve uygulama katmanı savunması
Hız sınırlama, kaynak IP başına, oturum başına veya URL başına istekleri sınırlandırır ve meşru trafiği etkilemeden katman-7 taşmalarını köreltir. Bir Web Uygulaması Güvenlik Duvarı (WAF) HTTP isteklerini kurallara karşı inceler — OWASP İlk 10 korumaları, özel hız kuralları, coğrafi engelleme, JS sorguları ve CAPTCHA. Birlikte, hacimsel filtrelemenin tek başına yapamadığı katman-7 saldırılarını ele alırlar.
Hacimsel filtreleme IP-ve-bağlantı noktası sınırında durur. Gerçek Chrome trafiği gibi görünen bir HTTP taşmasını durdurmak için URL'ler, başlıklar, çerezler ve davranış üzerinde çalışan kurallara ihtiyacınız vardır. Hız sınırlama, en basit ve en etkili katman-7 kontrolüdür: tek bir IP'yi /login'de örneğin dakikada 60 istekle sınırlayın, geri kalanını düşürün. Bir WAF, içerik farkındalı kurallarla daha ileri gider: SQL enjeksiyon kalıplarına sahip istekleri, anormal kullanıcı aracılarını, eksik yönlendirenleri, hizmet alanınız dışındaki coğrafi kaynakları veya meşru aralığın çok dışındaki yük boyutlarını engelleyin. Modern WAF'lar (AWS WAF, Cloudflare WAF, Fastly Next-Gen WAF, OWASP Core Rule Set ile ModSecurity) ayrıca JavaScript sorguları, hCaptcha ve bot parmak izi sezgisellikleri çalıştırır ve gerçek tarayıcılara rahatsızlık vermeden bir botnet'in isabet oranını %99+ düşürür.
Hosting sağlayıcılarının genellikle dahil ettiği ile ekstra ücret aldığı şeyler
Ücretsiz veya dahil edilmiş katmanlar genellikle temel hız sınırlama ve BGP blackhole kullanarak sabit bir saniye başına gigabit sınırına (genellikle 10-100 Gbps) kadar katman 3-4 hacimsel saldırıları kapsar. Ücretli eklentiler genellikle her zaman açık filtreleme, WAF, katman-7 azaltma, özel kural yazma ve SLA destekli azaltma garantilerini içerir. Sözleşmeyi okuyun — 'sınırsız DDoS koruması' genellikle 'X Gbps üzerinde sizi null-route ederiz' anlamına gelir.
Hosting sağlayıcısı DDoS pazarlaması büyük ölçüde değişir. Gerçekten yararlı koruma üç şey içerir: (1) Gbps veya Tbps cinsinden açık belirtilmiş bir kapasite, (2) HTTP taşma azaltma dahil katman-3'ten katman-7'ye kadar kapsama ve (3) azaltma başlatma süresi ve trafik kaybı taahhütleriyle yazılı bir SLA. Daha az yararlı koruma, kapasite numarası olmayan tek bir 'DDoS korumalı' rozetidir, bu genellikle yalnızca BGP blackhole anlamına gelir — IP'niz saldırı altında null-route edilir ve siz süre boyunca çevrimdışı olursunuz. Değerlendirirken sorun: IP başına belirtilen kapasite nedir? Her zaman açık mı yoksa talep üzerine mi? Katman 7'yi kapsıyor mu? Azaltma etkinleştirme süresi SLA'sı nedir? Saldırı katmanınızın sınırını aştığında ne olur? Yanıtlar gerçek koruma mı yoksa pazarlama etiketi mi satın aldığınızı ortaya çıkarır.