DDoS Saldırıları Nedir? Web Siteleri İçin En İyi Korunma Yöntemleri

Hayal et: Çok popüler bir kahve dükkanın var. Bir gün kapıdan içeri, aslında kahve almakla hiç ilgisi olmayan 500 kişi birden giriyor. Kasayı meşgul ediyorlar, bağırıp çağırıyorlar, masalara oturuyorlar ve dükkanın gerçek müşterilerinin içeri girmesini engelliyorlar. Sonuç? Dükkan kilitleniyor, gerçek müşteriler gidiyor ve sen ciro kaybediyorsun.

İşte dijital dünyada bu dükkan basma eyleminin adı DDoS (Distributed Denial of Service), yani Dağıtık Hizmet Reddi saldırısıdır. Saldırganların amacı senin sitendeki verileri çalmak veya seni hacklemek değildir şef; onların tek bir amacı vardır: Sitenin sunucu kaynaklarını (bant genişliği, işlemci, bellek) tamamen tüketerek siteyi erişilemez hale getirmek, yani çökertmek.

2026 web ekosisteminde siber saldırganlar artık çok daha akıllı. Yapay zeka ile optimize edilmiş botnet orduları, sitenin zayıf kodlanmış bir arama eklentisini veya login sayfasını bulup saniyede milyonlarca istek fırlatabiliyor. Gelin, bu dijital zorbaların maskesini düşürelim ve sunucunu nasıl bir kaleye dönüştüreceğini adım adım inceleyelim.

DDoS Saldırıları Nasıl Çalışır? (Botnet Orduları)

DDoS saldırısının başındaki “Distributed” (Dağıtık) kelimesi işin sırrıdır. Saldırgan bu işlemi tek bir bilgisayardan yapmaz. Eğer tek bir IP’den yapsaydı, sunucu güvenlik duvarın o IP’yi saniyede engeller ve çayını yudumlamaya devam ederdi.

Saldırganlar, dünya genelinde virüs bulaştırılmış binlerce, bazen milyonlarca bilgisayarı, akıllı telefonu, hatta internete bağlı akıllı televizyonları ve kameraları (IoT cihazları) tek bir merkezden yönetirler. Zombi haline getirilmiş bu cihaz ordusuna Botnet denir. Saldırgan düğmeye bastığı an, bu milyonlarca zombi cihaz aynı saniyede senin sitene hücum eder. Sunucu neye uğradığını şaşırır, gelen istekleri işleyemez ve beyaz bayrağı çeker.

Saldırılar genellikle üç katmanda gerçekleşir:

• Hacimsel (Volumetric) Saldırılar: Sunucunun internet hattını (Bandwidth) tamamen tıkamayı hedefler. (Örn: UDP/ICMP flood).
• Protokol Saldırıları: Sunucunun kaynaklarını (RAM/CPU) veya network cihazlarını (Firewall, Switch) kilitler. (Örn: SYN flood).
• Uygulama Katmanı (Layer 7) Saldırıları: Doğrudan web sitenin yazılımına yöneliktir. En tehlikeli ve sinsisidir. Normal bir kullanıcı gibi davranıp WordPress’in wp-login.php sayfasına veya veritabanını yoran arama butonuna milyonlarca post isteği gönderirler.

Web Siteleri İçin En İyi DDoS Korunma Yöntemleri

“Benim sitemi kim ne yapsın, neden saldırsınlar?” deme. Rakip firmalar, canı sıkılan hacker adayları veya fidye şantajcıları her an kapını çalabilir. İşte siteni koruyacak en iyi savunma hatları:

1. Bulut Tabanlı Ters Proxy (Cloudflare, Sucuri, Akamai) Kullanımı

DDoS korumasında ilk ve en etkili kural, saldırı trafiğinin asıl sunucuna (Origin Server) ulaşmasını engellemektir.

• Siteni Cloudflare gibi bir servisin arkasına aldığında, dünyaya sunucunun gerçek IP adresini gizlemiş olursun. Ziyaretçiler ve botlar önce Cloudflare’in devasa küresel veri merkezlerine çarpar.
• Cloudflare, gelen trafiği yapay zeka algoritmalarıyla analiz eder. Kötü niyetli botları, zombi bilgisayarları daha kapıdayken eler ve senin sunucuna sadece temiz, gerçek insan trafiğini gönderir. Siten saldırı altındayken bile ruhun duymaz.

2. Sunucunuzda Rate Limiting (İstek Sınırlaması) Yapılandırın

Uygulama katmanı (Layer 7) saldırılarını engellemenin en akıllıca yolu sunucuya bir hız sınırı koymaktır. Normal bir insan bir saniyede en fazla kaç sayfaya tıklayabilir? 3? 5? Bir bot ise saniyede 500 sayfaya tıklayabilir.

• Nginx kullanıyorsan: ngx_http_limit_req_module modülünü aktif ederek kullanıcı başına saniyelik istek limitleri koyabilirsin.
• Apache kullanıyorsan: mod_evasive modülüyle aynı IP’den gelen aşırı istekleri otomatik olarak 403 (Forbidden) hatasıyla engelleyebilirsin.

3. Gerçek Sunucu IP Adresini Sır Gibi Saklayın

Eğer siteni Cloudflare arkasına almadan önce bir kez bile sunucunun gerçek IP’si ile yayına çıktıysan, o IP adresi siber korsanların elindeki geçmiş DNS kayıtlarında (DNS History) çoktan listelenmiştir. Saldırganlar Cloudflare’i pas geçip (Bypass) doğrudan senin sunucu IP’ne saldırabilirler.

• Çözüm: Cloudflare kurulumunu yaptıktan sonra hosting firmanla görüşüp sunucunun ana IP adresini değiştirt. Yeni IP’yi asla dış dünyaya sızdırma. Sunucunun sadece Cloudflare IP’lerinden gelen isteklere cevap vermesini sağla, geri kalan tüm doğrudan girişleri güvenlik duvarından engelle.

4. Gelişmiş Web Uygulaması Güvenlik Duvarı (WAF) Aktif Edin

WAF (Web Application Firewall), sitene gelen HTTP isteklerinin içeriğini inceler. Eğer gelen isteklerin içinde SQL Injection, Cross-Site Scripting (XSS) veya bilinen DDoS botlarının ayak izleri (User-Agent bilgileri) varsa, bu istekleri sunucuya ulaşmadan bloklar. WordPress kullanıyorsan sunucu seviyesindeki korumalara ek olarak Wordfence veya MalCare gibi eklentilerle Layer 7 seviyesinde ek bir iç koruma kalkanı oluşturabilirsin.

5. Hosting Sağlayıcınızı Doğru Seçin (Donanımsal DDoS Koruması)

Yazılımsal önlemler bir yere kadar işe yarar şef. Eğer gelen saldırı 100 Gbps veya 1 Terabit gibi devasa boyutlardaysa, senin sunucunun ağ kartı (NIC) o trafiği fiziksel olarak kaldıramaz ve kilitlenir.

• Bu yüzden sunucu kiralarken veri merkezinin (Data Center) girişinde Voxility, Radware veya Arbor gibi devasa donanımsal DDoS mitigasyon (temizleme) cihazlarının bulunup bulunmadığını mutlaka hosting firmana sor. Donanımsal koruma, büyük hacimli saldırıları daha omurga seviyesindeyken yutar.

💡 Teknik İpucu (Expert Box)

Bunu biliyor muydunuz? WordPress sitelerine yapılan DDoS saldırılarının %80’i xmlrpc.php dosyası üzerinden gerçekleştirilir. Bu dosya, WordPress’in harici uygulamalarla konuşmasını sağlar ancak saldırganlar bu dosyaya tek bir istekte yüzlerce pingback göndererek sunucuyu saniyeler içinde kilitleyebilir. Eğer sitende harici bir jetpack gibi uygulama veya mobil yönetim aracı kullanmıyorsan, .htaccess dosyana şu kodları ekleyerek bu kapıyı saldırganların yüzüne tamamen kapatmalısın:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

Sonuç: Dijital Dünyada Tedbiri Elden Bırakma

DDoS saldırıları, internet sitelerinin kaçınılmaz bir gerçeğidir. Siten büyüdükçe ve popülerleştikçe siber zorbaların radarına girme ihtimalin de artar. Ancak doğru bir ters proxy mimarisi (Cloudflare), sunucu seviyesinde rate limiting ayarları ve donanımsal DDoS korumasına sahip bir hosting seçimiyle bu saldırıları bir sivrisinek ısırığına dönüştürebilirsin. Unutma; siber güvenlik bir kerelik bir ayar değil, sürekli devam eden bir tetikte olma durumudur.

Senin sitene hiç DDoS saldırısı geldi mi? Sitenin çöktüğü o kriz anlarında hangi önlemleri aldın? Yorumlara yaz, sunucu güvenliğini ve firewall kurallarını birlikte optimize edelim!