Kısa tanım: DDoS (Distributed Denial of Service / Dağıtık Hizmet Engelleme), bir web sitesi, uygulama veya ağ hizmetini kullanılamaz hale getirmek ya da ciddi ölçüde yavaşlatmak amacıyla, tek bir kaynaktan değil çok sayıda cihazdan (dağıtık şekilde) hedefe aşırı trafik ve / veya istek gönderilmesiyle gerçekleştirilen saldırı türüdür. DDoS’ta amaç çoğunlukla “sisteme girmek” değil, hizmeti boğarak erişimi engellemektir.
DDoS Ne Demek?
DDoS’u anlamanın en kolay yolu, “kapıya yığılma” metaforudur:
Normalde kapınızdan içeri belirli sayıda kişi girip çıkar.
DDoS’ta aynı anda binlerce kişi (ya da öyle görünen istek) kapıya yığılır.
İçerideki gerçek müşterileriniz içeri giremez veya çok zor girer.
Bu “yığılma” her zaman internet hattınızı doldurmak şeklinde olmak zorunda değildir. Bazen hedef, internet hattından çok daha önce bir yerde “tıkandığı” için (ör. uygulama sunucusu, veritabanı bağlantı havuzu, load balancer limitleri) hizmet yine çöker.
DDoS Neden Yapılır? (Motivasyonlar)
DDoS saldırıları “rastgele kaos” gibi görünse de arkasında çoğu zaman net motivasyonlar vardır:
Fidye / şantaj: “Saldırıyı durdurmak için ödeme yapın” yaklaşımı (DDoS extortion).
Rekabet ve sabotaj: Kampanya döneminde e-ticaret sitesini düşürmek, kritik saatlerde hizmeti engellemek.
İtibar zedeleme: Bir markayı “güvenilmez” göstermek.
Siyasi / ideolojik protesto: Kısa süreli görünürlük ve mesaj verme amacı.
Dikkat dağıtma (smokescreen): Güvenlik ekibi DDoS ile uğraşırken, başka bir saldırı (ör. hesap ele geçirme) denenebilir.
Test / deneme: Bazı saldırılar hedefi “çökertmekten” çok kapasiteyi yoklar; zayıf noktaları ölçer.
DoS ve DDoS Arasındaki Fark
DoS (Denial of Service): Genellikle tek bir kaynak (tek cihaz / tek ağ) üzerinden hizmet engelleme girişimidir.
DDoS (Distributed DoS): Aynı mantık, ama çok sayıda dağıtık kaynak ile yapılır; bu da savunmayı daha zorlaştırır.
DDoS’un “dağıtık” olması, saldırganın trafiği tek bir noktadan göndermediği anlamına gelir. Bu dağıtıklık çoğu zaman:
ele geçirilmiş cihazlardan oluşan ağlar (botnet),
yanlış yapılandırılmış açık servisler üzerinden yansıtma / amplifikasyon,
veya çeşitli altyapılardan gelen koordineli trafik şeklinde görülür.
DDoS Nasıl Çalışır? (Yüksek Seviye Akış)
Tipik DDoS akışı şöyle özetlenebilir:
Hedef seçimi: Alan adı, IP, uygulama endpoint’i, DNS, API vb.
Zayıf nokta analizi: Hedefin bant genişliği, rate limit’leri, uygulama darboğazları.
Trafik/istek akıtma: Dağıtık kaynaklardan yüksek hacimli trafik veya istek.
Darboğaz oluşturma:
Ağ kapasitesi dolar veya
Protokol seviyesinde kaynaklar tükenir veya
Uygulama katmanında pahalı işlemler tetiklenir.
Sonuç: Gerçek kullanıcıların hizmete erişimi bozulur; time-out, 5xx hataları, aşırı gecikme oluşur.
Bu anlatımın kritik kısmı: DDoS “her zaman devasa trafik” demek değildir. Bazen trafik hacmi çok yüksek görünmez, ama seçilmiş istekler sunucuyu “işlem gücü” açısından boğar.
DDoS Türleri: Volumetrik, Protokol ve Uygulama Katmanı
DDoS’ı anlamanın en pratik sınıflandırması, hangi katmanda boğduğu üzerinden yapılır.
Volumetrik saldırılar (Bant genişliğini dolduran)
Burada amaç, hedefin veya upstream hattın kapasitesini doldurmaktır. Belirti genelde nettir:
Hattınız dolar
Giriş / çıkış trafiği anormal yükselir
Her şey “ağ” seviyesinde yavaşlar
Savunma yaklaşımı: Hattın önünde, “daha büyük boru + filtreleme” gerekir. CDN / Anycast, scrubbing merkezleri, upstream ISP iş birliği bu yüzden önemlidir.
Protokol saldırıları (L3 / L4 kaynak tüketen)
Bu sınıfta hedef; load balancer, firewall, TCP/IP stack gibi katmanlarda durum (state) veya kaynak tüketimi yaratmaktır. Trafik hacmi orta seviyede olabilir ama hedef cihazlar “işleyemez”.
Savunma yaklaşımı: Stateful cihazların kapasitesi, connection tracking ayarları, SYN cookies gibi mekanizmalar, upstream filtreleme, rate limiting ve doğru firewall politikaları.
Uygulama katmanı saldırıları (L7: web / app boğma)
En “sinsice” görünen sınıf. Trafik “normal kullanıcı” gibi görünebilir: HTTP istekleri, API çağrıları, arama sorguları… Ama hedeflenen endpoint “pahalı”dır:
Veritabanına ağır sorgu attırır
Dinamik içerik oluşturur
Cache bypass yaptırır
Bu yüzden bant genişliği dolmadan da site çöker: CPU %100, DB bağlantıları tükenir, 503’ler yağar.
Savunma yaklaşımı: WAF kuralları, bot yönetimi, davranış analizi, rate limit + token bucket, cache stratejileri, “pahalı endpoint” sertleştirmesi.
Not: Bu bölüm savunma amaçlı bir çerçeve sunar; saldırı yöntemlerinin “nasıl yapılacağına” dair adım adım tarif vermek güvenli değildir ve bu yazının amacı da o değildir.
DDoS Saldırısının Belirtileri: “DDoS mu yiyorum?”
“DDoS nasıl anlaşılır?” sorusuna tek sinyal yetmez; ama aşağıdaki belirtiler birlikte görüldüğünde güçlü bir şüphe oluşur:
Kullanıcı tarafı belirtiler
Site açılmıyor / çok yavaş
“Gateway timeout”, “Service Unavailable (503)” gibi hatalar
Mobil uygulama API’lerinin cevap vermemesi
Sunucu ve altyapı belirtileri
Trafikte anormal sıçrama (özellikle belirli ülkeler / ASN’ler)
Aynı endpoint’e aşırı istek
CPU / RAM normal ama network saturasyonu (volumetrik)
Network normal ama CPU / DB aşırı yük (L7)
Load balancer bağlantı sayılarında patlama
Firewall / IPS üzerinde connection table dolması
Analitik anomalileri
Sayfa görüntüleme artıyor gibi görünür ama “session quality” düşüktür
Çok yüksek bounce / sıfır etkileşim
Referer’lar tutarsız veya boş
DDoS ile normal trafik patlamasını ayırma ipucu:
Gerçek kampanya trafiği genellikle belirli kaynaklardan (e-posta, reklam, sosyal) izlenebilir, davranış tutarlıdır. DDoS trafiğinde “niyet” yoktur; tutarsızlık ve tekdüzelik daha baskındır.
DDoS Olunca Ne Yapmalıyım? İlk 30–60 Dakika Planı
İlk 10 dakika: Durum tespiti ve kayıt
İzleme panellerini açın: trafik, hata oranı, latency, CPU / RAM, bağlantı sayısı
“Ne zaman başladı, hangi servis etkilendi?” sorusunu netleştirin
Logları ve metrikleri kaydedin (olay sonrası analiz için)
10–30 dakika: Trafiği sınırlama ve yüzey daraltma
CDN / WAF varsa “Under Attack Mode” benzeri koruma profillerini devreye alın (sağlayıcınıza göre)
Uygulama katmanında:
en pahalı endpoint’lere rate limit
geçici olarak bazı özellikleri kısıtlama (ör. arama, yorum)
Kaynak tüketen arka plan işleri (cron / queue) saldırı anında askıya alınabilir
30–60 dakika: Upstream destek ve kalıcı önlem
Barındırma sağlayıcısı / ISP / DDoS koruma sağlayıcısı ile iletişime geçin
IP / ASN bazlı filtreleme veya scrubbing yönlendirmesi gerekebilir
Gerekirse “geçici bakım sayfası” ile kontrollü hizmet verin (tam karartma yerine)
İlke: Panikle rastgele değişiklik yapmak yerine, önce darboğazı bulun: bant genişliği mi doldu, connection state mi tükendi, CPU / DB mi boğuldu? Çözüm buna göre seçilir.
DDoS’tan Korunma: Temel Prensipler
DDoS savunması “tek ürün” değil, katmanlı dayanıklılıktır.
Tek nokta kırılganlığını azaltın
Tek sunucuya bağlı hizmet yerine yatay ölçeklenebilir mimari
Kritik bileşenlerde yedeklilik (DNS, load balancer, origin)
Trafiği size gelmeden “dağıtın”
CDN ve Anycast mantığı, trafiğin tek bir origin’e yığılmasını azaltır. Bu noktada CDN sağlayıcıları (ör. Cloudflare, Akamai) genellikle temel bir “ilk savunma hattı” işlevi görür.
Uygulama katmanı sertleştirmesi
Cache stratejisi (özellikle dinamik sayfalar)
Pahalı endpoint’ler için rate limit ve “backpressure”
API anahtarları, token doğrulama, anomali tespiti
Bot ve otomasyon sinyalleri
Davranışsal analiz (aynı pattern, şüpheli user-agent, anormal istek hızı)
CAPTCHA gibi çözümler (dikkat: her yerde kullanıcı deneyimini bozar; doğru yerde kullanın)
İzleme ve “hazır cevap” (runbook)
DDoS anında kim ne yapacak?
İletişim listesi
Yetkili kişiler
Sağlayıcı kontakları
Hangi eşikte hangi kural devreye girecek?
Kurumlar için DDoS Mitigation: Mimari + Operasyon
Kurumsal düzeyde DDoS savunması genellikle şu bloklardan oluşur:
Network katmanı: scrubbing ve upstream iş birliği
Trafiği temizleyip (scrub) öyle ileten hizmetler
ISP seviyesinde filtreleme
BGP yönlendirme senaryoları (blackhole dahil) — çok dikkatli, planlı kullanılmalı
Uygulama katmanı: WAF + rate limiting + davranış analizi
WAF kuralları: bilinen kötü pattern’leri keser
Rate limiting: “normal kullanıcı” hızını korur
Bot management: otomasyon trafiğini ayıklar
Dayanıklılık: “degrade gracefully”
DDoS anında “her şey ya çalışır ya ölür” yerine:
kritik işlevleri ayakta tut
pahalı özellikleri kıs
statik fallback sayfaları sun
kuyruklar ve circuit breaker’lar ile sistemi koru
Süreç: olay yönetimi ve iletişim
DDoS sadece teknik ekip problemi değildir:
Müşteri iletişimi (durum sayfası)
SLA ve iş sürekliliği
Hukuki ve delil toplama boyutu
Bu konular için rehber niteliğinde çerçeveler; CISA, NIST ve Avrupa tarafında ENISA gibi kurumların yayınlarında savunma, olay müdahalesi ve dayanıklılık açısından ele alınır.
Sık Yapılan Hatalar ve Mitler
Mit 1: “DDoS olursa firewall yeter.”
Firewall gerekli bir katmandır ama tek başına yetmez; özellikle volumetrik saldırılarda hattınız dolarsa firewall “görecek” bile trafik kalmayabilir.
Mit 2: “CDN koydum, konu kapandı.”
CDN büyük fayda sağlar ama origin’iniz açıkta kalırsa (ör. gerçek IP ifşa olduysa) saldırı CDN’i bypass edebilir. Mimari bütünlük önemlidir.
Mit 3: “DDoS sadece büyük şirketlerin sorunu.”
KOBİ’ler ve küçük siteler daha az kaynakla ayakta durduğu için DDoS’tan daha hızlı etkilenebilir.
Mit 4: “Trafik artışı her zaman iyi şeydir.”
“İstek” artışı, “müşteri” artışı değildir. Trafik kalitesi ve kaynak kırılımı kritik.
SSS (Sık Sorulan Sorular)
DDoS ile site hacklenmiş olur mu?
Genellikle hayır. DDoS çoğu zaman “erişimi engelleme” saldırısıdır. Ancak bazı senaryolarda DDoS “dikkat dağıtma” amaçlı başka saldırılarla birlikte görülebilir.
DDoS saldırısı suç mu?
Birçok ülkede bilgisayar sistemlerinin işleyişini engellemeye yönelik saldırılar suç kapsamına girer. Detaylar ülke hukukuna göre değişir; kurumsal olaylarda hukuki danışmanlık önemlidir.
DDoS ne kadar sürer?
Dakikalar da sürebilir, günler de. Süre; saldırganın motivasyonuna, savunma kapasitenize ve upstream iş birliğine bağlıdır.
DDoS’u ücretsiz engellemek mümkün mü?
Bazı temel önlemler ücretsizdir (rate limit, cache, doğru konfigürasyon). Ancak büyük ölçekli saldırılarda genellikle “daha büyük kapasite + profesyonel mitigasyon” gerekir.
Oyun sunucularına DDoS neden sık olur?
Gerçek zamanlı hizmetlerde gecikme toleransı düşüktür ve oyuncu kitlesiyle ilişkili tehdit dinamiği farklıdır. Ayrıca bazı oyun protokolleri / altyapılar daha kolay hedef haline gelebilir.
Perspektif: DDoS Bir “Teknik Sorun” Değil, Bir Dayanıklılık Testi
DDoS’un en öğretici tarafı şudur: DDoS, bir sistemin “normal şartlarda çalışmasını” değil, anormal şartlarda ayakta kalmasını sınar.
Bu yüzden doğru soru çoğu zaman “DDoS olur mu?” değil:
“Hizmeti hangi seviyede sürdürebilirim?”
“Hangi fonksiyonlar kritik, hangileri kapatılabilir?”
“İlk 30 dakikada kim, hangi kararı alır?”
“Müşteriyle iletişim planım ne?”
DDoS savunması, teknik kapasitenin yanında operasyonel olgunluk gerektirir.
Mini Sözlük
DoS/DDoS: Hizmet engelleme / dağıtık hizmet engelleme.
Botnet: Çok sayıda cihazın (genellikle ele geçirilmiş) koordineli kullanımı.
Volumetrik: Bant genişliğini dolduran trafik temelli saldırılar.
L3/L4: Ağ ve taşıma katmanı (IP/TCP/UDP gibi).
L7: Uygulama katmanı (HTTP/API gibi).
Anycast: Trafiği birden çok noktaya en yakın yerden dağıtma yönlendirme yaklaşımı.
WAF: Web Application Firewall; HTTP trafiği üzerinde kural/koruma katmanı.
Rate limiting: İstek hızını sınırlama; kaynak tükenmesini önleme.
Scrubbing: Zararlı trafiği temizleyip (ayıklayıp) yalnızca meşru trafiği iletme
🗓️ Yayınlanma Tarihi: 18 Şubat 2026
🔄 Son Güncelleme Tarihi: 18 Şubat 2026
🎯 Kimler için: Bu içerik, “DDoS nedir?” sorusuna yalnızca genel bir tanım değil; türleri, belirtileri, ilk müdahale adımları ve kalıcı korunma yaklaşımı ile birlikte net bir çerçeve arayan herkes için hazırlandı. Özellikle:
Web sitesi ve uygulama sahipleri: “Site açılmıyor / aniden yavaşladı” gibi durumlarda bunun DDoS olup olmadığını anlamak ve doğru ilk adımları atmak isteyenler.
KOBİ’ler ve e-ticaret işletmeleri: Kampanya dönemlerinde kesinti riskini azaltmak, DDoS’un operasyonel maliyetini (downtime) yönetmek isteyenler.
Sistem yöneticileri ve DevOps ekipleri: Trafik patlamasını “normal yoğunluk” ile “kötü niyetli yük” arasında ayırt edip, CDN / WAF / rate limit gibi kontrolleri doğru yerde konumlandırmak isteyenler.
BT yöneticileri ve teknik ekip liderleri: Olay anında izlenecek runbook mantığını, ekip içi rol paylaşımını ve upstream sağlayıcılarla koordinasyonu planlamak isteyenler.
Siber güvenliğe yeni başlayanlar: DDoS’u “hacklenme” ile karıştırmadan, ağ / uygulama dayanıklılığı perspektifinde kavramak isteyenler.
Eğer “DDoS mu yiyorum?”, “DDoS saldırısında ilk 30 dakikada ne yapılmalı?” veya “DDoS’u kalıcı olarak nasıl azaltırım?” gibi sorularınız varsa, bu yazı tanım → türler → belirtiler → aksiyon planı → korunma çizgisinde ilerleyecek şekilde tasarlandı.
İçerik Bilgisi
Invictus Wiki editoryal ekibini temsil eden kolektif bir yazarlık imzasıdır. IW imzasıyla yayımlanan içerikler; çok kaynaklı araştırma, editoryal inceleme ve tarafsızlık ilkeleri doğrultusunda hazırlanır.
