DDoS koruması nedir?

• Hacimsel (L3/L4 selleri). Ham bant genişliği doyumu: UDP selleri, DNS/NTP amplifikasyonu, Mirai tarzı botnet klasikleri. Gigabit cinsinden ölçülür — modern saldırılar rutin olarak 100 Gbps'yi aşar; herhangi bir tek sunucunun uplink'inin çok ötesinde. Bunu yalnızca upstream temizleme kapasitesi yanıtlar.
• Protokol saldırıları. Bant genişliği yerine bağlantı durumunu tüketme: SYN selleri, parçalanmış paket hileleri, bağlantı tablosu tükenmesi. Hacimde küçük, paket başına daha ölümcül; kenarda durum bilgili incelemeyle filtrelenir.
• Uygulama katmanı (L7). Arama sayfaları, giriş formları, API çağrıları gibi pahalı uç noktalara yönelik meşru görünen HTTP isteklerinin selleri. Her istek gerçek bir kullanıcıya benzediğinden genel olarak filtrelemesi en zor olanıdır; uygulama kenarında hız sınırlaması, sorgulama ve önbelleklemeyle hafifletilir.

Gerçek bir koruma yığını üçünü de ele alır; yalnızca bir yönlendirici erişim kontrol listesi anlamına gelen "DDoS korumalı" bunların hiçbirini ele almaz.

İşlem hattı şudur: tespit → yönlendirme → temizleme → yeniden enjeksiyon. Akış telemetrisi (NetFlow/sFlow), her müşteri IP'sini anormallikler için izler — aniden çarpılan bir trafik tabanı, bilinen bir saldırı imzasıyla eşleşen bir protokol karışımı. Saniyeler içinde, hedef ön eki temizleme kapasitesine yönlendirilir: sahte kaynakları düşüren, akışları hız sınırlayan, protokol davranışını doğrulayan ve kalanları geçiren filtre donanımı. Temiz trafik ağa yeniden girer ve sunucunuza ulaşır; sunucunuz çoğunlukla hiçbir şey fark etmez. Önemli iki rakam: hafifletme süresi (saniyeler ile dakikalar arası fark, oyuncuların/kullanıcıların fark edip etmeyeceğini belirler) ve temizleme kapasitesi (400 Gbps seli karşısında 10 Gbps temizleyici dekorasyondan ibarettir). "Her zaman açık", trafiğin hasar gördükten sonra değil, kalıcı olarak satır içi analiz edilmesi anlamına gelir; saldırıya açık iş yükleri için bu fark ürünün kendisidir.

Dahil koruma (bizimkiler dahil), ağ katmanlarını kapsar: çok yüz gigabit ölçeğine kadar hacimsel emme ve protokol filtreleme, her zaman açık, her lokasyonda ek ücret olmadan. Hiçbir ağ düzeyindeki filtre tam olarak kapsamadığı şey, uygulamanızın kendi verimliliğidir: tek bir ucuz HTTP isteği uygulamanızın beş saniyelik bir veritabanı sorgusu çalıştırmasını sağlıyorsa, bir saldırganın sizi zedelemek için yalnızca kullanıcılardan ayırt edilemeyen birkaç yüz saniyedeki isteğe ihtiyacı vardır. L7 dayanıklılığı paylaşılan bir çalışmadır: barındırıcı selleri filtreler; siz agresif biçimde önbelleğe alır, pahalı uç noktaları hız sınırlar ve (sorgulama sayfaları istiyorsanız) bir CDN'in önünü alırsınız. Dürüst barındırıcılar bunu söyler; "saldırılamaz" vaadinde bulunanlardan uzak durun.

Ana akım barındırıcılarda çirkin bir kalıp var: saldırıya uğra, askıya alın. Pek çok bütçe sağlayıcısının gerçek DDoS politikası, kurbanı null-route yapmaktır — saldırı durana kadar IP'niz karanlıktır; bu, saldırganın anında ve tekrar tekrar kazandığı anlamına gelir. Ciddi hafifletme ve kurbanları cezalandırmama kültürüne sahip ağlar, pazarın offshore/DDoS toleranslı köşesinde orantısız biçimde bulunur — Romanya tam da bu nedenle ünlüdür. Politikamız mantıklı olandır: saldırıya uğramak ihlal değildir, hafifletme otomatik olarak devreye girer ve kimse kurban olduğu için null-route'a alınmaz. (Saldırı başlatmak, elbette, KKP'nin diğer tarafında yer alır.)