Poyraz Hosting Logo
. . .

Linux sunucularda DDOS saldırılarına karşı korunma yöntemleri nelerdir?

Blog Listesine Dön

Linux sunucularda DDOS saldırılarına karşı korunma yöntemleri nelerdir?
Görüntülenme: 398

Linux sunucularda DDoS (Distributed Denial of Service) saldırılarına karşı korunmak için birden çok katmanda önlem almak gerekir. Aşağıda etkili yöntemleri sıralıyorum:

1. Ağ Seviyesinde Koruma

  • Firewall Kuralları: iptables, nftables veya firewalld kullanarak trafiği filtrelemek. Örneğin:

    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

  • Rate Limiting: Belirli IP'lerden gelen istek sayısını sınırlamak.

  • Connection Tracking: Aynı IP’den aşırı bağlantı kurulmasını engellemek (conntrack modülü ile).

  •  

2. Sistem Seviyesinde Ayarlar

  • SYN Flood Koruması: Kernel ayarlarını yaparak SYN saldırılarına karşı koruma:

    sysctl -w net.ipv4.tcp_syncookies=1

  • Timeout Ayarları: Açık bağlantıların daha hızlı kapanması için TCP timeout değerlerini düşürmek.

  •  

3. Uygulama Seviyesinde Önlemler

  • Web Sunucusu Ayarları: (Örneğin Apache veya Nginx üzerinde)

    • Request limitleri

    • Zaman aşımı ayarları

    • Slowloris saldırılarına karşı koruma (örneğin Apache için mod_reqtimeout).

    •  

4. Ön Uçta (Edge) Koruma

  • Reverse Proxy Kullanımı: Trafiği doğrudan sunucuya almak yerine, bir proxy (örneğin Nginx, HAProxy) üzerinden geçirmek.

  • CDN ve WAF Kullanımı: Cloudflare, Akamai gibi CDN + Web Application Firewall hizmetleri kullanmak.

  •  

5. Otomatik Blacklist / Fail2Ban

  • Fail2Ban: Belirli kötü amaçlı davranışları tespit edip IP’yi otomatik engellemek.

    apt install fail2ban

  • Custom ban scriptleri: Belirli log desenlerine göre IP'leri kara listeye almak.

  •  

6. Load Balancer ile Yük Dağıtımı

  • Trafiği birden fazla sunucuya dağıtarak saldırı yükünü azaltmak.

  • Örneğin HAProxy veya AWS Elastic Load Balancing gibi çözümler.

  •  

7. Anormallik Tespiti ve İzleme

  • Netdata, Prometheus, Grafana gibi araçlarla ağ trafiğini ve sistem yükünü sürekli izlemek.

  • Ani artışlar tespit edildiğinde otomatik aksiyon almak.

  •  

8. BGP Kara Delik (Blackholing)

  • Ciddi saldırılarda, ISP seviyesinde hedef IP'yi "blackhole" ederek saldırı trafiğini doğrudan atmak.

Ekstra Tavsiyeler:

  • Gereksiz servisleri kapatmak: Özellikle dışa açık portları minimuma indirin (nmap ile kontrol edebilirsiniz).

  • Saldırı Öncesi Plan: DDoS olduğu zaman değil, önceden hazır olmak lazım.

  • DDoS Mitigation Servisleri: Çok büyük saldırılar için özel koruma hizmetleri kullanmak (Arbor Networks, Cloudflare Spectrum vs.).

Diğer Yazılara Göz At

Copyright © 2007 - 2025 Poyraz Hosting | Tüm Hakları Saklıdır.


  • Çalıştığımız bankalar

Kupon kodu kopyalandı!