Header Menu

Linux sunucularda DDOS saldırılarına karşı korunma yöntemleri nelerdir? resim

Linux sunucularda DDOS saldırılarına karşı korunma yöntemleri nelerdir?

Poyrazhosting PoyrazHosting

Linux sunucularda DDoS (Distributed Denial of Service) saldırılarına karşı korunmak için birden çok katmanda önlem almak gerekir. Aşağıda etkili yöntemleri sıralıyorum:

1. Ağ Seviyesinde Koruma

  • Firewall Kuralları: iptables, nftables veya firewalld kullanarak trafiği filtrelemek. Örneğin:

    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

  • Rate Limiting: Belirli IP'lerden gelen istek sayısını sınırlamak.

  • Connection Tracking: Aynı IP’den aşırı bağlantı kurulmasını engellemek (conntrack modülü ile).

  •  

2. Sistem Seviyesinde Ayarlar

  • SYN Flood Koruması: Kernel ayarlarını yaparak SYN saldırılarına karşı koruma:

    sysctl -w net.ipv4.tcp_syncookies=1

  • Timeout Ayarları: Açık bağlantıların daha hızlı kapanması için TCP timeout değerlerini düşürmek.

  •  

3. Uygulama Seviyesinde Önlemler

  • Web Sunucusu Ayarları: (Örneğin Apache veya Nginx üzerinde)

    • Request limitleri

    • Zaman aşımı ayarları

    • Slowloris saldırılarına karşı koruma (örneğin Apache için mod_reqtimeout).

    •  

4. Ön Uçta (Edge) Koruma

  • Reverse Proxy Kullanımı: Trafiği doğrudan sunucuya almak yerine, bir proxy (örneğin Nginx, HAProxy) üzerinden geçirmek.

  • CDN ve WAF Kullanımı: Cloudflare, Akamai gibi CDN + Web Application Firewall hizmetleri kullanmak.

  •  

5. Otomatik Blacklist / Fail2Ban

  • Fail2Ban: Belirli kötü amaçlı davranışları tespit edip IP’yi otomatik engellemek.

    apt install fail2ban

  • Custom ban scriptleri: Belirli log desenlerine göre IP'leri kara listeye almak.

  •  

6. Load Balancer ile Yük Dağıtımı

  • Trafiği birden fazla sunucuya dağıtarak saldırı yükünü azaltmak.

  • Örneğin HAProxy veya AWS Elastic Load Balancing gibi çözümler.

  •  

7. Anormallik Tespiti ve İzleme

  • Netdata, Prometheus, Grafana gibi araçlarla ağ trafiğini ve sistem yükünü sürekli izlemek.

  • Ani artışlar tespit edildiğinde otomatik aksiyon almak.

  •  

8. BGP Kara Delik (Blackholing)

  • Ciddi saldırılarda, ISP seviyesinde hedef IP'yi "blackhole" ederek saldırı trafiğini doğrudan atmak.

Ekstra Tavsiyeler:

  • Gereksiz servisleri kapatmak: Özellikle dışa açık portları minimuma indirin (nmap ile kontrol edebilirsiniz).

  • Saldırı Öncesi Plan: DDoS olduğu zaman değil, önceden hazır olmak lazım.

  • DDoS Mitigation Servisleri: Çok büyük saldırılar için özel koruma hizmetleri kullanmak (Arbor Networks, Cloudflare Spectrum vs.).

13 Görüntüleme