5 Aralık 2025
En güncel:
Bilişim Haber ve DuyurularıManşetSiber Güvenlik

Türkiye Lokasyonlu Gerçekleşen DDoS Saldırılar Hakkında

Sevgi Yılmaz Selçok

Türkiye lokasyonlu sunucu firmalarına yönelik gerçekleşen DDoS saldırıları hakkında

Türkiye’de son 24 saatte bazı veri merkezi ve sunucu işletmecilerinin kesintiler yaşamasına neden olan DDoS saldırıları, aslında uzun süredir artan bir trendin parçası. TRNOG olarak sahada gördüğümüz tablo net: Saldırıların kapsamı giderek genişliyor, kullanılan yöntemler çeşitleniyor ve saldırılar sadece hedef firmayı değil tüm servis sağlayıcı zincirini zorluyor.

Bu saldırılar nasıl yapılıyor?

DDoS (Distributed Denial of Service) saldırıları, dünya genelinde ele geçirilmiş veya çeşitli zafiyetler sebebiyle saldırı yansıtma olarak kullanılabilen yüz binlerce cihazın aynı anda hedefe çok yüksek trafik göndermesiyle gerçekleşiyor. Son dönemde özellikle carpet bombing (geniş alan saldırısı olarak da bilinir) adı verilen yöntem öne çıkıyor. Bu yöntem, tek bir IP’yi değil bir firmanın tüm IP bloklarını eş zamanlı hedef alarak altyapıyı yaygın bir biçimde çökertmeye çalışıyor.

Saldırılar UDP flood, TCP SYN flood, IP Spoofing, DNS/NTP ve benzeri servislerin yansıması, hatta güncel botnet mimarileriyle gelen ham bant genişliği yüklemeleri şeklinde gerçekleşiyor.

Saldırganlar genellikle saldırı yapacakları firmaya ait tüm IP bloklarına IDS/IPS cihazlarının fark edemeyeceği miktarlarda ufak saldırılar göndererek ve bunu yüzlerce, binlerce IP adresine eş zamanlı yaparak servis sağlayıcının hizmet veremez hale gelmesini sağlıyor.

Neden hizmet sağlayıcılar da etkileniyor?

Carpet tipi saldırılarda hedef sadece sunucu barındıran firma değil; saldırı trafiği o firmanın bağlı olduğu üst sağlayıcıları, omurga operatörlerini ve peering noktalarını da dolduruyor.

Bu nedenle veri merkezleri çoğu zaman saldırıyı içeride çözemiyor; çünkü problem kendi sınırlarının dışında, upstream seviyede başlıyor. Örneğin gelen saldırı boyutunun 250 Gbps olduğu bir durumda veri merkezinin hattı 100 Gbps ise hem veri merkezi hemde ona hizmet veren servis sağlayıcı saldırıdan nasibini alarak kapanıyor.

Amaç ne?

Bu tür saldırıların amacı genelde şunlar oluyor:

  • Rakip firmaları zor durumda bırakma, müşteri kaybetmesini sağlamak,
  • Fidye/şantaj girişimleri,
  • Espor, oyun, fintech ve e-ticaret gibi yoğun trafik alan sektörleri devre dışı bırakma
  • Botnet testleri veya “güç gösterisi”

Son 24 saatte Türkiye genelinde yaşanan olaylar da bu kategorilerin bir kombinasyonu gibi görünüyor.

Neden tam olarak engellenemiyor?

Bugün hiçbir ülke veya operatör, interneti tamamen dışarı kapatmadan DDoS’u yüzde 100 engelleyebilmiş değil. Bunun birkaç nedeni var:

  • Botnet’lerin kapasitesi çok yüksek (Tbps seviyeleri)
  • Saldırı trafiği çoğu zaman çok farklı ülkelerden geliyor,
  • Yurt dışına trafiği kapatmak çözüm değil, yurt içinden de çok yüksek saldırı başlatılabiliyor,
  • Carpet saldırılarında hedef net olmadığı için filtreleme zorlaşıyor,
  • Türkiye’deki operatörler arasında trafik temizleme (scrubbing) entegrasyonları henüz sınırlı
  • Saldırılar çoğu zaman “valid” görünen dolayısıyla Firewall cihazlarından filtre edilemeyen paketlerle geliyor

Yani DDoS sorunları sadece bir firmanın değil; genel bir internet ekosistemi sorunu.

Çözüm ne?


TRNOG olarak önerdiğimiz yöntemler:

  • Operatörler arası ortak DDoS scrubbing altyapıları
  • BGP tabanlı otomatik filtreleme sistemleri (RTBH, FlowSpec, UTRS vb.)
  • Anti-spoofing (BCP38) denetimlerinin Türkiye’de daha yaygın hale gelmesi
  • Peering trafiğinin çeşitlendirilmesi ve lokal IX’lerin güçlendirilmesi (TR-IX yaygınlaştırmak)
  • Hizmet sağlayıcıların upstream seviyede DDoS koruma satın alması
  • Müşteri tarafında rate-limit ve threshold politikalarının doğru uygulanması

TRNOG olarak Türkiye’de DDoS ile mücadelede hem operatörleri hem de veri merkezi işletmecilerini koruyacak ortak savunma mekanizmalarını güçlendirmeye odaklanıyoruz. Şu üç başlık, son dönemde en kritik çalışmalarımız:

1. UTRS (Unwanted Traffic Removal Service)

TRNOG çatısı altında geliştirilen UTRS, operatörlere ve veri merkezlerine otomatik DDoS müdahale yeteneği kazandırıyor.

Sistem, saldırı anında hedef IP’yi tespit edip ilgili operatörlere BGP tabanlı filtreleme (blackhole / redirect) komutlarını iletiyor. Böylece saldırı trafiği kaynakta kesiliyor ve servis sağlayıcılar kendi altyapılarına yük binmeden hizmetlerini sürdürmeye devam edebiliyor.

Bugün dünyada büyük ağlarda kullanılan RTBH / FlowSpec mantığının Türkiye’de ilk kez merkezi ve tarafsız bir şekilde uygulanmış hali diyebiliriz.

2. RTBH (Uzaktan Tetiklenen Kara Delik)

Saldırıların çok büyük bir bölümü, klasik firewall seviyesinde çözülemiyor. Bu nedenle TRNOG, tüm operatörleri BGP RTBH (Remote Triggered Black Hole) kullanımına yönlendiriyor. Tespit ettiğimiz zararlı IP adreslerini otomatik olarak blackhole edilmesini sağlıyoruz.

3. TR-IX (İnternet Değişim Noktası) – Yolda Olan Kritik Proje

Türkiye’deki DDoS risklerinin en önemli sebeplerinden biri de trafiğin internet üzerinden dolaşması ve operatörler arasında yeterli lokal peering olmaması. Türkiye’de IX önemi özellikle saldırının başladığı veya geldiği kaynak operatörün tespiti, saldırının engellenmesi açısından oldukça önemli.

TRNOG’un üzerinde çalıştığı TR-IX, Türkiye’nin modern, tarafsız ve yüksek kapasiteli bir internet değişim noktası olacak. Aynı zamanda Türkiye merkezli tamamen yerli olarak çalışan ilk resmi IX olan TR-IX operatörler arasındaki trafik değişimi ile ciddi şekilde maliyet avantajları ve düşük gecikme sürelerine imkan sağlayacak.

4. Siber Güvenlik Başkanlığının Kurulması ve 7545 Siber Güvenlik Kanunu’nun işletilmesi

Türkiye’de artan siber tehditlere karşı 2024 ve sonrasında siber güvenlik ekosisteminin yeniden şekillenmesinde en kritik adımlardan biri Siber Güvenlik Bakanlığı’nın kurulması ve bu yapıyı çevreleyecek olan yeni 7545 sayılı Siber Güvenlik Kanunu oldu.

Ulusal düzeyde siber olaylara müdahale edilmesini sağlayan en önemli kurumlarımızdan biri olan USOM (Ulusal Siber Olaylarla Mücadele Merkezi) artık Siber Güvenlik Başkanlığı’na taşınıyor. Yeni dönemle birlikte Türkiye de artık DDoS yapmak ve buna aracı olmak gibi konularda ciddi yaptırımlar olacak.

Yeni kanunla birlikte DDoS saldırısı yapmak, buna aracılık etmek veya botnet altyapılarına katkıda bulunmak ciddi yaptırımlar kapsamına alındı. Kanunu incelemenizi özellikle tavsiye ederiz: uygulamaya tam geçişle birlikte saldırı gerçekleştiren kişilerin tespiti halinde mahkemeler 3 ila 5 yıl arasında hapis cezası verebilecek. Bu cezaların ertelenemeyecek olması ise Türkiye’de ilk kez DDoS saldırıları için gerçek bir caydırıcılık oluşturacak.

Bu düzenlemeler, hem saldırganlara karşı cezai yaptırımı güçlendirirken hem de operatörlerin USOM ve Siber Güvenlik Başkanlığı ile daha koordineli hareket etmesini sağlayarak ülke genelinde siber olaylara müdahale kapasitesini önemli ölçüde artıracak.

DDoS saldırıları artık sadece belli firmaları değil, tüm erişim ekosistemini hedef alan büyük ölçekli tehditlere dönüşmüş durumda. Son 24 saatte yaşanan kesintiler, Türkiye’nin bu konuda daha koordineli, ortak çalışan ve teknik olarak olgunlaşmış bir savunma mimarisine ihtiyaç duyduğunu bir kez daha gösterdi.

Saygılarımızla,
Osman Makal
TRNOG Genel Sekreteri

TRNOG Hakkında

TRNOG, Türkiye’deki network operatörleri için kurulmuş olan bir topluluk ve işbirliği platformudur. Vizyonumuz, Türkiye’deki network operatörleri arasında güçlü bir topluluk ve işbirliği ağı oluşturmaktır. Misyonumuz ise network operatörleri arasında bilgi paylaşımını teşvik etmek ve işbirliğini güçlendirmektir.

2019 yılında kurulan TRNOG, Türkiye’deki network operatörleri için önemli bir boşluğu doldurmak amacıyla hayata geçirildi. İlk yılında, TRNOG’un ilk konferansı düzenlenerek büyük bir ilgi ve katılım sağlandı. 2020 yılında TR-IX hizmetini başlatarak, network operatörleri arasında trafik değişimini kolaylaştırma adına atılımda bulunduk. 2023 yılında ise RTBH ve UTRS gibi yeni hizmetlerimizi devreye alarak, üyelerimize daha kapsamlı destek sağlamaya çalıştık.

TRNOG’un çalışmalarını desteklemek üzere çeşitli komiteler oluşturulmuştur:

  • Eğitim ve Sertifikasyon Komitesi: Network operatörleri için eğitim programları ve sertifikasyon süreçlerini düzenler.
  • Etkinlik ve Sosyal Faaliyetler Komitesi: Üyelerimiz için etkinlikler ve sosyal aktiviteler düzenleyerek, sektör içi ilişkilerin güçlenmesini sağlar.
  • Mevzuat ve Regülasyon Komitesi: Network operatörleri için mevzuat ve regülasyonları takip eder, sektöre yönelik politika gelişimlerine katkıda bulunur.
  • Teknik Araştırma ve Geliştirme Komitesi: Teknolojik gelişmeleri takip ederek, network operatörlerinin altyapılarını güçlendirmek için çalışmalar yapar.
  • Topluluk ve Üye İlişkileri: Bilgi paylaşımını teşvik eden bir platform olarak faaliyet gösterir. Üye ihtiyaçlarını karşılamak ve üyelik süreçlerini yönetmek için Üye İlişkileri ekibimiz çalışmaktadır.

TRNOG, işbirliği, bilgi paylaşımı, yenilikçilik ve güvenilirlik gibi değerlere bağlı olarak sektörümüze değer katmayı hedeflemektedir. Bu doğrultuda, network operatörleri için kritik bir rol üstlenerek sektörümüzün geleceğine katkı sağlamaktan gurur duyuyoruz.

https://trnog.net/

Bunları da sevebilirsiniz

WhatsApp Kullanıcılarına Önemli Uyarı

Sevgi Yılmaz Selçok

ISO 27001:2022 – Dijital Güvenliğin Anahtarı

Sevgi Yılmaz Selçok

“.Net Core Developer BootCamp”

Osman Selçok