Voxility DDoS Koruma Hizmeti: GRE/BGP ile Anti-DDoS

Voxility DDoS Koruma Hizmeti: GRE/BGP ile Kurumsal Anti-DDoS Çözümü

İnternet üzerinden hizmet veren şirketler için erişilebilirlik artık yalnızca teknik bir konu değildir; doğrudan gelir, itibar ve müşteri deneyimi konusudur. Web sitesi, oyun sunucusu, DNS, e-posta, VPN, API, ödeme sistemi veya müşteri paneli birkaç dakika erişilemez olduğunda bile operasyonel etki büyüyebilir. DDoS saldırıları tam olarak bu noktayı hedef alır: sistemi ele geçirmek yerine hizmeti ulaşılamaz hale getirmek.

Voxility altyapılı DDoS koruma hizmetimiz, yüksek hacimli saldırı trafiğini müşteri sistemlerine ulaşmadan önce karşılamak, analiz etmek, filtrelemek ve yalnızca temiz trafiği hedef ağa iletmek üzere tasarlanmıştır. Çözüm, GRE tunnel ve BGP yönlendirme mimarisiyle çalışır; böylece koruma sadece tek bir sunucu için değil, müşteri IP blokları ve kritik ağ servisleri için uygulanabilir.

Bu yazıda gerçek müşteri adı, abone numarası, ASN, IP adresi, BGP peer bilgisi ve prefix bilgileri paylaşılmamıştır. Görseller güvenlik amacıyla sansürlenmiş örnek ekran görüntüleridir.

DDoS nedir?

DDoS, “Distributed Denial of Service” yani dağıtık hizmet reddi saldırısıdır. Saldırgan, tek bir kaynaktan değil, botnet veya dağıtık kaynaklardan gelen yoğun trafiği hedef sisteme yönlendirir. Amaç çoğu zaman veriyi çalmak değil, hizmeti çalışamaz hale getirmektir.

DDoS saldırıları genel olarak üç başlıkta değerlendirilir:

  • Hacimsel saldırılar: UDP flood, ICMP flood ve benzeri trafikle internet hattının veya omurga kapasitesinin tüketilmesi.
  • Protokol saldırıları: SYN flood gibi yöntemlerle firewall, load balancer veya sunucu kaynaklarının zorlanması.
  • Uygulama katmanı saldırıları: HTTP GET/POST flood gibi Layer 7 saldırılarla web uygulamasının veya API servislerinin yorulması.

Bu saldırılara karşı sadece firewall kullanmak çoğu zaman yeterli değildir. Çünkü saldırı trafiği firewall’a ulaşana kadar internet hattını doldurabilir. Bu nedenle DDoS korumasının mümkün olduğunca ağın üst katmanında, yüksek kapasiteli scrubbing altyapısında yapılması gerekir.

Voxility DDoS koruma hizmeti nasıl çalışır?

Voxility altyapılı Anti-DDoS hizmetinde temel yaklaşım şudur: saldırı trafiği doğrudan müşteri altyapısına bırakılmaz; önce DDoS temizleme altyapısına yönlendirilir. Bu aşamada trafik analiz edilir, zararlı trafik ayrıştırılır ve temiz trafik GRE tunnel üzerinden müşterinin router/firewall altyapısına teslim edilir.

Basitleştirilmiş trafik akışı şöyledir:

  1. Müşteri IP blokları BGP ile koruma altyapısına duyurulur.
  2. İnternetten gelen trafik Voxility DDoS scrubbing altyapısına ulaşır.
  3. Saldırı trafiği trafik imzası, protokol davranışı ve anomali kontrolleriyle filtrelenir.
  4. Temiz trafik GRE tunnel üzerinden müşteri ağına iletilir.
  5. Müşteri tarafında servisler normal şekilde çalışmaya devam eder.

Bu mimari sayesinde saldırı hacmi müşteri internet devresini boğmadan önce karşılanır. Müşteri tarafına mümkün olduğunca temiz, kullanılabilir ve kontrollü trafik iletilir.

GRE tunnel ve BGP neden önemlidir?

Kurumsal Anti-DDoS hizmetlerinde GRE ve BGP, çözümün omurgasını oluşturur.

GRE tunnel, temizlenmiş trafiğin DDoS koruma altyapısından müşteri ağına taşınmasını sağlar. Bu yapı, müşteri mevcut veri merkezi veya ISP altyapısını değiştirmeden koruma katmanı eklemeye yardımcı olur.

BGP, hangi IP bloklarının koruma kapsamına alınacağını ve bu bloklara gelen trafiğin hangi yoldan geleceğini belirler. Müşteri veya servis sağlayıcı, korumaya alınacak prefix’leri BGP üzerinden duyurur. Böylece koruma kapsamı tek tek sunucu bazında değil, ağ ve IP blokları seviyesinde yönetilebilir.

Bu nedenle doğru çalışan bir Anti-DDoS mimarisinde yalnızca tunnel’ın ayakta olması yetmez. Aşağıdaki kontrollerin de düzenli yapılması gerekir:

  • BGP oturumu aktif mi?
  • İlan edilen prefix’ler karşı taraf tarafından alınıyor mu?
  • Prefix’ler kabul ediliyor mu?
  • Koruma/protected prefix listesine işlenmiş mi?
  • AS-SET ve IRR/RPKI kayıtları doğru mu?
  • Blackhole veya prepend community’leri kontrollü şekilde kullanılabiliyor mu?

Hizmetin öne çıkan avantajları

1. Yüksek kapasiteli saldırı emilimi

DDoS saldırıları saniyeler içinde çok yüksek trafik hacimlerine ulaşabilir. Bu nedenle koruma kapasitesi, müşteri hattının kapasitesinden çok daha büyük bir omurga üzerinde sağlanmalıdır. Voxility altyapılı modelde trafik, yüksek kapasiteli temizleme merkezlerinde karşılanır ve müşteri ağına saldırıdan arındırılmış olarak iletilir.

2. BGP kontrollü koruma kapsamı

Korunacak IP blokları BGP duyuruları ile yönetilebilir. Bu yaklaşım, ISP, veri merkezi, hosting sağlayıcısı, oyun platformu, SaaS sağlayıcısı veya kurumsal ağ işleten yapılarda daha esnek bir operasyon sağlar.

3. GRE üzerinden temiz trafik teslimi

Filtrelenen trafik GRE tunnel üzerinden müşteri altyapısına aktarılır. Böylece mevcut router/firewall mimarisi korunurken üst katmanda DDoS temizleme yeteneği kazanılır.

4. Blackhole ve trafik mühendisliği desteği

Bazı saldırı senaryolarında belirli IP veya prefix için blackhole uygulanması gerekebilir. BGP community destekli blackhole yaklaşımı, saldırının diğer servisleri etkilemesini azaltmak için kullanılabilir. Bu işlem kontrollü yapılmalıdır; yanlış veya geniş kapsamlı blackhole servis kesintisine neden olabilir.

5. Dashboard ve olay takibi

DDoS koruma hizmetinde görünürlük kritik önemdedir. Dashboard üzerinden gelen ve kabul edilen rotalar, servis durumu, trafik akışı ve koruma kapsamı takip edilebilir. Yayın öncesi veya operasyon sırasında ekran görüntülerinde abone numarası, gerçek IP adresi, ASN, prefix ve ticari bilgiler mutlaka gizlenmelidir.

Hangi işletmeler için uygundur?

Bu hizmet özellikle aşağıdaki yapılar için uygundur:

  • Veri merkezi ve colocation hizmeti alan kurumlar
  • ISP veya yer sağlayıcı altyapıları
  • Oyun sunucuları ve düşük gecikme hassasiyeti olan platformlar
  • E-ticaret ve ödeme sistemleri
  • DNS, mail, API ve müşteri paneli gibi internetten erişilen kritik servisler
  • SaaS ve web uygulaması sağlayıcıları
  • Kritik IP bloklarını BGP ile yöneten kurumlar

Koruma kapsamına almadan önce kontrol edilmesi gerekenler

Anti-DDoS hizmetinin doğru çalışması için teknik aktivasyon kadar ön hazırlık da önemlidir. Aşağıdaki bilgiler netleştirilmelidir:

  • Korunacak IP blokları ve prefix listesi
  • BGP kullanılacaksa ASN ve AS-SET bilgisi
  • IRR/RPKI/ROA kayıtlarının güncelliği
  • GRE tunnel uç bilgileri
  • Trafik yönlendirme modeli
  • Kritik servislerin listesi
  • Saldırı anında iletişim kurulacak NOC ve yetkili kişiler
  • Blackhole/prepend community kullanım politikası
  • İzleme, alarm ve raporlama yöntemi

Bu kontroller yapılmadan devreye alınan bir DDoS hizmetinde “servis var ama bazı prefix’ler koruma dışında kalmış” gibi riskler oluşabilir. Bu nedenle aktivasyon sonrası mutlaka received routes, accepted routes ve protected prefix kapsamı kontrol edilmelidir.

Örnek operasyonel doğrulama: received routes ve accepted routes

BGP tabanlı DDoS korumasında en önemli kontrollerden biri, müşterinin ilan ettiği prefix’lerin karşı tarafta gerçekten alınıp alınmadığıdır. Sadece müşteri router’ında “advertise ediliyor” görmek yeterli değildir. Karşı tarafın received ve accepted route çıktıları da kontrol edilmelidir.

Operasyonel kontrol sırasında şu sorular cevaplanmalıdır:

  • Prefix karşı tarafça alınıyor mu?
  • Import policy veya prefix-list tarafından reddediliyor mu?
  • AS path beklenen şekilde mi?
  • AS-SET içinde gerekli ASN bilgileri var mı?
  • Prefix protected list içinde mi?
  • Dashboard gecikmeli veya cache’li bilgi gösteriyor olabilir mi?

Bu yaklaşım, DDoS koruma hizmetinin sadece sözleşmesel olarak değil, teknik olarak da aktif olduğunu kanıtlar.

BGP Blackhole nedir ve ne zaman kullanılır?

Blackhole, saldırı veya istenmeyen trafik belirli bir hedefe yoğunlaştığında, ilgili IP/prefix trafiğinin upstream seviyesinde düşürülmesini sağlayan bir yöntemdir. Amaç, saldırının daha geniş altyapıyı etkilemesini engellemektir.

Blackhole doğru kullanıldığında faydalıdır; fakat yanlış uygulandığında hedef servisin tamamen erişilemez olmasına neden olur. Bu yüzden blackhole prosedürü önceden tanımlanmalı, yetkili kişiler belirlenmeli ve mümkünse olay kayıtlarıyla birlikte uygulanmalıdır.

DDoS hizmeti anlatılırken gerçek operasyonel detayların paylaşılması risklidir. Blog yazısı, satış dokümanı veya teknik makalede aşağıdaki bilgiler yayınlanmamalıdır:

  • Gerçek müşteri adı veya abone numarası
  • Gerçek ASN ve BGP peer bilgileri
  • GRE tunnel uç IP adresleri
  • Korunan gerçek prefix listesi
  • Router komut çıktılarındaki IP adresleri
  • Dashboard URL, kullanıcı adı, sipariş numarası veya ücret bilgisi
  • İç operasyon notları ve tedarikçi destek yazışmaları

Bu yazıdaki ekran görüntüleri bu nedenle sansürlenmiş ve örnek amaçlı kullanılmıştır.

DDoS saldırıları artık yalnızca büyük kurumların değil, çevrimiçi hizmet sunan her işletmenin risk gündemindedir. Firewall, IPS veya sunucu tarafı ayarlar önemli olsa da yüksek hacimli saldırılarda korumanın omurga seviyesinde yapılması gerekir.

Voxility altyapılı DDoS koruma hizmetimiz; GRE tunnel, BGP yönlendirme, protected prefix yönetimi, blackhole desteği, dashboard görünürlüğü ve 7/24 operasyonel takip yaklaşımıyla kritik internet servislerinin sürekliliğini korumaya yardımcı olur.

Kritik IP bloklarınız, web servisleriniz, oyun sunucularınız, DNS altyapınız veya veri merkezi servisleriniz DDoS riskine açıksa, koruma kapsamının teknik olarak doğrulandığı profesyonel bir Anti-DDoS mimarisi kullanmanız gerekir.

Bu içerik hazırlanırken DDoS saldırı türleri, Anti-DDoS hizmet mimarisi, portal/izleme yaklaşımı ve BGP blackhole kavramları için mevcut teknik yayınlardan ve sahadaki Voxility GRE/BGP doğrulama deneyiminden yararlanılmıştır. Yayın metninde hassas operasyon bilgileri paylaşılmamıştır.

Tagged: