Pazartesi sabahı 06:14. PagerDuty alarm: site uptime check 3 ardışık ping kaybı verdi. SSH bağlantısı dakikalar sürüyor; sunucuya bağlandığımda yük 90+, network buffer dolmuş, neredeyse her bağlantı dropped. SYN flood — saniyede 250.000 yarım açık bağlantı, toplam 18 Gbps trafik. Aşağıda adım adım 47 dakikada nasıl döndüğümüz.
Dakika 0-3: Tespit
İlk yaptığım: tcpdump ile bir 10 saniyelik örnekleme aldım. Çıktı net — tek IP'den değil, tüm dünyadan random source IP'lerden gelen SYN paketleri. Botnet temelli volumetric saldırı. Sunucu CPU'su normal; mesele ağ katmanında yutuldu.
Dakika 3-8: Yetkili IP'lerden iptables
SSH ile bağlantı çok zor olduğu için iptables kuralı tek satırlık geldi: SYN flood rate limit (iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT, sonrası DROP). Bu yerel yangını kontrol altına aldı; sistem nefes aldı ama saldırı edge'de devam ediyor.
Dakika 8-15: CloudFlare "Under Attack" Modu
Site zaten CloudFlare arkasındaydı (Free tier). Dashboard'dan Security → Under Attack mode aktif edildi; her ziyaretçiye challenge sayfası gösteriliyor — 5 saniyelik JS challenge. Bu sayede botların %95'i filtrelendi. Geriye kalan trafik origin sunucumuza geliyor ama nefes alabilir seviyede.
Dakika 15-22: WAF Kuralları + Rate Limiting
CloudFlare'de "5 dakikada 100'den fazla request gönderen IP'yi 1 saat banla" rate limit kuralı eklendi. WAF'ta da: User-Agent boş veya pattern-match botların (örn. "Mozilla/4.0" eski bot signature) bloklanması. Düzenli müşterimize zarar vermeyecek şekilde defansif kurallar.
Dakika 22-30: Origin IP Gizleme
Saldırgan, CloudFlare'i atlayıp doğrudan origin IP'mize saldırıyorsa (bazı saldırganlar IP'yi tarihsel DNS kayıtlarından bulur), origin IP'yi değiştirmek gerekir. Sunucumuzun IP'sini değiştirdik; yeni IP yalnızca CloudFlare allow-list'inde. Eski IP'ye gelen trafik artık boşa gidiyor.
Dakika 30-40: Servisin Sağlamasını Yapma
Müşterinin e-ticaret sitesi yeniden açıldı; ama checkout, search, sepet işlemlerinin hepsi tek tek test edildi. Cache temizleme yapıldı (saldırı sırasında bazı response'lar yanlış cache'lenmiş olabilir). Backup sunucudan database checksum karşılaştırması yapıldı — saldırı veri bütünlüğüne dokunmamış.
Dakika 40-47: Müşteri Bilgilendirme
Müşteriye olay raporu gönderildi: ne zaman başladı, ne tür bir saldırıydı, hangi adımları aldık, hangi süreçte servis kesintisi yaşandı, müşteri tarafında ne yapması gerek (CloudFlare planını upgrade önerisi, password reset değil — hesap kompromise değil sadece volumetric attack). Şeffaflık, müşteri güvenini krizden güçlendirir.
Sonraki 24 Saat: Postmortem
Saldırı bittikten sonra detaylı postmortem yazıldı. "Tekrar olmaması için ne yapmalıyız?" sorusunun cevapları: CloudFlare Pro tier ($25/ay) — Under Attack modunu otomatik tetikleyebilir; origin IP'yi sürekli rotate etmek için CloudFlare Tunnel kullanım; SYN cookies kernel düzeyinde aktif (sysctl net.ipv4.tcp_syncookies=1).
DDoS saldırıları artık yıllık değil, aylık vakalar. Türkiye'de orta ölçekli e-ticaret siteleri yılda ortalama 3-4 ciddi saldırıyla karşılaşıyor. Hazırlıklı olmak; saldırı anında "ne yapacağımı bilmiyorum" demeden önceden runbook hazırlamış olmaktır. Bu yazı, bizim runbook'umuzun açık kaynak versiyonudur.
