Mobil Uygulama Geliştirme Altyapısında DDoS Koruması

Mobil uygulamaların ölçeklenmesi, yalnızca kullanıcı deneyimini iyileştirmekten ibaret değildir; aynı zamanda sürekli evrilen tehdit ortamına karşı dayanıklı bir altyapı kurmayı da gerektirir. Bugün mobil arka uçlarını hedef alan en yıkıcı risklerden biri DDoS (Dağıtık Hizmet Engelleme) saldırılarıdır. Bu makalede; zero trust yaklaşımı, API Gateway ve WAF yerleşimleri, rate limiting, CDN ve Anycast mimarileri, scrubbing center servisleri, Kubernetes üzerinde service mesh (örn. Istio, Envoy), mTLS, TLS 1.3, HTTP/3 (QUIC), WebSocket ve gRPC iletişimi, olay müdahalesi, gözlemlenebilirlik (OpenTelemetry, Prometheus, Grafana) ve DevSecOps süreçleriyle birlikte uçtan uca bir savunma hattı inşa etmeyi ele alıyoruz. Amaç, mobil istemci—ağ—arka uç zincirinin her halkasında savunma katmanları örerek hem kapasite hem de esneklik kazanmaktır.

DDoS nedir ve mobil ekosisteme etkileri?

DDoS saldırıları, çok sayıda kaynaktan hedefe aşırı trafik yönlendirerek hizmetin kullanılabilirliğini çökertmeyi amaçlar. Hacim tabanlı (L3/L4) dalgalar Anycast ve scrubbing center ile sönümlenirken, uygulama katmanı (L7) saldırıları WAF, API Gateway, rate limiting ve akıllı önbellekleme ile bastırılır. Mobil dünyada saldırı yüzeyi; kimlik doğrulama uç noktaları, bildirim servisleri, konum/telemetri API’leri, medya yükleme hatları ve gerçek zamanlı WebSocket akışlarıdır. Mobil istemcilerin öngörülemez ağ koşulları ve yoğun eşzamanlılık, yanlış yapılandırılmış bir arka uçta DDoS etkisini katlayabilir.

Saldırı türleri: L3/L4’den L7’ye

• Hacimsel dalgalar: SYN flood, UDP amplification, DNS flood gibi saldırılar ağ/bant genişliği ve state tablolarını hedefler.
• Uygulama katmanı vuruşları: Yüksek maliyetli sorgular, pahalı arama/filtreleme, kimlik doğrulama brute-force’u, gRPC/WebSocket oturum fırtınası.
• Kaynak tüketimi: Büyük dosya yükleme/indirme, başlat—yarım bırak trafik, slowloris benzeri bağlantı tutucu teknikler.

Savunmanın temel ilkeleri: Zero trust ve katmanlı mimari

Etkin DDoS koruması, tek bir ürünle değil; katmanlı ve ölçülebilir bir tasarımla sağlanır. İlk ilke, kimseye—iç ağ dâhil—peşinen güvenmemektir (zero trust). Uçtan uca TLS (TLS 1.3) ve servisler arası karşılıklı kimlik doğrulaması (mTLS) kullanılır. İkinci ilke, sunum, iş mantığı ve veri katmanlarını ayrıştırmak; duruma göre CDN ile statik/mekik istekleri önden yakalamaktır. Üçüncü ilke, akış kontrolüdür: rate limiting, token bucket/leaky bucket, backpressure ve kuyruklama ile aşırı yükün kapılardan içeri girmesi engellenir.

API Gateway ve WAF yerleşimi

• API Gateway üzerinde istemci başına/anahtar başına rate limiting, JWT doğrulama, OAuth 2.0 akışları ve mTLS zorlaması uygulanır.
• WAF, L7 imza/kalıp, bot davranış ve anomaly kurallarını uygular; yasal trafiğe minimum gecikme ekleyecek şekilde kural kümeleri ayarlanır.
• Şüpheli/anonim kaynaklar için progressive challenges: proof-of-work, tarpit, zorunlu retry with jitter, küçük captcha kapıları.

Edge ve küresel soğurma: CDN, Anycast ve scrubbing

Hacimsel DDoS için kapasite kraldır. CDN önbelleklemesi ve Anycast yayılımı, saldırı trafiğini coğrafi olarak dağıtır. Hacim patlamaları, üçüncü taraf scrubbing center servislerinde temizlenip sadece temiz akış origin’e iletilir. Cloudflare veya benzeri sağlayıcılar ile always-on koruma, mobil trafiğin pik saatlerinde görünmezliği artırır. HTTP/3 ile QUIC’e geçiş, bağlantı göçü ve paket kaybı toleransı sayesinde mobil kullanıcı deneyimini korurken, ağ katmanlı saldırılara karşı daha çevik bir taşıyıcı sunar.

Trafik yönetimi: Rate limiting, kuyruklar, devre kesiciler

Sistem dayanıklılığının kalbi akış kontrolüdür. İstemci, IP, JWT kimliği, API anahtarı, uç nokta ve metot bazında rate limiting uygulayın; maliyetli operasyonlara daha sıkı kotayla yaklaşın. Priority queue ile kritik uç noktaları öne alın. Circuit breaker ve bulkhead desenleri, bağımlılıklardaki çöküşleri izolasyon altına alır. Zorunlu timeouts, tutarlı retry with exponential backoff + jitter ve idempotency key’ler, hem kullanıcı deneyimini hem de sistem güvenliğini dengeler.

Ölçekleme stratejileri

• autoscaling (örn. HPA) metrikleri: RPS, gecikme, kuyruk uzunluğu, CPU, bellek, p95/p99 gecikme eşikleri.
• Önbellek hiyerarşisi: edge + origin + uygulama düzeyi; cache stampede için request coalescing.
• Hafifletici yanıtlar: Aşırı yükte degraded mode yanıtları; düşük maliyetli, bilgi amaçlı, kullanıcı dostu mesajlar.

Kubernetes ve mikroservislerde savunma

Kubernetes yaygınlığında DDoS dayanıklılığı; NetworkPolicy ile trafiği mikro-segmente etmek, Pod Security standartlarını uygulamak ve service mesh (örn. Istio, Envoy) ile gözlem/akış denetimini devreye almakla başlar. mTLS varsayılan, JWT temelli yetkilendirme, rate limit ve retry politikaları mesh düzeyine çekildiğinde, uygulama kodu daha sade ve güvenli olur. Sidecar telemetrisinden gelen sinyaller OpenTelemetry ile toplanıp Prometheus ve Grafana panolarında ilişkilendirilir.

Gerçek zamanlı protokoller

• WebSocket: Oturum sayısı/kotası, heartbeat ve inaktif kapatma; fan-out için kanal bazlı oran yönetimi.
• gRPC: İstek boyutu, eşzamanlı akış sınırı; deadline ve backoff disiplinleri.
• HTTP/3 (QUIC) ve TLS 1.3: Mobil ağlar için hızlı el sıkışma, daha iyi göç ve güvenlik.

Davranış analizi ve tehdit istihbaratı

L7 saldırılarını fark etmek için basit eşiklerin ötesine geçmek gerekir. SIEM entegrasyonu, behavioral analytics ve anomaly detection ile birlikte olasılıksal eşikler, kullanıcı akışı imzaları ve cihaz parmak izleri kullanılır. Bot ağları (botnet) insan davranışından sapar: gezinme sırası, bekleme süreleri, hata kalıpları ve challenge başarımı gibi göstergelerle puanlanır. Güven puanına göre smart throttle uygulanır ve tehdit istihbarat listeleriyle (ASN/IPv6 blokları, tüneller) beslenir.

Operasyon: Olay müdahalesi ve iş sürekliliği

Hazırlık, savunmanın yarısıdır. Runbook ve playbook’lar; eşik aşımı, Cloudflare/benzeri koruma modları, yönlendirme değişiklikleri, traffic shaping ve feature flag senaryolarını içerir. Sürüm stratejilerinde canary ve blue-green yaklaşımları, olağan dışı trafik dalgalarında geri dönüş (rollback) hızını artırır. RTO/RPO hedefleri tanımlanır; çok bölgelilik ve felaket kurtarma tatbikatları düzenli yapılır. Olay sonrası suçlamasız postmortem, kalıcı sertleştirme maddeleri üretmelidir.

Bulut tabanlı koruma katmanları

Yönetilen DDoS servisleri (Cloudflare, AWS Shield, Azure, Google) hacimsel tehdidi sönümlemede kritik rol oynar. Origin gizlemesi, arka uç IP’lerinin açığa çıkmasını engeller. Serverless kenar işlevleri (ör. görsel küçültme, basit doğrulamalar) pahalı işlemleri çekirdeğe varmadan çözer; ancak autoscaling maliyetlerinin saldırıda şişmesi için concurrency cap ve kota şarttır.

Mobil uygulama katmanında iyi uygulamalar

• Sertifika sabitleme (certificate pinning) ve güvenli saklama; JWT ömrü ve yenileme mantığının sıkı kurgulanması.
• İstemci tarafı retry stratejileri: üssel geri çekilme + titreşim (jitter), kullanıcıya şeffaf bilgilendirme.
• İstek minimizasyonu: kümeleme, art alan eşitleme, akıllı önbellek; bant daralmasında kademeli düşüş.

Test ve sürekli sertleştirme

DDoS dayanıklılığı, ancak test edilirse gerçektir. Trafik üreteçleri (k6, Locust), chaos araçları ve game day tatbikatları ile kapasite, eşik ve geri kazanım süreleri doğrulanır. OpenTelemetry ile uçtan uca izleme, standart panolar (istek oranı, başarısızlık, gecikme, kuyruk) ve alarm hijyeni (noise baskılama) yerinde olmalıdır. Her test, yapılandırmaya otomatik IaC (Terraform) ve GitOps kanallarından yansıtılmalıdır.

Uyum, gizlilik ve veri koruma

• KVKK/GDPR ile uyumlu loglama; kişisel verileri maskeleme/anonymizasyon.
• Log yönlendirme ve saklama: hot/warm seviyeler, saklama süresi, erişim denetimi.
• Saldırı tespitinde adil kullanım: orantılı önlem ve yanlış pozitiflerin düzenli gözden geçirilmesi.

Uygulanabilir yol haritası

• 1) CDN + WAF + API Gateway üçlüsünü kenarda devreye alın; temel rate limiting ve JWT doğrulama kuralları.
• 2) Kubernetes’te service mesh, mTLS, NetworkPolicy; HPA için doğru metrikler.
• 3) OpenTelemetry, Prometheus, Grafana ile gözlemlenebilirlik; SIEM beslemesi.
• 4) Runbook/playbook, canary/blue-green dağıtımları; DR tatbikatları ve postmortem kültürü.
• 5) IaC (Terraform) ve GitOps ile yapılandırma tek kaynaktan; politika olarak kod (OPA) ve DevSecOps kapıları.

Sık yapılan hatalar

• Yalnızca bir katmana güvenmek (sadece WAF ya da sadece CDN yeterli değildir).
• Oran sınırlarının gözleme dayanmaması; keyfi ya da çok gevşek eşikler.
• Önbelleksiz pahalı uç noktaları internete açık tutmak.
• Şifreli iç trafiği (mTLS) zorlamamak; iç ağda aşırı güven varsaymak.
• Gözlemlenebilirliğin eksikliği; alarmlarda gürültüye teslim olmak.

Mobil uygulama geliştirme altyapısında kalıcı DDoS dayanıklılığı; mimari disiplin, doğru araç seçimi ve operasyonel mükemmelliğin bileşimidir. zero trust ilkeleri üzerine kurulu, API Gateway, WAF, CDN, Anycast, scrubbing center destekli bir kenar; içeride Kubernetes + service mesh ile mTLS ve akış kontrolü; protokol düzeyinde HTTP/3 (QUIC), TLS 1.3; ölçüm tarafında OpenTelemetry, Prometheus, Grafana; süreç tarafında DevSecOps, IaC, GitOps, canary/blue-green… Bu katmanlar bir araya geldiğinde, saldırılar yalnızca sönümlenmez; maliyeti de saldırgan taraf için sürdürülemez hâle gelir.

• Gürkan Türkaslan
• 30 Ağustos 2025, 12:42:58