DDoS Koruma ve WAF Stratejisi: Otel ve Kurumsal Siteler İçin

DDoS (Distributed Denial of Service), hedefi “veri çalmak”tan çok “erişilemez kılmak” olan saldırı türüdür. Otellerde en kritik dönemlerde (kampanya/erken rezervasyon/peak sezon), B2B’de iş saatlerinde portal veya API kullanımının yoğunlaştığı anlarda etkisi büyür. DDoS’u doğru yönetmek için önce türünü anlamak gerekir; çünkü ağ katmanı saldırı ile uygulama katmanı saldırının savunması farklıdır.

DDoS nedir, otel ve kurumsal siteleri nasıl etkiler?

DDoS, çok sayıda kaynaktan gelen yoğun trafikle siteyi yavaşlatır veya erişilemez hâle getirir. Otel sitelerinde rezervasyon akışı kesilir, kullanıcılar OTA’ya kayar; B2B’de portal/panel erişimi bozulur ve operasyon aksar. Etki; uptime kaybı, itibar ve gelir kaybı olarak görünür.

DDoS türleri (kısa sınıflandırma)

• •Ağ katmanı (Network-level): bant genişliği tüketimi, SYN flood gibi “altyapıyı boğan” senaryolar
• •Uygulama katmanı (L7): gerçek kullanıcıya benzeyen isteklerle (login, arama, rezervasyon adımı, API) sistemi yoran saldırılar
• •Bot tabanlı kötüye kullanım: fiyat/oda arama taraması, form spam, scraping

“DDoS mı, gerçek trafik mi?” hızlı ayırt etme

Kesin teşhis çoğu zaman log/telemetri ister; ancak pratik sinyaller: • Trafik artışı belirli endpoint’lerde mi yoğun? (login/rezervasyon/API) • Aynı IP aralığı/ülke/ASN kümelenmesi var mı? • User-agent ve istek paternleri tekrar ediyor mu? • p95 yanıt süreleri ve 5xx patladı mı?

Ağ katmanı DDoS senaryolarında hedef; trafiği uygulamaya gelmeden “daha dışarıda” absorbe etmektir. Bu genelde ISP/hosting katmanı korumalar, upstream filtreleme ve edge düzeyinde kapasiteyle çözülür. Otel ve B2B projelerinde en yaygın hata: her şeyi origin sunucu üzerinde çözmeye çalışmak.

Network-level saldırılarda “edge” mantığı

• Trafik önce CDN/edge’e gelir • Edge katmanda anormal trafik filtrelenir • Origin (web server) daha az yük alır Bu yaklaşım; uptime ve yanıt süresinde stabilizasyon sağlar.

SYN flood ve bant genişliği tüketiminde yapılacaklar (konsept)

Komut ve vendor detayı değişebilir; prensipler sabit: • Edge/ISP seviyesinde DDoS koruması aktif mi? • Rate shaping / connection limit gibi kontroller var mı? • Origin’e sadece edge’den erişim (mümkünse) • Sağlık kontrolleri ve otomatik ölçek/koruma tetikleri

L7 saldırılar, “gerçek kullanıcı gibi görünen” isteklerle uygulamayı yorar. Burada WAF (Web Application Firewall) devreye girer: belirli paternleri yakalar, hız sınırı koyar, bazı şüpheli davranışları bloke eder. Ancak WAF’in değeri; “aç/kapat” değil, doğru kural seti + doğru istisnalar ile ortaya çıkar.

WAF ne işe yarar, nasıl kurgulanır?

WAF, web trafiğini uygulamaya ulaşmadan analiz eder ve kötü niyetli istekleri engeller/filtreler. Kurgulama için önce kritik endpoint’leri belirleyip (login/rezervasyon/API), ardından rate limit, bot/ülke filtreleri ve saldırı imzalarını kademeli olarak devreye almak gerekir. En iyi yaklaşım; önce “log/monitor” modunda görüp sonra “block”a geçmektir.

Kritik endpoint’ler için ayrı kural mantığı

Otel için: • /reservation, /payment, /availability/search benzeri uçlar B2B için: • /login, /portal, /api/ uçları Bu uçlar için: • Daha sıkı rate limit • Şüpheli davranış tespiti (yüksek hız, tekrar eden pattern) • Gerekirse challenge/step-up doğrulama (ürüne göre)

Anti-pattern (Competitor Gap): “Her şeyi blokladık, SEO ve gerçek kullanıcı da gitti”

Yanlış WAF/ülke blokları; gerçek kullanıcıyı, Googlebot’u veya iş ortaklarını da engelleyebilir. Bu yüzden WAF/CDN ayarları yapılırken SEO uyumu (bot tespiti, IP/ülke bloklama) ve teknik SEO ile birlikte düşünülmelidir (Internal Link Targets: /tr/seo/teknik-seo). Ayrıca loglar ve olay kayıtları KVKK çerçevesinde saklanmalı/erişilmelidir (Internal Link Targets: /tr/raporlama/kvkk-veri-guvenligi).

CDN, içeriği edge’de dağıtarak hem performans hem de saldırı absorpsiyonunda avantaj sağlar. Rate limiting ise “bir kaynak (IP/kimlik/oturum) belirli sürede kaç istek atabilir?” sorusuna sınır koyar. İkisi birlikte kullanıldığında; bot taraması ve L7 saldırılarının etkisi ciddi şekilde düşebilir.

Rate limiting ve IP/ülke bazlı filtreleme nasıl çalışır?

Rate limit, belirli eşiklerde istekleri yavaşlatır veya 429/403 ile engeller. IP/ülke bazlı filtreler belirli bölgelerden gelen trafiği kısıtlayabilir; ancak yanlış kullanılırsa gerçek kullanıcıyı ve pazarı da etkileyebilir. Bu yüzden kural setleri; “kritik endpoint’ler” ve “iş saati/yoğun dönem” senaryolarına göre ayarlanmalıdır.

Otel senaryosu — sezon yoğunluğu + rezervasyon endpoint koruması

• Rezervasyon arama/availability uçları bot taramasına açıktır • Kampanya dönemlerinde gerçek trafik de patlar Bu yüzden: • CDN cache stratejisi (statik içerik edge’de) • Rezervasyon arama uçlarında rate limit + davranış analizi • Şüpheli kaynaklara challenge/engelleme (ürüne göre) • “Peak dönem profili” ile eşikler ayarlanır

B2B portal senaryosu — iş saati ve API korumaları

• Login ve API uçları hedef olur • İş saatlerinde gerçek kullanım yoğunlaşır Bu yüzden: • Login için sıkı rate limit + brute-force koruma • API için token bazlı limit ve anomali alarmı • İş ortakları için allowlist/özel limit profilleri

Bu bölüm, “hangi senaryoda ne yapmalıyım?” sorusunu kapatır. Çünkü DDoS/WAF konusu çoğu ekipte soyut kalır; oysa pratikte birkaç tekrar eden senaryo vardır.

Senaryo 1 — “Sezonda site çöküyor, DDoS olabilir mi?”

• Belirti: p95 yükselir, 5xx artar, bazı endpoint’ler tıkanır • Aksiyon: CDN/WAF panelinde trafik kaynaklarını incele → kritik endpoint’lere rate limit → şüpheli kaynaklara blok/challenge → origin’e doğrudan erişimi azalt

Senaryo 2 — “Login saldırısı / brute-force”

• Belirti: başarısız login denemeleri artar, hesap kilitlenmeleri olur • Aksiyon: login endpoint’te sıkı rate limit + IP bazlı kural + ek doğrulama (ürüne göre) + log/alert

Senaryo 3 — “Bot scraping / fiyat ve oda taraması”

• Belirti: arama endpoint’i yavaşlar, normal kullanıcılar etkilenir • Aksiyon: cache stratejisi + davranış bazlı limit + anomali tespiti + gerekiyorsa ülke/IP filtreleri (SEO ve pazar etkisi test edilerek)

“Saldırı yüzeyini küçültmek” neden tek çözümden daha etkili?

Tek bir ürün her şeyi çözmez; çünkü saldırıların şekli değişir. Sürdürülebilir sonuç; kritik uçların netleşmesi, edge konumlandırma, doğru kural seti ve olay yönetimiyle gelir. (Sheet notu ile uyumlu: “katmanları doğru konumlandırmak tek çözüme göre daha sürdürülebilir.”)

DDoS ve bot kaynaklı kesintilerde en büyük farkı; trafiği edge’de absorbe etmek, kritik endpoint’leri ayrı kurallarla korumak ve olay yönetimini runbook + log/izleme ile standartlaştırmak yaratır. Otel ve B2B projelerinde sürdürülebilir sonuç; CDN + WAF + rate limit + izleme kombinasyonunun doğru konumlanmasıyla gelir.