Ana içeriğe geç

L7 (HTTP) DoS/DDoS Koruması Nasıl Devreye Alınır?

Hakkında

L7 (HTTP) DoS/DDoS Nedir?

Layer 7 (HTTP) DoS/DDoS koruması, uygulama katmanında (Layer 7) gerçekleşen DDoS (Distributed Denial of Service) veya DoS (Denial of Service) saldırılarına karşı koruma sağlar. Bu tür saldırılar, bir web sunucusuna veya hizmetine yönelik yüksek miktarda istek veya trafik göndererek hizmetin normal işleyişini engellemeye veya etkisizleştirmeye çalışır.

Arayüz

L7 (HTTP) DoS/DDoS Koruması

Adım > 1

TR7 web yönetim arayüzü üzerinden "Traffic Manager > Profiles > L7 DDoS > Add" adımları takip edilir.

LOGO

Adım > 2

Açılan ekranda Max L7 HTTP req/s ile vService'in alabileceği maksimum HTTP/HTTPS isteği limitlenir. vService'lerde tam anlamıyla koruma yapılabilmesi için vService limitlerinde maksimum bağlantı sayısı, yeni bağlantı limiti, maksimum bağlantı sıklığı gibi limitlemelerin yapılması da önerilir.

Bu limit üzerine çıkıldığında ise L7 HTTP Limit Aşımı ile istemcilere ne yapılacağı seçilir. Bakım seçilerek bir içerik sayfası gösterilebilir. Yönlendir seçilerek ilgili istekler farklı bir adrese yönlendirilebilir. Blokla ile de ilgili istekler bloklanabilir.

DDoS devreye girme sınırı ise yukarıda verilen limitin örnek olarak saniyede 100 bin olduğunu varsayalım. L7 HTTP/HTTPS Limit aşımı blokla seçilerek saniyede 100 binden fazla istek geldiğinde kalan istekler bloklanır. DDoS devreye girme sınırında ise 1000 girilip captcha göster şeklinde konfigüre edildiğinde artık saniyede binden fazla gelen isteklere captcha gösterilerek DDoS koruması aktif edilmiş olur.

Bu limitin üzerinde çıkıldığında captcha dışında DDoS Limit Aşımı ile istemcilere içerik gösterme, başka bir adrese yönlendirme veya bloklama gibi işlemler yapılabilir.

Captcha gösterme sayısı her 2 dakikalık periyotta istemcilere kaç kere captcha gösterileceği girilir.

Ülke Bazlı Davranış Takibi ile ilgili servise gelebilecek olan istekler ülke bazlı olarak %'lik dilimlerle kısıtlanabilir.

LOGO

Adım > 3

Kullanıcı başı maksimum HTTP/HTTPS req/s ile tek bir istemcinin yapabileceği maksimum HTTP/HTTPS isteği limitlenir. Böylelikle tek bir DDoS profili üzerinde DoS korumasıda her istemci için ayrı ayrı kontroller yapılarak sağlanabilir.

Tek bir istemci yukarıda verilen değerin üzerine çıktığında ise istemciye içerik gösterme, başka bir adrese yönlendirme veya bloklama gibi işlemler yapılabilir.

Kullanıcı aynı zamanda bu limitin üzerine çıktığında blackliste eklenebilir böylelikle karantinaya alınmış olur.

Kullanıcı başı HTTP req/s dışında maksimum yeni bağlantı veya maksimum trafiklerde limitlenebilir.

IP üzerinden gelen maksimum kullanıcı ifadesi ile de 1 dakika boyunca aynı IP adresi üzerinden maksimum kaç farklı User-Agent başlık bilgisi ile gelebileceği limitlenir. TR7 bir kullanıcıyı IP adresi + User-Agent bilgisi ile değerlendirir. Böyle bir limit koyulmadığı zaman tek bir IP adresi üzerinden farklı User-Agentlar ile çok daha fazla trafik yaratılabilir.

Blacklist ve whitelist zaman aşımları ile seçilen süre boyunca ilgili IP adresleri blacklistte veya whitelistte kalması sağlanır. "Add" butonuna tıklanarak yeni bir DDOS profili oluşturulmuş olur.

LOGO

Adım > 4

Daha sonra oluşturulan DDOS profilinin aktif edileceği vService'in düzenleme ekranı açılır.

"Detaylar > L7 DDOS" aktif edilerek oluşturulan profil seçilir ve "Save" butonuna tıklanarak yapılan değişiklikler uygulanır. İlgili vService'te DDOS koruması aktif edilmiş olur.

LOGO