Our Gallery

Contact Info

Facebook-f Linkedin-in Instagram

DDoS Koruma ve WAF: Cloudflare, AWS Shield ve Imperva 2026

Siber Güvenlik
Ömer ÖNAL0 Yorum

Cloudflare 2025 DDoS Tehdit Raporu’na göre 2025’in dördüncü çeyreğinde 21 Tbps tepe bant genişliği ile bugüne kadarki en büyük L3/L4 saldırısı kaydedildi; toplam saldırı sayısı yıllık bazda yüzde 358 arttı. Aynı dönem AWS Shield kurumsal müşterilerine yönelik HTTP/2 katman saldırıları yüzde 240 büyüdü. Bu rakamlar yalnızca saldırı hacminin değil, karmaşıklığın da kat kat arttığını gösteriyor. Saldırganlar artık botnet kiralama (Mirai türevleri), JavaScript tabanlı CDN aşırı yüklemesi ve uygulama katmanı zafiyet sömürüsünü tek bir kampanyada birleştiriyor. 2026’da bir DDoS saldırısının ortalama maliyeti Forrester’a göre 218.000 dolar; finans ve e-ticaret sektöründe bu rakam 540.000 dolara çıkıyor. Doğru bir koruma mimarisi artık opsiyonel bir IT yatırımı değil, kurumsal süreklilik için temel gereksinim.

Özet: DDoS ve WAF koruma mimarisi 2026’da kurumsal süreklilik için temel gereksinim hâline geldi. Cloudflare Q4 2025’te 21 Tbps tepe saldırı kaydedildi; toplam saldırı sayısı yıllık bazda yüzde 358 arttı. Forrester’a göre ortalama saldırı maliyeti 218.000 USD, finans/e-ticarette 540.000 USD. Cloudflare 449 Tbps ağ kapasitesi, AWS Shield Advanced AWS edge entegrasyonu ve Imperva sektör lideri imza tabanı üç olgun lider seçenek.

Bu rehberde DDoS saldırı tipolojisini, WAF teknolojisinin temellerini, Cloudflare, AWS Shield ve Imperva platformlarının karşılaştırmasını, mimari uygulama adımlarını ve maliyet analizini inceliyoruz. Veriler Cloudflare Q4 2025 DDoS raporu, AWS Threat Landscape 2025 ve Forrester WAF Wave Q4 2025’ten alınmıştır.

📖 13 dakikalık okuma
İçindekiler
  1. DDoS Saldırı Tipleri ve WAF Rolü
  2. Cloudflare, AWS Shield ve Imperva Karşılaştırması
  3. Mimari Uygulama Adımları
  4. Saldırı Algılama ve Yanıt Süreci
  5. Maliyet Modellemesi ve ROI
  6. Sınırlamalar ve Yaygın Hatalar
  7. Sık Sorulan Sorular
  8. Sonuç

DDoS Saldırı Tipleri ve WAF Rolü

DDoS saldırıları üç ana katmanda gerçekleşir. Katman 3-4 (ağ/taşıma) saldırıları SYN flood, UDP amplification ve hacim tabanlı yorgun düşürme amaçlar. Katman 7 (uygulama) saldırıları HTTP flood, slowloris ve API aşırı yüklemesi içerir. Karma saldırılar bu iki katmanı eş zamanlı kullanır. WAF (Web Application Firewall) katman 7 ile odaklı çalışır; HTTP isteklerini inceler, kötü amaçlı kalıpları (SQL enjeksiyon, XSS, bot trafiği) filtreler ve oran sınırlaması uygular.

  • Hacim tabanlı (L3/L4): Tbps düzeyinde bant genişliği tüketimi; CDN ve scrubbing center’la temizlenir.
  • Protokol tabanlı: SYN flood ve ping of death gibi protokol zayıflıklarını sömürür.
  • Uygulama katmanı (L7): Gerçek isteklere benzeyen istekler; WAF imza ve davranış analizleri ile yakalanır.
  • API hedefli: JSON/GraphQL endpoint’lerine yönelik düşük hacimli ancak yüksek maliyetli istekler.

Cloudflare, AWS Shield ve Imperva Karşılaştırması

Üç platform da kurumsal segmentte lider konumda; ancak teknik mimari, fiyatlandırma modeli ve özellik ağırlıkları farklıdır. Forrester WAF Wave Q4 2025’te üçü de “Leader” kategorisinde yer aldı.

Özellik Cloudflare AWS Shield Advanced Imperva Pratik Etki Hangi Durumda?
Ağ kapasitesi 449 Tbps AWS edge’i 11 Tbps + bulut Tepe saldırı dayanımı 21 Tbps üstü saldırı riski olan medya/e-ticaret platformları için Cloudflare ezici kapasite üstünlüğü
L7 WAF Yerleşik, ücretsiz katman WAF ayrı ürün Sektör lideri imza tabanı İmza ve davranış kalitesi Bankacılık ve sağlık uyumluluk denetimi için Imperva imza derinliği avantajlı; standart B2B için Cloudflare yeterli
Bot yönetimi Advanced Bot Mgmt opsiyonel AWS WAF Bot Control Imperva Bot Mgmt güçlü Otomatik bot trafiği Tickets/sneaker reseller ve scraper risklerinin yoğun olduğu siteler için Imperva veya Cloudflare Advanced; standart işletmeler için temel bot koruması yeterli
Aylık taban maliyet 200 USD’den başlar (Pro) 3.000 USD sabit Sözleşmeye bağlı (~5K+) Küçük/orta ölçekli denge 10K USD/ay altı bütçeli kurumlarda Cloudflare Pro/Business; 36K USD/yıl Shield Advanced AWS ağırlıklı yığınlar için; 60K+ USD Imperva kurumsal SLA gerekenler için
SaaS/On-prem Yalnızca SaaS AWS ile sıkı bağlı SaaS + on-prem hibrit Veri yerelliği zorunluluğu KVKK/GDPR yerel veri kontrolü zorunluysa Imperva on-prem appliance opsiyonu kritik; AWS yerlisi kurumlar için Shield Advanced doğal seçim

Anahtar Veriler

  • Cloudflare Q4 2025 DDoS Raporu: 21 Tbps tepe bant genişliği ile en büyük L3/L4 saldırısı; toplam saldırı yıllık bazda yüzde 358 arttı.
  • AWS Threat Landscape 2025: HTTP/2 katman saldırıları yıllık bazda yüzde 240 büyüdü.
  • Forrester 2025: bir saatlik tam kesinti orta ölçekli e-ticaret için 91.000 USD, büyük finans için 540.000 USD; yıllık koruma maliyeti tipik olarak kesinti maliyetinin yüzde 5-15’i.
  • Forrester WAF Wave Q4 2025: Cloudflare, AWS Shield ve Imperva üçü de Leader kategorisinde.
  • Cloudflare 2025: etkin saldırıların yüzde 89’u 10 dakika içinde sonuçlandı; yanıtsız sistemde 10 dakika 1.500+ kullanıcı kaybı.
  • Forrester: WAF kuran kurumların yüzde 67’si ilk 6 ay sonrasında kural setlerini güncellemiyor; bu durumda yeni saldırı kalıpları yakalanmıyor.
WAF ve DDoS koruma katmanları: edge filtreleme ve uygulama güvenlik duvarı izometrik mimarisi
WAF ve DDoS koruma katmanları: edge filtreleme ve uygulama güvenlik duvarı izometrik mimarisi

Mimari Uygulama Adımları

  1. Varlık envanteri: Tüm internet açık varlıkları (web siteleri, API’ler, IP blokları) listeleyin; gölge BT eksiklikleri kapatın.
  2. Tehdit modeli: Sektör, görünürlük ve kritiklik seviyesine göre saldırı senaryoları çıkarın (e-ticaret için ödeme akışı, finans için kimlik doğrulama).
  3. Edge katman seçimi: Cloudflare veya benzer global anycast CDN devreye alın; tüm trafik bu katmandan geçmeli.
  4. WAF kural seti: OWASP Core Rule Set tabanlı başlangıç kuralları + kurum özelinde özelleştirme; “log only” modunda 2 hafta çalıştırıp false positive’leri arındırın.
  5. Oran sınırlama: Kritik endpoint’ler için kullanıcı, IP ve API anahtarı bazında oran sınırları tanımlayın.
  6. Bot yönetimi: Davranış analizine dayalı bot tespit kuralları aktif edin; legitime arama motorlarını allowlist’e alın.
  7. Olay yanıt planı: Saldırı sırasında devreye girecek “lockdown” modu, iletişim akışı ve geri alma adımlarını yazılı belge olarak hazırlayın.

Saldırı Algılama ve Yanıt Süreci

Aktif saldırı sürecinde dakikalar değer üretir. Cloudflare 2025 verilerine göre etkin saldırıların yüzde 89’u 10 dakika içinde sonuçlandı; ancak yanıtsız kalan sistemde 10 dakika 1.500’den fazla kullanıcı kaybı anlamına gelir. Olgun bir yanıt süreci aşağıdaki kademeleri içerir.

  • Otomatik tespit: Trafik anomalisi izleme; baz çizgiden yüzde 200+ sapma alarm tetikler.
  • Otomatik hafifletme: Edge katmanı tipik saldırıları operatör müdahalesi olmadan filtreler.
  • Olay komutası: SRE veya güvenlik operasyon merkezi koordinasyon görevini üstlenir.
  • Müşteri iletişimi: Status sayfasına otomatik yansıma; servis seviyesi etkisi durumunda anahtar müşterilere proaktif bildirim.
  • Adli analiz: Saldırı bittikten sonra log analizi; saldırgan parmak izi ve atak vektörü çıkarımı.

Maliyet Modellemesi ve ROI

DDoS koruma yatırımı sigorta gibi düşünülmelidir: hiç gerçekleşmeyecek olay için ödenen prim. Forrester 2025 verilerine göre bir saatlik tam kesinti maliyeti orta ölçekli e-ticaret için ortalama 91.000 dolar, büyük bir finans kuruluşu için 540.000 dolar. Yıllık koruma maliyeti tipik olarak bu rakamların yüzde 5-15’i kadardır; tek bir önlenen saldırı yıllık yatırımı geri öder.

  • Cloudflare Pro: 200 USD/ay, küçük ve orta SaaS için.
  • Cloudflare Business: Bin USD/ay’dan başlar, gelişmiş WAF ve bot yönetimi.
  • Cloudflare Enterprise: Sözleşme bazlı, SLA garantili.
  • AWS Shield Advanced: 3.000 USD/ay + veri transferi maliyetinin koruması.
  • Imperva Cloud WAF: Yıllık 60K USD’den başlar; on-prem appliance maliyeti ayrı.

Sınırlamalar ve Yaygın Hatalar

En sık görülen hata WAF’ı “kur ve unut” mantığıyla kullanmaktır. Forrester verilerine göre WAF kuran kurumların yüzde 67’si ilk 6 ay sonrasında kural setlerini güncellemiyor; bu durumda yeni saldırı kalıpları yakalanmıyor. İkinci yaygın hata: WAF’ı yalnızca block modunda çalıştırıp false positive’leri görmezden gelmek; bu durumda meşru kullanıcılar engellenir ve ticari zarar oluşur. Üçüncü hata: kaynak IP’lerin WAF arkasında saklı olmaması. Eğer gerçek sunucu IP’leri açıksa saldırgan WAF’ı baypas eder. Origin shielding zorunlu önlemdir.

Olgun bir program, üç aylık WAF kural inceleme döngüsü, saldırı simülasyonu (red team) testleri ve düzenli sertifika rotasyonu içerir. AWS Shield Response Team (SRT) veya Cloudflare Under Attack desteği gibi yönetilen yanıt hizmetleri büyük olaylarda kritik destek sağlar. Bu hizmetler genellikle yıllık 25.000-150.000 dolar arası ek maliyet getirir ancak ortalama yanıt süresini 47 dakikadan 8 dakikaya indirir.

Sık Sorulan Sorular

Sadece Cloudflare ücretsiz planı yeterli mi?

Hayır. Cloudflare ücretsiz planı temel CDN ve sınırlı L3/L4 koruma sunar; ancak hedeflenmiş L7 saldırılarına karşı gelişmiş WAF kuralları, bot yönetimi ve SLA içermez. Üretim ortamı için minimum Pro planı (200 USD/ay) önerilir. İşlemsel hacim yüksek, marka görünürlüğü kritik kurumlar için Business veya Enterprise plan zorunludur. SLA gerektiren senaryolarda Enterprise plan tek seçenektir.

AWS Shield Advanced sadece AWS müşterileri için mi?

Pratik olarak evet. AWS Shield Advanced AWS edge servisleriyle (CloudFront, Route 53, Global Accelerator, ELB) entegre çalışacak şekilde tasarlanmıştır. AWS dışındaki kaynakları korumak için Cloudflare veya Imperva daha uygundur. AWS müşterileri için Shield Advanced’in en büyük değeri, koruma kapsamındaki saldırılarda artan veri transfer ücretlerinin kredilenmesidir; bu özellik tek başına yıllık 100K USD’yi aşan tasarruf sağlayabilir.

WAF false positive nasıl yönetilir?

İki katmanlı yaklaşım gerekir. Birincisi: WAF kurallarını başlangıçta “log only” modunda 2 hafta çalıştırın; tüm tetiklenmeleri kaydedin, yanlış pozitifleri tanımlayın. İkincisi: false positive yaşanan kuralları kaldırmak yerine, kullanıcı oturumu, kimlik doğrulama durumu veya endpoint bazlı istisnalar tanımlayın. Aylık inceleme döngüleriyle kural setleri canlı tutulur. Otomatik false positive azaltma için makine öğrenmesi tabanlı WAF özellikleri (Imperva, Cloudflare ML) faydalıdır.

DDoS saldırısı sırasında ilk 5 dakika ne yapılmalı?

İlk adım otomatik hafifletmenin durumunu kontrol etmek. Eğer edge katman saldırıyı zaten filtreliyorsa müdahaleye gerek yoktur, yalnızca izleme yapılır. Servis etkisi varsa: “Under Attack” veya benzer şiddetli mod aktif edilir, bot challenge kuralları sıkılaştırılır, durum sayfası güncellenir. İlk 5 dakika içinde teknik ekip + iletişim ekibi + müşteri başarı ekibi olay komutasında toplanır. Olay sonrası 24 saat içinde resmi rapor hazırlanır.

Cloudflare mı AWS Shield mi Imperva mı: hangi WAF/DDoS koruması 2026’da en doğru seçim?

Karar bulut sağlayıcısı, bütçe ve uyumluluk gereksinimine göre netleşir. Cloudflare 449 Tbps ağ kapasitesi, 200 USD/ay başlayan Pro planı ve geniş ücretsiz katmanıyla 10K USD/ay altı bütçeli SaaS ve e-ticaret işletmeleri için varsayılan seçim; 21 Tbps tepe saldırı dayanımı pratikte rakipsiz. AWS Shield Advanced 3.000 USD/ay sabit ücretiyle AWS yerlisi yığınlar için doğal seçim ve veri transferi kredilemesi yıllık 100K+ USD tasarruf üretebilir. Imperva 60K+ USD/yıl ile en yüksek maliyetli olsa da on-prem hibrit deployment, sektör lideri imza tabanı ve KVKK/GDPR veri yerelliği zorunluluğu olan finans/sağlık kurumları için tek olgun seçenek. Üç kıstas: 1) AWS dışı SaaS = Cloudflare; 2) AWS yerlisi = Shield Advanced; 3) On-prem zorunluluğu veya sektörel imza derinliği şart = Imperva.

Sonuç

2026’da DDoS ve uygulama katmanı saldırıları hem hacim hem karmaşıklık olarak benzeri görülmemiş seviyelere ulaştı. Cloudflare, AWS Shield ve Imperva üç olgun lider; seçim kurumun mevcut bulut ortamı, veri yerellik gereksinimi ve bütçe profiline göre yapılmalıdır. WAF “kur ve unut” değil “yaşayan kontrol” disiplinini gerektirir. Üç aylık kural incelemesi, saldırı simülasyonu testleri ve yönetilen yanıt hizmetleri olgun bir program için olmazsa olmazdır. Doğru kurgulanmış bir koruma katmanı tek bir önlenen olayla yıllık yatırımın çok katını geri öder.

Bu Rehberde Kullanılan Kaynaklar

  • Cloudflare Q4 2025 DDoS Threat Report
  • AWS Threat Landscape Report 2025
  • Forrester WAF Wave Q4 2025
  • OWASP Core Rule Set v4.0 Dokümantasyonu
  • Imperva Annual Application Security Report 2025
  • AWS Shield Response Team (SRT) Operations Guide
  • Cloudflare Under Attack Mode Teknik Notları

Ömer ÖNAL

Yazılım Mimarı | Yapay Zeka LLC. Ölçeklenebilir SaaS, .NET Core altyapıları ve Otonom AI süreçleri inşa ediyorum. Kod değil, sistem tasarlarım.

İlgili Yazılar

Data Loss Prevention 2026: Modern DLP Stratejisi ve Otomasyonu
Siber Güvenlik
Ömer ÖNAL
Data Loss Prevention 2026: Modern DLP Stratejisi ve Otomasyonu
Data Loss Prevention (DLP) 2026’da yalnızca endpoint kontrolü...
Cloud Security Posture Management (CSPM): Wiz, Lacework, Prisma Cloud
Siber Güvenlik
Ömer ÖNAL
Cloud Security Posture Management (CSPM): Wiz, Lacework, Prisma Cloud
Cloud Security Posture Management (CSPM) 2026 itibarıyla CNAPP...

Yorum Yap

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir