DDoS yani Distributed Denial of Service (Datk Hizmet Engelleme) saldrlar, tamamen Bilgi

Gvenlii unsurlarndan eriilebilirlii hedef almaktadr. ncesinde sadece DoS (Denial of

Service), yani tek bir kaynaktan hedefe doru saldr yaplmas eklinde ortaya kan bu saldr
tr, zamanla iddetinin arttrlmas iin ok sayda kaynaktan tek hedefe yaplan saldr ekline
dnmtr. Ddosu rneklemek istersek u daha net anlalmasn salayacaktr. Eer biri
size merhaba derse sizde ona merhaba dersiniz. Bunu sradan TCP el skmasna (SYN, SYN
ACK, ACK) bezetebiliriz. Eer bir kabalk saniyer baznda yzlerce hatta bilerce defa size
merhaba derse ne olur? ncelikle network trafii sahte bir tafik ile istilaya urayacaktr.Bunun
sonucunda belki sunucularnzdan verdiiniz hizmetleriniz bu trafie cevap vermede sorun
yaayacaktr.
Grup Anonymous gibi hacker grublar Paypal, Visa gibi byk irketleri ve hatta lkeleri Ddos
saldrlaryla hedef alabiliyorlar. Ve hatta sradan insanlar LOIC (Low Orbit Ion Cannon) gibi
aralar kullanarak baz DDos (TCP, UDP or HTTP) atak tiplerinde onlara katlabiliyor.

Peki irketler kendilerini bu tip ataklara kar nasl koruyabilir ?. ou durumda DDos ataklar
sonucu oluan trafik istilas ada tkanklk yaratr ve backend sunucular fazla etkilemez. Bu
durumlarda yaplacak fazla bir ey yoktur. Gelen bantgenilii bir sorun deilse backend
suncular ok daha fazla etkilenir. Bu yaz dizimizde b tr saldrlara kar Netscalerda
varsaylan olarak aktif olan korumalar ve aktif edilmesi tavsiye edilen korumalar anlatlacaktr.
Surge Protection
stemci isteklerinde aniden bir dalgalanma sunucu zerinde ar bir yk oluturduunda,
sunucu varolan isteklere yava cevap verir ve yeni isteklerine cevap veremez. Surge Protection
zellii sunucuya yaplan balantlarn sunucunun baa kabilecei oranda olmasn garanti
eder. Tepki oran Surge Protectionn nasl ayarlandna baldr. Netscaler ayrca sunucuya
yaplan balantlarn saysn izler ve yeni sunucu balantlar ama orann ayarlamak iin bu
bilgileri kullanr.
Surge Protection varsaylan olarak aktr. Eer surge protectionu kullanmak istemiyorsanz,
sadece baz zel konfigurasyonlarda bu mmkndr, kapatmalsnz.
Varsaylan surge protection ayarlar ou kullanmlar iin yeterlidir, fakat kendi ihtiyalarnza
gre ayarlayabilirsiniz. ncelikle balant giriimlerinin nasl agresif ynetileceini belirtmek iin
throttle deerini ayarlamalsnz. kinci olarak surge protectionn tetiklenmeden nce ki
maksimum ezamanl balant says kontrol etmek iin Netscalern izin verecei balang
eik deerini ayarlamalsnz. (Varsaylan e zamanl balant dip eik deeri throttle deeri ile
ayarlanyor, fakat throttle deerini ayarladktan dip eik deerini isteiniz bir sayyla
deitirebilirsiniz.)
Surge Protection zellii kapatld zaman ve istemci isteklerinde aniden ykselme olutuunda
, sunucu ezamanl ileyebildii kadar istemci isteini kabul eder ve sonra istekleri droplamaya
(drme) balar. Sunucu, istemci istekleri ile daha fazla ar ykl hale geldiinde kapanr ve
istemci isteklerine yant sfra der. Sunucu crashden kurtulduu zaman, genellikle birka
dakika sonra, btn beklemede ki isteklere anormal bir davran olarak reset gnderir ve ayrca
yeni isteklere de reset ile cevap verir. Bu ilem istemci isteklerinde ki her bir dalgalanma iin
devam eder. Bundan dolay DDos saldr ata altnda kalan ve bu nedenle isteklerde birden ok
dalgalnmaya maruz kalan sunucu, gerek meru istemci isteklerine cevap veremez.
Surge protection zellii aktif edildiinde ve istemci isteklerinde bir dalgalanma olduunda surge
protection sadece sunucunun baa kabilecei hzda istekleri sunucuya gnderek sunucuya
gnderilecek istemci istek orann ynetir. Bu sayede sunucu, herbir istee uygun bir ekilde
ald srada cevap verebilir. steklerde ki dalgalanma bittiinde birikmi istekler istek oran yant
oranna eitlenene kadar sunucunun onlar ileyebildii hzda temizlenir.

Netscaler CLI
enable ns feature SurgeProtection
show ns feature
Netscaler GUI
1. System>Setting altnda Configure Advanced Features tklayalm.
2. Configure Advanced Featuresden Surge Protection aktif edelim.

3. Traffic Management>Load balancing>Services altnda Surge Protection aktif etmek

istediimiz servisi dzenlemek iin ift tklayarak aalm ve servisin setting tabndan
Surge Protectiona check koyduktan sonra Ok butonuna tklayalm.
 4.

Surge Protection throtte deerleri

Aggressive

Bu seenek sunucunun balant ileme kapasitesi az ve sunucuya balantlarn dikkatlice

ynetilmesi gerekiyorsa seilmelidir.Throttle deeri aggressive olarak seildiinde sunucu
balant dip eik deeri 16 olarak belirlenir. Dalgalanma korumas (surge protection) sunucuya
17 veya dafa fazla balant olur olmaz tetiklenir.
.
Normal
Eer Netscalern arkasnda harici bir load balance cihaz yoksa seilmelidir. Dip eik deeri e
zamanl 200 balantdr. Dalgalanma korumas (surge protection) sunucuya 201 veya daha
fazla balant olur olmaz tetiklenir. Normal, seenei varsaylan throttle deeridir.

Relaxed
Bu deer, Netscaler ok sayda web sunucusunu ykn dengeliyorsa ve bu nedenle yksek
oranda e zamanl istemci balant ile baa kabiliyorsa seilmeldir.Dip eik deeri 500 e
zamanl balantdr. Dalgalanma korumas, sunucuya 501 veya daha fazla e zamanl balant
kurulduu zaman tetiklenir.
 Throttle Ayar Throttle Oran (Balantlar, Milisaniye)

Normal 200,10 400,20 800,50 2000,100

Aggressive 16,10 200,30 500,50 1000,500

Relaxed 500,10 1000,10 2000,10 3000,10

lk 199 balant sunuculara kstlama olmadan eriir.

200 ve 399 balant arasnda sunucuya 10 milisaniye bana 1 balant kurulur.
400 ve 799 balant arasnda sunucuya 20 milisaniye bana 1 balant kurulur.
800 ve 1999 balant arasnda sunucuya 50 milisaniye bana 1 balant kurulur.
2000 veya daha fazla bailant iin sunucuya 100 milisaniye bana 1 balant kurulur.

Surge Protection Global Ayarlar

Netscaler GUI
1. System>Settings altnda Change Global SettingsI seelim.
 2. Sunuculara aggressive, normal ve relaxed balant karekterlerinin tetiklenmesi iin
base threshold (dip eik deeri) deerlerini belirleyelim.

Surge Protection throtte ve base threshold

Surge Protection aktif deilken sunucu durumu

Surge Protection aktif iken sunucu durumu

Fiziksel bir server isteklerin ar dalgalanmasna maruz kaldnda kendisine bal istemcilere
yava cevap vermeye balar ve bal olan kullanclar honutsuz ve memnuniyetsiz olur. ok
sklkla ar yklenme durumu istemcinin error sayfas almasna yol aar. Byle ar
dalgalanmalardan kanmak ve servislere yaplacak yeni balantlarn orann kontrol etmek iin
Netscalern surge protection zellii kullanlr. Netscaler istemci ve sunucu arasnda balant
oklama yapar. Sunucu zerinde ki bir hizmete erimek iin bir istemici istei alndnda
Netscaler daha nce sunucuya kurulmu ve boa km bir balant arar. Eer boa km bir
balant bulursa bu balanty sunucu ve istemci arasnda sanal bir link kurmak iin kullanr.
Burada eer Netscaler sunucuya yeni bir balant kuramazsa istemci isteini surge queueye
gnderir.Eer load balancing veya content switching virtual servera balanm btn fiziksel
sunucular istemci balantlar zerinde st limit deerine(max client deeri,surge protection
threshold veya servis maximum kapasitesi) ulamsa Netscaler hi bir sunucuya yeni balant
aamaz. Surge protection zellii fiziksel sunucuya alan balant hzn ayarlamak iin surge
queuey kullanr. Netscaler virtual servera bal herbir servis iin farkl surge queue muhafaza
eder.

Surge queuenin uzunluu istek gelir gelmez Netscaler sunucya yeni bir balant kurulamad
zaman artar. Surge queue uzunluu kuyrukta ki bir istek sunucuya gnderilir gnderilmez veya
istek zaman ama urad veya kuyruktan silindii zaman azalr.

Eer bir servis veya servis grubu iin surge queu ok uzun olmaya baladysa, surge queue
temizlemek isteyebilirsiniz. Surge queue temizlemek varolan balantlar etkilemez. Sadece
surge queuede olan istekler temizlenir.

Netscaler CLI

flush ns surgeQ [-name <name>] [-serverName <serverName> <port>]

Netscaler GUI