Cloudflare ile DDoS Korumasını Doğru Yapılandırmak

L7 (uygulama katmanı) DDoS saldırıları 2026'da %230 arttı. Yalnızca DNS proxy aktif etmek yetmiyor; doğru WAF kuralları, rate limit ve bot management kombinasyonu şart.

DNS proxy (orange cloud) saldırının origin'e ulaşmasını engeller; ancak origin IP'si DNS history veya e-posta kaydından sızabilir. Bunu önlemek için: tüm subdomain'ler proxy'lenmeli, e-posta kayıtları (MX, SPF) farklı subdomain'de tutulmalı.

Rate limit kuralları: /login → 5 istek/dakika, /api/* → 100 istek/dakika, /search → 30 istek/dakika gibi endpoint'e özel limitler. Aşımda CAPTCHA veya 1 saatlik blok.

WAF managed rules + custom: OWASP Top 10'a karşı managed ruleset açık, ek olarak path-based custom rule'lar (admin path coğrafi sınırlama, IP allowlist).

Bot management: known good bots (Google, Bing) allow, suspicious score >30 olan tüm istekler challenge. Bu, kredensiyel doldurma ve scraping'i %95 keser.

Origin koruması: yalnızca Cloudflare IP'lerinden gelen trafiği kabul edecek firewall kuralı. Authenticated origin pull ile sertifika bazlı doğrulama ekstra güvenlik katmanı.