Web sitenizin veya sunucunuzun aniden yavaşladığını ya da kapandığını hayal edin. Arkasında bir DDoS saldırısı mı var, yoksa sadece organik bir trafik patlaması mı yaşıyorsunuz? İşte tam bu belirsizlik anında devreye dstat giriyor. Bir sistem yöneticisinin veya siber güvenlik uzmanının en büyük yardımcılarından biri olan dstat, sunucu kaynaklarını ve ağ trafiğini anlık olarak izlemenizi sağlayan çok yönlü bir araçtır.

Bu rehberde, siber güvenlik dünyasında sıkça duyduğunuz dstat nedir, Layer 4 ve Layer 7 dstat analizi nasıl yapılır sorularına yanıt arayacak; PPS, BPS, Mbit ve Gbit gibi terimlerin dstat grafiklerindeki karşılıklarını inceleyeceğiz.

Dstat Nedir ve Ne İşe Yarar?

  • Kapsam ve Amaç: Dstat aracının temel tanımını yapmak, eski araçlarla farkını anlatmak ve kullanıcıya temel mantığı aktarmak.

  • Rakip Farkı: Sadece tanım yapmak yerine, vmstat veya iostat gibi eski araçlara kıyasla neden dstat'ın tercih edildiğini net bir şekilde vurgulamak.

dstat, Linux tabanlı sistemlerde işlemci (CPU), bellek (RAM), disk ve en önemlisi ağ (network) kaynaklarını eşzamanlı ve gerçek zamanlı olarak izlemenizi sağlayan açık kaynaklı bir CLI (Komut Satırı Arayüzü) aracıdır.

Eski nesil vmstat veya iostat gibi araçlar ağ trafiğini anlık olarak detaylandırmakta yetersiz kalırken, dstat saniyede kaç paket geldiğini veya ne kadarlık bir veri genişliği (bandwidth) kullanıldığını renkli ve okunabilir bir yapıda sunar. Siber güvenlikte özellikle DDoS ve Botnet saldırılarının tespiti için dstat grafik analizi hayati önem taşır.

Dstat Terimleri: PPS, BPS, Mbit ve Gbit Ne Anlama Gelir?

  • Kapsam ve Amaç: Grafiklerde görülen teknik birimlerin ne anlama geldiğini siber güvenlik perspektifinden açıklamak.

  • Anahtar Kelimeler: pps, bps, mbit, gbit.

Dstat çıktılarını doğru yorumlayabilmek için ekrandaki birimlerin dilini bilmeniz gerekir. Bir siber saldırı analizi yaparken şu dört terim karşınıza çıkar:

PPS (Packet Per Second - Saniyedeki Paket Sayısı)

PPS, sunucunuza bir saniyede gelen toplam veri paketi sayısını gösterir. Özellikle altyapıyı hedef alan siber saldırılarda (örneğin UDP Flood), veri boyutu küçük olsa bile yüksek PPS değerleri sunucunun ağ kartını veya işletim sisteminin ağ yığınını (network stack) kilitleyebilir.

BPS, Mbit ve Gbit (Veri Genişliği Ölçüleri)

  • BPS (Bytes Per Second): Saniyede taşınan bayt miktarını ifade eder.

  • Mbit (Megabit) ve Gbit (Gigabit): Ağ hatlarının kapasitesini ölçmek için kullanılır. 1 Gbit, 1024 Mbit'e eşittir. Dstat analizinde hattınızın (örneğin 10 Gbit'lik bir hat) ne kadarının dolduğunu bu birimlere bakarak anlarsınız. Hacimsel (Volumetric) saldırılarda bu değerler zirve yapar.

Layer 4 Dstat Analizi ve Grafik Okuma

  • Kapsam ve Amaç: Ağ katmanı saldırılarının dstat üzerinden nasıl tespit edileceğini pratik örnekle açıklamak.

  • Anahtar Kelimeler: dstat layer4, dstat grafik analizi.

Layer 4 (Taşıma Katmanı) saldırıları, doğrudan TCP veya UDP protokollerini hedef alır. SYN Flood veya UDP Flood gibi saldırılar bu gruptadır.

Layer 4 Saldırısı Dstat Grafiklerinde Nasıl Görünür?

Bir Layer 4 saldırısı altındayken dstat komutunu çalıştırdığınızda (özellikle dstat -nt veya dstat --net) şu anomalileri görürsünüz:

  • Aşırı Yüksek PPS: Saniyede milyonlarca paket (Mpps) sisteme giriş yapar.

  • Düşük Bayt / Yüksek Paket Oranı: Gelen paketlerin boyutu çok küçüktür (örn: 64 byte), ancak sayıları o kadar fazladır ki işlemci bu paketleri açmaya çalışırken çöker.

  • Gbit Seviyesinde Trafik: Bant genişliğinizin (Mbit/Gbit) aniden limitlere dayandığını grafiksel analizde gözlemlersiniz.

Layer 7 Dstat Analizi: Akıllı Saldırıları Tespit Etmek

  • Kapsam ve Amaç: Uygulama katmanı saldırılarının dstat ile nasıl izleneceğini aktarmak.

  • Anahtar Kelimeler: dstat layer7.

Layer 7 (Uygulama Katmanı) saldırıları, HTTP/HTTPS istekleri (GET/POST Flood) ile web sunucusunu (Nginx, Apache) hedef alır. Bu saldırılar "sinsi" siber tehditlerdir.

Layer 7 Saldırısı Dstat Grafiklerinde Nasıl Görünür?

Layer 7 saldırılarında ağ hattınız dolmayabilir (yani Gbit seviyelerinde bir trafik görmezsiniz). Ancak dstat grafik analizi yaptığınızda şu tablonun ortaya çıktığını fark edersiniz:

  • Normal veya Hafif Yüksek BPS/PPS: Ağ kartı zorlanmaz.

  • %100 CPU ve RAM Kullanımı: Gelen istekler meşru birer HTTP isteği gibi göründüğü için sunucu bu istekleri işlemeye çalışır. Dstat ekranında CPU (usr ve sys) değerlerinin kırmızıya dönüştüğünü ve kaynakların tükendiğini görürsünüz.

Sıkça Sorulan Sorular (FAQ)

1. Dstat komutu ile anlık ağ trafiği nasıl izlenir? En temel ağ izleme için terminale dstat -n veya daha detaylı bir analiz için dstat -antcm komutunu yazabilirsiniz. Bu komut size ağ, tcp, cpu, bellek ve sistem yükünü aynı anda verir.

2. PPS yüksek ama Gbit düşükse ne anlama gelir? Bu durum tipik bir Layer 4 SYN veya UDP Flood saldırısına işarettir. Saldırgan küçük boyutlu binlerce paket göndererek sunucunun bağlantı tablosunu (connection table) doldurmaya çalışıyordur.

3. Dstat verileri grafik analizine nasıl dönüştürülür? Dstat çıktılarını --output dosya_adi.csv parametresi ile kaydedebilir, ardından bu CSV dosyasını Excel veya Kibana gibi araçlara aktararak görsel dstat grafik analizi raporları oluşturabilirsiniz.