Oyun Sunucu Güvenliği: Low-Latency Koruma ve Layer-7 Filtreleme

Çevrimiçi oyun sunucuları, internetin en zorlu tehdit ortamlarından birinde çalışır. Rakip server sahipleri, eski oyuncu intikamları, “para” üzerinden çalışan saldırgan grupları ve hizmet kapanmasından çıkar sağlayan kötü niyetli aktörler sürekli oyun sunucularını hedef alır. Saldırı yoğunluğu zirve oyun saatlerinde (akşam 19:00-24:00) en yüksek seviyeye çıkar; bu da bir e-ticaret veya kurumsal saldırıdan farklı olarak maksimum görünürlük anında oyuncuları etkiler. MikroTikBox Oyun Güvenlik hizmeti, bu spesifik tehdit profiline özel tasarlanmış low-latency, layer-7 farkındalıklı koruma katmanı sunar.

SA-MP, MTA, CS:GO, CS 1.6, Metin2, Knight Online, Minecraft, Rust, ARK, Valheim ve daha onlarca popüler oyun protokolü için özel filtreleme imzaları geliştirdik. Her oyun protokolünün kendine özgü paket yapısı vardır; sahte query paketleri, geçersiz client request’leri ve oyun protokolünü taklit eden DDoS saldırıları ancak protokol-aware filtreleme ile ayırt edilebilir.

Hizmet Kapsamımız

• SA-MP / MTA Koruma: San Andreas Multiplayer ve Multi Theft Auto için query flood, RCON brute, fake-player saldırılarına karşı özel filtreler.
• CS:GO ve CS 1.6 Koruma: A2S_INFO query flood, source engine zafiyetlerine yönelik saldırılar, rate-limited query handler.
• Metin2 / Knight Online: Türk oyun piyasasının en eski oyunlarına özel; client connect flood, login server saldırıları, anti-bot koruması.
• Minecraft Java / Bedrock: Slot fill saldırıları, motd query flood, bot account creation engelleme.
• Rust / ARK / Valheim: Modern survival oyunları için yüksek paket-per-second toleranslı koruma profilleri.
• Layer-7 Filtreleme: Paketin sadece port ve IP’sine değil, içeriğine bakarak filtreleme; gerçek oyuncu ile bot/saldırgan ayrımı.
• Low-Latency Mimari: Koruma katmanı ortalama 0.3-0.8 ms ekstra gecikme ekler; oyuncular fark etmez.
• Voice Server (TS3/Mumble) Koruma: Oyuncu topluluğunuzun ses sunucularını da koruma kapsamına alma.

Oyun Saldırılarının Anatomisi

Oyun sunucularına yönelik saldırılar genellikle 4 kategoride incelenir:

1. Volumetrik Saldırılar (Layer 3/4)

UDP flood, SYN flood, amplification (DNS, NTP, memcached). Toplam bandwidth tüketimi hedeflenir. Saatte 50-150 Gbps boyutuna ulaşabilir. MikroTik CCR serisi raw chain ile bu saldırıları sıfır CPU yükü ile yutar.

2. Protokol Saldırıları

Geçersiz TCP state’leri, fragment manipulation, Christmas tree packets. Stateful firewall’lara CPU bindirir. Conntrack tuning ve invalid packet drop ile çözülür.

3. Layer-7 (Uygulama) Saldırıları

Oyun protokolünü taklit eden, gerçek paket gibi görünen ama anlamsız içerikli saldırılar. En kritik kategoridir; standart firewall’lar görmez, sadece protokol-aware filtreleme yakalar.

4. Sosyal / Hibrit Saldırılar

Yöneticiyi tanımak, panel zafiyeti aramak, host firmaya abuse mail bombardımanı yapmak gibi teknik olmayan saldırılar. Operasyonel önlemler ve panel hardening ile çözülür.

Saha Vakaları: Koruduğumuz Oyun Sunucuları

Vaka 1: 800 Slot SA-MP Sunucusu

Türkiye’nin en eski SA-MP RP sunucularından biri, yıllardır rakip sunuculardan sürekli saldırı alıyordu. Saldırılar her gün akşam 21:00’de zirve yapıp, oyuncuları rakip sunuculara kaçırma amaçlıydı. CCR2004 + SA-MP query rate-limit + connection-rate per IP + fake-player imza filtreleme kurduk. Saldırılar devam etti ancak artık etkisiz hale geldi. Aylık ortalama oyuncu sayısı 320’den 580’e çıktı.

Vaka 2: 4 Sunucu CS 1.6 Topluluğu

Bir CS 1.6 topluluğunun 4 farklı haritada sunucuları vardı. Bir sunucuya saldırı geldiğinde diğerleri de aynı anda yavaşlıyordu (paylaşılan upstream nedeniyle). Tüm sunucuları aynı CCR1009 arkasına aldık, her sunucu için ayrı QoS pipe ve rate-limit kurduk. Bir sunucuya 8 Gbps saldırı gelse bile diğer üçü 5 ms altında latency ile çalışmaya devam etti.

Vaka 3: Metin2 Pvp Serverinde Login Flood

Türkçe Metin2 pvp sunucusunda açılış günü 40.000 sahte “login attempt” geliyor, gerçek oyuncular giriş yapamıyordu. Login server’ın önüne MikroTik connection-limit (per source IP) ve TCP RST imza kuralı koyduk. Sahte denemeler düştü, gerçek oyuncular sorunsuz giriş yapmaya başladı. Açılış günü 12.500 başarılı oyuncu kaydı yapıldı.

Vaka 4: Minecraft Java Server 1000 Slot

YouTube’da tanıtılan büyük bir Minecraft survival sunucusu, açılış sonrası ilk hafta sürekli “slot fill” saldırısı aldı (sahte bot’lar tüm slotları doldurup gerçek oyuncuları dışarıda bırakıyordu). MikroTik üzerinde rate-limit handshake, anti-VPN entegrasyonu ve velocity proxy önünde özel filtreleme kurduk. Slot fill saldırıları %94 azaldı, sunucu sürekli %85+ doluluk oranında çalıştı.

Kurulum Süreci

1. Oyun ve Trafik Analizi: Hangi oyun(lar), kaç slot, beklenen eşzamanlı oyuncu, mevcut saldırı geçmişi.
2. Mimari Önerisi: Cihaz seçimi (CCR1009 / CCR2004 / CCR2116), upstream bağlantısı, IP geçiş planı.
3. İmza Hazırlığı: Oyununuza özel paket imzaları, rate-limit eşikleri, allow/deny politikaları.
4. Test ve Simülasyon: Kontrollü ortamda saldırı simülasyonu (5-50 Gbps) ile koruma doğrulanır.
5. Canlıya Alma: Bakım penceresi içinde DNS/IP geçişi, gerçek trafik altında ince ayar.
6. İzleme ve Raporlama: Grafana dashboard, haftalık saldırı raporu, oyuncu deneyimi metrikleri.

Uzmanlığımız: Oyun Camiasının İçinden

MikroTikBox ekibi sadece teknik altyapı sağlayıcısı değil, oyun camiasının da bir parçası. SA-MP, MTA, Counter-Strike ve Minecraft topluluklarında yıllardır sunucu işleten, oyuncu olan, mod yazan kişilerden oluşuyoruz. Bu sayede sadece “ağ sorunu” çözmüyor, “oyuncu deneyimi” perspektifinden bakıyoruz. 5 ms ekstra ping, bir CS pvp sunucusunda kabul edilemezdir; biz bunu biliyoruz.

Oyun sunucularının başarısı sadece teknik altyapıyla değil, aynı zamanda topluluk yönetimi ve sürekli oyuncu memnuniyeti ile ilgilidir. Sunucunuz haftada 3 kez DDoS yüzünden kapanıyorsa, oyuncularınız 2 ay içinde başka sunuculara kaçar. Bu yüzden oyun güvenliği bir “lüks” değil, ticari sürdürülebilirliğin temel taşıdır.

Sıkça Sorulan Sorular

Oyununuzu Koruma Altına Alın

SA-MP, MTA, CS, Metin2, Minecraft veya başka herhangi bir oyun sunucusu işletiyorsanız ve sürekli DDoS, query flood veya layer-7 saldırılardan bıktıysanız, MikroTikBox ekibi sizinle çalışmaya hazır. MikroTikBox iletişim sayfasından ulaşın, oyununuza özel koruma planı ve ücretsiz tehdit analizi alın.

Oyun Sunucumu Koru

SA-MP/MTACS:GOMetin2MinecraftLow Latency7/24 SOC

Oyun Sunucu Operasyonu için Ek Hizmetler

Sadece DDoS koruması yetmez; başarılı bir oyun sunucusu operasyonu için bütüncül bir altyapı yaklaşımı gerekir. MikroTikBox olarak oyun community’lerine sadece koruma değil, operasyonel danışmanlık da sunuyoruz.

Çoklu Lokasyon ve Ping Optimizasyonu

Oyuncu kitleniz Türkiye geneline yayılmışsa, tek bir İstanbul sunucusu Anadolu ve Doğu illerinden bağlanan oyuncular için 30-50 milisaniye ekstra ping yaratır. Çoklu lokasyon (anycast routing veya geo-DNS) ile her oyuncu kendisine en yakın node’a bağlanır. MikroTik üzerinde GeoDNS entegrasyonu, BGP anycast ve health-check mekanizmaları kurulumu sundurmamız gereken servisler arasındadır. Doğru tasarımla 80 milisaniye Türkiye ortalama pingini 25-35 milisaniyeye düşürmek mümkündür.

Anti-VPN ve Anti-Proxy Filtreleme

Yasaklanan oyuncular sıklıkla VPN veya proxy kullanarak tekrar bağlanmaya çalışır. MikroTik üzerinde commercial anti-VPN feed’leri (IPHub, ProxyCheck, IPQualityScore) entegre edilebilir. Bu feed’ler bilinen tüm VPN/proxy IP’lerini içerir ve oyuncu bağlanmadan önce kontrol edilir. Etkinliği %95+ seviyesindedir. Önemli: bazı sunucu sahipleri tüm VPN kullanıcılarını engellemek istemez (gizlilik isteyen meşru oyuncular için); bu durumda whitelisting veya hibrit politikalar uygularız.

Oyun Sunucusu Hosting Tavsiyeleri

Hangi hosting sağlayıcısını kullanacağınız oyun sunucu performansınızı doğrudan etkiler. Tecrübemize göre: Türkiye için Vargonen, Radore, Turkticaret Net gibi sağlayıcılar düşük ping sunar. Avrupa için OVH Game, Hetzner, Path.net iyi seçeneklerdir. ABD oyuncularına ulaşmak isteniyorsa OVH BHS veya DigitalOcean SFO. Her birinin DDoS koruma seviyesi farklıdır; bizim MikroTik koruma katmanımız bu hosting’lerin native korumasıyla birlikte çalışacak şekilde tasarlanır.

Topluluk ve Discord Botu Entegrasyonu

Modern oyun toplulukları sadece sunucudan oluşmaz; Discord, web sitesi, forum ve voice server ekosistemi vardır. MikroTik üzerinden topladığımız metrikleri (anlık oyuncu sayısı, saldırı durumu, uptime) Discord bot’una push edebiliyoruz. Sunucu çöktüğünde Discord’da otomatik bildirim, saldırı bittiğinde otomatik “all clear” mesajı, günlük istatistik raporları gibi entegrasyonlar topluluğunuzla şeffaf iletişim kurmanızı sağlar.

Tournament ve E-spor Etkinlik Desteği

Online tournament veya e-spor etkinlikleri sırasında saldırı riski katlanır. Etkinliğe özel ek koruma seansı, gerçek zamanlı SOC izleme ve emergency response ekibi hazırlığı sundurmamız gereken servislerdir. Geçtiğimiz yıllarda 12 büyük tournament etkinliğinde teknik partner olarak görev yaptık; toplam 4.7 milyon izleyici-saat boyunca sıfır kesinti gerçekleşti.

Oyun Sunucusu Saldırı İstatistikleri ve Trendler

Korumakta olduğumuz oyun sunucularından topladığımız anonimize istatistikler, oyun ekosistemindeki saldırı trendlerine ilginç bir bakış sunuyor. Son 18 ayda elde ettiğimiz veriler şu eğilimleri ortaya koyuyor.

Saldırıların yaklaşık yüzde 64’ü akşam 19:00 ile gece 02:00 saatleri arasında gerçekleşiyor. Bu, oyuncu kitlesinin en aktif olduğu saatlere denk geliyor; saldırganlar maksimum hasarı bu pencerede vurmaya çalışıyor. Hafta sonları (Cuma akşam ile Pazar gece) saldırı sıklığı hafta içine göre yüzde 38 daha fazla. Saldırı vektörleri arasında UDP flood hala lider (yüzde 41), onu SYN flood (yüzde 22), amplification (yüzde 18) ve layer-7 query flood (yüzde 19) takip ediyor.

Coğrafi Saldırı Kaynakları

Saldırı IP’lerinin coğrafi dağılımı: Çin yüzde 28, Rusya yüzde 14, ABD yüzde 11, Brezilya yüzde 9, Vietnam yüzde 7, Türkiye yüzde 6 (özellikle ele geçirilmiş hosting hesaplarından), Hindistan yüzde 5, diğer yüzde 20. Bu dağılım sürekli değişiyor; geçtiğimiz yıl Türkiye oranı yüzde 3 iken bu yıl yüzde 6’ya çıktı. Türk hosting sağlayıcılarındaki güvenlik açıklarının istismarı artıyor; bu da yerel hosting müşterilerinin de hardening yapmaları gerektiğini gösteriyor.

Yeni Nesil Tehditler: Carpet Bombing

2024 sonrasında yeni bir saldırı paterni yaygınlaştı: “carpet bombing” yöntemi. Geleneksel DDoS’ta saldırgan tek bir hedef IP’ye yoğun trafik gönderir; carpet bombing’de ise bir IP bloğunun tamamına (örneğin /24 subnet) eş zamanlı düşük trafik gönderilir. Her tek IP’ye gelen trafik DDoS thresholdunun altında olduğu için çoğu otomatik mitigation sistemi tetiklenmez, ancak toplam upstream bandwidth tükenir. MikroTik üzerinde subnet-aggregate rate-limit kuralları ile bu yeni nesil saldırılara karşı özel filtreler geliştirdik.

Mobil Oyun Sunucuları için Ek Notlar

SAMP, CS, Metin2 gibi PC oyunlarının yanı sıra mobil oyun sunucuları (Clash benzeri tournament server, Battle Royale lobi sunucuları, MMO mobile backend) için de koruma sundurmamız söz konusudur. Mobil oyuncular düşük bant genişliği ve değişken latency koşullarında oynar; bu nedenle koruma katmanı extra hassas tuning gerektirir. Tipik olarak: yüksek packet rate toleransı, mobil network NAT’ları için connection-rate ayarlaması, mobil CDN entegrasyonu konularında özel mimari sunuyoruz.