Oyun sunucusu DDoS savunması, sektördeki en zorlu mitigation görevlerinden biridir. Çünkü oyuncu deneyimi sadece “sayfanın yüklenmesi” gibi binary bir göstergeyle ölçülmez; her milisaniyelik gecikme, paket kaybının her %0.1’i hissedilir. Ben kariyerimde 6 farklı oyun başlığında (SAMP, MTA:SA, Metin2, CS 1.6/CS:GO, Minecraft, Rust) DDoS mitigation altyapısı kurdum. Bu yazıda her oyun için spesifik saldırı vektörlerini, MikroTik tabanlı korumayı ve ağ mimarisini detaylı açıklayacağım. Bu yazı bir referans dokümanıdır; sunucu operatörlerinin masasında bulunması gereken pratik bir rehber.

Genel Oyun Sunucusu Ağ Mimarisi

Tüm oyun sunucularına uygulanabilen temel mimari şu şekildedir:

Internet
   |
   v
[ Anti-DDoS Edge (CDN veya bulut mitigation) ]
   |
   v
[ Upstream Router (ISP veya kiralanan) ]
   |
   v
[ MikroTik CCR2004/CCR2116 (Edge firewall) ]
   |
   +---> [ Web Panel Server (HTTP/HTTPS) ]
   |        Cloudflare arkasinda
   |
   +---> [ Login Server (TCP) ]
   |        Rate limit + brute force koruma
   |
   +---> [ Game Channel Servers (UDP/TCP) ]
   |        Per-channel rate limit, packet validation
   |
   +---> [ Database Server (private network) ]
   |        Dis dunyaya kapali
   |
   +---> [ Voice Server (Mumble, TeamSpeak) ]
   |        UDP, ayri filtreleme

Mimarinin temel prensibi: hiçbir backend sunucu doğrudan internete açılmaz; trafik her zaman MikroTik üzerinden geçer. Bu yapı sayesinde tek nokta üzerinden tüm filtreleme, rate limit, geo-IP, logging yapılır. Yapısal hatalar (örneğin “biraz açtım kapatmayı unuttum”) merkezi olarak gözlemlenebilir.

İlerleyen bölümlerde her oyun başlığı için bu mimariye eklenecek spesifik kurallar ele alınacaktır.

SAMP (San Andreas Multiplayer)

SAMP, GTA San Andreas tabanlı multiplayer modu. Türkiye’de 2010-2020 arası altın çağını yaşadı, hala aktif bir oyuncu kitlesi var (özellikle Türk ve Latin Amerika serverlarda). SAMP protokolü tamamen UDP üzerinden çalışır.

SAMP Saldırı Vektörleri

• SAMP query flood (port 7777): SAMP server bilgi sorgulama paketleri (server name, oyuncu sayısı vb). Saldırgan saniyede binlerce query yollayıp server CPU’sunu tüketir. SAMP server protocol response her query’ye CPU-bound iş yapar.
• RCON brute force (port 7777 + RCON şifresi): Saldırgan RCON şifresini kırmaya çalışır. Başarılı olursa server üzerinde tam yetki kazanır.
• Position spoofing flood: Geçerli görünen position update paketleri ile server flood. Anti-cheat sistemleri bypass etmeye çalışır.
• UDP amplification (server’ı kullanarak): Kötü konfigüre edilmiş SAMP server’lar amplification için kötüye kullanılabilir. Sunucu sahibi olarak bunu önlemelisiniz.

SAMP için MikroTik Konfigürasyonu

/ip firewall raw
# SAMP query flood koruma
add chain=prerouting action=add-src-to-address-list address-list=samp-query-flooders 
    address-list-timeout=10m protocol=udp dst-port=7777 
    src-address-list=!samp-trusted 
    limit=10,30:packet 
    comment="Saniyede 10 SAMP query esigi"

add chain=prerouting action=drop src-address-list=samp-query-flooders 
    protocol=udp dst-port=7777 
    comment="SAMP query flooder drop"

# Yasal oyuncu trafigi icin baseline rate
add chain=prerouting action=jump jump-target=samp-defense 
    protocol=udp dst-port=7777,7779

/ip firewall raw chain=samp-defense
add action=accept src-address-list=samp-known-players 
    comment="Bilinen oyuncular bypass"

add action=add-src-to-address-list address-list=samp-known-players 
    address-list-timeout=2h connection-bytes=50000-0 
    comment="50KB+ trafik = yasal oyuncu"

add action=add-src-to-address-list address-list=samp-aggressive-cli 
    address-list-timeout=5m 
    limit=60,120:packet 
    comment="Saniyede 60 paket esigi"

add action=drop src-address-list=samp-aggressive-cli 
    comment="Agresif client drop"

SAMP Server Tarafı Sertleştirme

server.cfg dosyasında şu ayarlar yapılmalı:

echo Executing Server Config...
lanmode 0
maxnpc 0
rcon_password CarmasikUzunSifre987! # min 16 karakter
maxplayers 100
port 7777
hostname Sunucu Adi
gamemode0 mygamemode 1
filterscripts gl_actions gl_property gl_property_ext
plugins crashdetect.so mysql.so streamer.so
announce 0  # samp masterlist'e listeleme - hedef olmamak icin
query 1
chatlogging 1
weburl mysite.com
output 1
worldtime 12
weather 10
stream_distance 300.0
stream_rate 1000
maxnpc 0
logqueries 0
sleep 5
gamemodetext My Server
language Turkish

Önemli: announce 0 ile master listede yayınlamamak, bilinmek istemediğiniz sunucular için saldırı yüzeyini azaltır. query 1 query trafiğini etkin tutar (zaten kapatmak çoğu monitör entegrasyonunu kırar).

MTA:SA (Multi Theft Auto: San Andreas)

MTA, SAMP’ın “rakibi” olarak gelişti; daha gelişmiş Lua scripting altyapısı sunuyor. Bugün özellikle Türk ve Brazilian community’ler tarafından aktif olarak kullanılıyor.

MTA Saldırı Vektörleri

• MTA query flood (port 22126): MTA master server query trafiği. SAMP’ten farklı olarak HTTP üzerinden query alır; HTTP flood saldırılarına açıktır.
• Resource download flood: MTA, oyuncular sunucuya bağlanırken Lua resource’larını indirir. Saldırgan sürekli bağlanıp resource download başlatıp keserek bandwidth tüketebilir.
• Chat spam flood: Bağlantı kurduktan sonra chat sistemine massive spam.
• HTTPServer SQL injection: MTA gömülü HTTP sunucusu varsayılan port 22005’te dinler. Yanlış scriptingli MTAResources SQL injection’a açık olabilir.

MTA için MikroTik ve mtaserver.conf

# MikroTik tarafinda
/ip firewall raw
# MTA query flood
add chain=prerouting action=add-src-to-address-list address-list=mta-query-flood 
    address-list-timeout=15m protocol=udp dst-port=22126,22136 
    limit=20,40:packet

add chain=prerouting action=drop src-address-list=mta-query-flood 
    protocol=udp dst-port=22126,22136

# MTA resource download koruma
add chain=prerouting action=add-src-to-address-list address-list=mta-dl-flood 
    address-list-timeout=10m protocol=tcp dst-port=22005 
    connection-state=new connection-limit=3,32

add chain=prerouting action=drop src-address-list=mta-dl-flood 
    protocol=tcp dst-port=22005

mtaserver.conf’ta sertleştirme:

<servername>MTA Server Adi</servername>
<serverport>22003</serverport>
<maxplayers>128</maxplayers>
<httpserver>1</httpserver>
<httpport>22005</httpport>
<httpdownloadurl>https://cdn.mysite.com/mta/</httpdownloadurl>  <!-- external CDN tercih edin -->
<httpmaxconnectionsperclient>5</httpmaxconnectionsperclient>
<httpdosthreshold>20</httpdosthreshold>  <!-- gomulu DOS koruma -->
<ase>1</ase>
<donotbroadcastlan>1</donotbroadcastlan>
<password></password>
<bandwidth_reduction>medium</bandwidth_reduction>
<networkencryption>1</networkencryption>
<backup_path>backups</backup_path>
<backup_interval>3</backup_interval>
<backup_copies>10</backup_copies>
<crashdump>1</crashdump>

Önemli: httpdownloadurl ile resource’ları external CDN’den dağıtmak, MTA sunucusunun bandwidth/CPU yükünü dramatik şekilde azaltır. Saldırgan resource download flood yaparsa CDN’i kullanır, ana sunucu etkilenmez.

CS:GO / CS2 (Counter-Strike)

Counter-Strike global esports manzarasının ana oyunlarından. CS:GO 2023’te CS2’ye evrildi ancak community sunucularda hala CS:GO yaygın. Source Engine üzerine kurulu, UDP 27015 (varsayılan) üzerinden çalışır.

CS:GO Saldırı Vektörleri

• A2S_INFO query amplification (port 27015): Source Engine’in çok bilinen amplification vektörü. 25 byte istek karşılığında 1500-5500 byte yanıt. Saldırgan sunucunuzu kullanarak başka hedefe amplification yapar.
• RCON brute force: RCON şifresi tahmin edilirse server üzerinde tam yetki. CS sunucularında çok yaygın saldırı vektörü.
• SourceTV exploit: SourceTV (port 27020) düzgün konfigüre edilmezse veri sızdırır.
• Steam relay flood: Steam’in connection relay sistemini kötüye kullanarak gerçek IP’yi gizleyen botlar.

CS:GO Spesifik MikroTik Konfigürasyonu

/ip firewall raw
# A2S_INFO query rate limit (amplification koruma)
add chain=prerouting action=add-src-to-address-list address-list=csgo-query-flood 
    address-list-timeout=10m protocol=udp dst-port=27015 
    packet-size=25-50 
    limit=5,10:packet 
    comment="A2S_INFO query rate"

add chain=prerouting action=drop src-address-list=csgo-query-flood 
    protocol=udp dst-port=27015

# RCON brute force koruma (TCP RCON 27015)
add chain=prerouting action=add-src-to-address-list address-list=csgo-rcon-brute 
    address-list-timeout=1h protocol=tcp dst-port=27015 
    connection-state=new connection-limit=2,32 
    comment="RCON 2+ baglanti = brute"

add chain=prerouting action=drop src-address-list=csgo-rcon-brute 
    protocol=tcp dst-port=27015

# Genel UDP per-player rate limit
add chain=prerouting action=add-src-to-address-list address-list=csgo-spammer 
    address-list-timeout=5m protocol=udp dst-port=27015 
    limit=80,160:packet 
    comment="Saniyede 80 paket esigi (oyuncu normal 30-60)"

add chain=prerouting action=drop src-address-list=csgo-spammer 
    protocol=udp dst-port=27015

CS:GO server.cfg Sertleştirme

rcon_password "CokGuvenliCarmasikSifre2025!"
sv_rcon_banpenalty 30  // yanlis rcon icin 30 dk ban
sv_rcon_maxfailures 3   // 3 yanlis denemeden sonra ban
sv_rcon_minfailures 3
sv_rcon_minfailuretime 30
sv_filterban 1
sv_logbans 1
sv_logblocks 1
sv_max_queries_window 30
sv_max_queries_sec 3.0
sv_max_queries_sec_global 60   // global query rate limit
sv_max_packets_per_user 256
log on
sv_logflush 1
sv_logsdir "logs"
mp_logdetail 3
mp_logmessages 1
mp_logfile 1
sv_pure 2
sv_consistency 1
sv_allow_lobby_connect_only 0
sv_allow_wait_command 0
sv_alltalk 0
sv_cheats 0
sv_password ""
sv_lan 0

Kritik ayarlar: sv_max_queries_sec ve sv_max_queries_sec_global Source Engine’in gömülü A2S_INFO amplification korumasıdır. Bu değerleri agresif tutmak (3.0 ve 60) sunucunuzun amplification aracına dönüşmesini engeller.

Minecraft

Minecraft, dünyanın en yaygın oyunlarından biri; Türkiye’de hatırı sayılır bir kitlesi var. Vanilla Minecraft default port 25565’te TCP üzerinden çalışır. Modlu Spigot, Paper, Forge sunucular farklı sertleştirme gerektirir.

Minecraft Saldırı Vektörleri

• Server list ping flood (port 25565): Minecraft client’lar sunucu listesi gösterirken server ping atar. Saldırgan binlerce ping ile sunucuyu yorabilir.
• Bot account flood: Cracked sunucularda binlerce sahte oyuncu hesabıyla flood. Memory ve thread havuzu tükenir.
• Login packet flood: Login sırasında özel paketler ile sunucu crash. Bazı eski Minecraft versiyonlarında özel formatla paket gönderme JVM çökmesine neden olur.
• Log4j (CVE-2021-44228): 2021’de keşfedilen Log4Shell zafiyeti. Hala güncellenmemiş eski Minecraft sunucularında etkin.
• Resource pack DDoS: Sunucu, oyuncuya resource pack indirme zorunluluğu koyduğunda, saldırgan bağlantı kurup pack indirmeyi tekrarlayarak bandwidth tüketir.

Minecraft için MikroTik + plugin konfigürasyonu

# MikroTik tarafi
/ip firewall raw
# Server list ping rate limit
add chain=prerouting action=add-src-to-address-list address-list=mc-ping-flood 
    address-list-timeout=10m protocol=tcp dst-port=25565 
    connection-state=new 
    limit=3,10:packet 
    comment="Server list ping rate"

add chain=prerouting action=drop src-address-list=mc-ping-flood 
    protocol=tcp dst-port=25565

# Bot login flood
add chain=prerouting action=add-src-to-address-list address-list=mc-bot-login 
    address-list-timeout=30m protocol=tcp dst-port=25565 
    connection-state=new connection-limit=2,32 
    comment="2'den fazla MC connection = bot"

add chain=prerouting action=drop src-address-list=mc-bot-login 
    protocol=tcp dst-port=25565

Spigot/Paper server tarafında bukkit.yml ayarları:

settings:
  allow-end: true
  warn-on-overload: true
  permissions-file: permissions.yml
  update-folder: update
  ping-packet-limit: 100
  use-exact-login-location: false
  plugin-profiling: false
  connection-throttle: 4000  # 4 saniyede 1 baglanti max
  query-plugins: false
  deprecated-verbose: default
  shutdown-message: Server kapaniyor

settings:
  use-virtual-threads: true
  online-mode: true  # premium hesap dogrulamasi - bot floodu durdurur

# spigot.yml
settings:
  netty-threads: 4
  log-villager-deaths: false
  log-named-deaths: false
  player-shuffle: 0
  user-cache-size: 1000
  attribute:
    maxHealth:
      max: 2048.0
    movementSpeed:
      max: 2048.0
  performance:
    network-compression-threshold: 256
  bungeecord: false  # eger BungeeCord arkasinda degilseniz
  late-bind: false
  sample-count: 12

Önemli plugin’ler: BotFilter, EpicGuard, NoCheatPlus, LoginSecurity. BotFilter özellikle cracked sunucularda bot login flood’unu durdurmada en etkili çözümdür.

Diğer Popüler Oyunlar: Kısaca

Rust (Facepunch)

Rust, port 28015 UDP üzerinden çalışır. Steam Networking üzerinden bağlantı kurulur. RCON port 28016 TCP. Saldırı vektörleri benzerdir: query flood, RCON brute, oyun içi spam.

/ip firewall raw
add chain=prerouting action=add-src-to-address-list address-list=rust-query 
    address-list-timeout=10m protocol=udp dst-port=28015 
    limit=8,16:packet
add chain=prerouting action=drop src-address-list=rust-query 
    protocol=udp dst-port=28015

# RCON koruma
add chain=prerouting action=add-src-to-address-list address-list=rust-rcon-brute 
    address-list-timeout=1h protocol=tcp dst-port=28016 
    connection-state=new connection-limit=2,32
add chain=prerouting action=drop src-address-list=rust-rcon-brute 
    protocol=tcp dst-port=28016

Garry’s Mod

GMod, Source Engine üzerine kurulu. CS:GO’ya benzer saldırı vektörleri (A2S_INFO amplification, RCON brute). CS:GO konfigürasyonu büyük ölçüde uyarlanabilir; sadece port değişir (varsayılan 27015).

Team Fortress 2

TF2 da Source Engine. A2S_INFO amplification ana risk. CS:GO konfigürasyonu doğrudan kullanılabilir.

ARK: Survival Evolved

ARK, port 7777 UDP. Query port 27015 UDP. Source Engine query yapısı kullanır. Saldırı vektörleri Steam ekosisteminin standart pattern’i.

Oyun Sunucusu Performans Optimizasyonları

MikroTik üzerinde oyun trafiğine özel optimizasyonlar:

# Connection tracking timeout dusur
/ip firewall connection tracking
set udp-timeout=5s
set tcp-established-timeout=10m
set tcp-syn-sent-timeout=5s

# Hardware queue priority - oyun trafigine en yuksek
/queue type
add name=game-pfifo kind=pfifo pfifo-limit=20

/queue tree
add name=game-priority parent=ether1 packet-mark=game-pkt 
    priority=1 max-limit=200M queue=game-pfifo

# Mangle ile oyun trafigi isaretle
/ip firewall mangle
add chain=prerouting action=mark-packet new-packet-mark=game-pkt 
    protocol=udp dst-port=7777,27015,25565,28015,22003 
    passthrough=no comment="Oyun UDP isaretleme"

add chain=prerouting action=mark-packet new-packet-mark=game-pkt 
    protocol=tcp dst-port=25565,7777 
    passthrough=no comment="Oyun TCP isaretleme"

# Fasttrack icin establised baglantilar
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related 
    packet-mark=game-pkt comment="Oyun trafigi fasttrack"

Oyuncu Deneyimini Koruma Stratejisi

Teknik koruma, “deneyim koruma”nın sadece bir parçasıdır. Oyuncularınızı kaybetmemek için şunlara dikkat:

• Düşük latency birinci öncelik: Hosting seçerken DDoS mitigation kapasitesinden önce, oyuncu kitlenize göre coğrafi yakınlığa bakın. Türkiye oyuncusu için Almanya 30ms, Türkiye DC 5-15ms.
• Threshold’ları sıkı tutmayın: Yanlış pozitif riskini minimize edin. Birkaç saldırı paketi geçer ama yasal oyuncu engellenmez.
• Saldırı iletişimi: Discord’da, web sitesinde aktif iletişim. “Sorun var, çözümle ilgileniyoruz, beklemenizi rica ederiz.”
• Tazminat etkinlikleri: Saldırı sonrası küçük bonus event, küçük item hediyeleri. Sadakat artırır.
• Yedek server hazır: Farklı DC’de yedek sunucu. Saldırı uzun sürerse oyuncuları yedeğe yönlendirin.
• Anti-cheat sistemleri: Saldırgan = oyuncu olabilir. Cheat tespit edildiğinde banlama, saldırı motivasyonu yaratmaması için savvy iletişim ile yapılmalı.

Hosting Seçimi: Oyun Sunucuları İçin Karşılaştırma

Tavsiyem: Türkiye oyuncu kitlesi için Türkiye DC + OVH Game ikilisi. Türkiye DC normal trafik için (düşük latency); OVH büyük saldırı sırasında failover olarak.

İzleme ve Erken Uyarı Sistemi

Oyun sunucusu için izleme dashboard’ında bulunması gerekenler:

• Aktif oyuncu sayısı (gerçek zamanlı)
• Saniye başına paket oranı (rx/tx ayrı)
• CPU kullanımı (MikroTik + game server)
• Conntrack tablosu doluluğu
• Address-list eleman sayısı (saldırı tespit göstergesi)
• Ortalama oyuncu ping’i
• Paket kaybı oranı

Bu metrikler Grafana üzerinde 7/24 izlenmeli. Alarm tetikleyiciler: oyuncu pingi 100ms üstüne çıkarsa, paket kaybı %2 üstüne çıkarsa, CPU %80 üstüne 5 dk sürerse anında SMS/Discord webhook alarmı gönderilmelidir.

SSS: Oyun Sunucusu DDoS Koruma

Hangi oyun en çok saldırıya uğrar?

Genel sıralama: Minecraft (özellikle popüler PvP/SMP sunucuları) > CS:GO > Rust > Metin2 > SAMP/MTA. Popülerlik kadar rakip rekabeti de etken; daha kalabalık sunucular daha çok hedef.

Oyun içi anti-cheat DDoS’a yardımcı olur mu?

Doğrudan değil. Anti-cheat hile tespit eder, DDoS koruma değil. Ancak banlanan cheaterlar genelde DDoS saldırısı yapar; iyi bir anti-cheat = az ban, az motive saldırgan.

CDN oyun trafiğine yardımcı olur mu?

Web panel için kesinlikle (Cloudflare ücretsiz çok iyi). Oyun trafiği için sınırlı; Cloudflare Spectrum, Magic Transit gibi premium servisler oyun UDP trafiğini de proxy’leyebilir ancak aylık $200+ ücretli.

Cracked Minecraft sunucusu güvenli mi?

Premium Minecraft (online-mode=true) hesap doğrulaması yapar, bot flood koruması doğal olarak gelir. Cracked sunucu (online-mode=false) bot floodlarına çok açık; BotFilter gibi plugin’ler şart.

Steam Networking oyun sunucusunun gerçek IP’sini gizler mi?

Steam Datagram Relay aktive edilen oyunlarda evet; saldırgan gerçek IP’yi göremez, Steam relay üzerinden saldırmak zorunda kalır. CS:GO/CS2’de aktif olarak kullanılır. Ancak özel community sunucular için her zaman uygun değildir.

RCON şifresi ne kadar karmaşık olmalı?

Minimum 16 karakter, karışık (büyük/küçük harf + rakam + sembol). Sözlük kelimesi kullanmayın. KeePass benzeri parola yöneticisi kullanın.

VPN’den oynayan oyuncuları block etmeli miyim?

Genelde hayır. Yasal kullanıcı kaybedersiniz. Sadece tekrarlayan kötü davranış sergileyenlerin VPN IP’lerini ban listenize ekleyin.

Saldırı altında ne kadar oyuncu kaybetmek normal?

Kısa saldırı (1 saat) %5-10, orta süreli (6 saat) %15-25, uzun (24+ saat) %30-50. Saldırı sonrası iyi iletişim ve event ile %60-80’i geri kazanılabilir.

Sonuç: Oyun Sunucusu Operatörü Olmak Bir Sanat

Bu yazıda 6+ oyun başlığı için spesifik DDoS koruma reçeteleri paylaştım. Her oyunun kendine özel saldırı vektörleri, server konfigürasyon seçenekleri ve operasyonel hassasiyetleri var. Tek bir formül her oyun için çalışmaz; sunucu operatörü olarak kendi oyununuzun protokolünü derinlemesine anlamalı, baseline trafiği ölçmeli, saldırı vektörlerini sürekli güncel takip etmelisiniz. MikroTik, sunucu önünde mükemmel bir filtreleme katmanı sağlar; ancak tek başına yeterli değildir. Hosting seçimi, oyun motoru tarafında sertleştirme, hibrit upstream koruma (CDN/scrubbing service), izleme dashboard’ı, otomatik mitigation script’leri, yedek sunucu, ve son olarak en önemlisi oyuncu iletişimi bir bütünün parçalarıdır. Başarılı oyun sunucusu operatörlüğü, teknik mükemmelliğin yanında sürekli öğrenme, oyuncu odaklı yaklaşım ve hızlı krize müdahale yeteneklerini birleştiren bir sanattır. Umarım bu yazı, kendi sunucunuzun savunmasını planlarken size somut bir başlangıç noktası sunmuştur.

Konuyla İlgili Diğer Rehberler

Bu rehberi tamamlayan diğer içerikler şunlardır:

1. MikroTik ile DDoS Koruması: Volumetric, Protocol ve Layer-7 Saldırıları için Katmanlı Savunma
2. 2026 DDoS Tehdit Manzarası: Trendler, Saldırgan Profili ve Korunma Yatırımı Mantığı
3. Metin2 Sunucu Operatörü için DDoS Koruma: 9 Yıllık Deneyimden Pratik Mitigation Reçetesi
4. UDP Flood Saldırılarının Anatomisi ve MikroTik ile Aşırı Düşük Latency Koruma
5. TCP Flood Saldırıları: MikroTik 3 Katmanlı Savunma

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• Cloudflare DDoS Threat Report
• NETSCOUT Threat Intelligence
• CISA DDoS Best Practices
• Wikipedia: Game Server
• Cloudflare Spectrum (UDP DDoS)