DDoS útok

Co je DDoS útok?

Útok DDoS je forma kybernetického útoku, při kterém se útočníci snaží narušit nebo poškodit webovou stránku, síť nebo jinou online službu tím, že ji přetíží velkým množstvím falešných nebo nevyžádaných požadavků, dokud nedojde k poklesu výkonu, omezení nebo výpadku služby.

Zkratka DDoS znamená „Distributed Denial of Service“ a vystihuje cíl útočníků i způsob provedení útoku. Cílem je odepřít nebo znepřístupnit nějakou službu legitimním uživatelům (=denial of service). Pod službou si můžeme představit webovou stránku, aplikaci nebo e-shop. Útok je prováděn přes síť infikovaných počítačů („zombie“) z celého světa, tzv. distribuovanou botnet síť (=distributed). Kvůli tomu nelze útok zneškodnit zablokováním jednoho konkrétního zařízení.

Proč se dělají DDoS útoky?

Motivů pro DDoS útoky je hned několik. Kyberzločinci podnikají útoky nejčastěji tzv. na objednávku, kdy vydělávají peníze na prodeji útoku jako služby.

Touha útočníka přijít k penězům může mít i podobu vydírání, kdy útočník nutí cíl zaplatit výkupné výměnou za ukončení útoku a odblokování online služby nebo webové stránky.

V některých případech stojí za útokem hacktivismus. Aktivisté v tomto případě chtějí bránit občanské nebo politické ideály a upozornit na jimi vnímanou nespravedlnost pomocí hackingu.

V neposlední řadě může být za útokem nekalá konkurence, která chce zahlcením serveru poškodit firmu ze stejného oboru a získat na trhu konkurenční výhodu, případně pomsta bývalého zaměstnance firmy.

Sofistikované hackerské skupiny používají DDoS útoky většinou jako kamufláž pro jiné, závažnější aktivity, jako je kybernetická špionáž či sabotáž. DDoS útok zde slouží jako prostředek k odvedení pozornosti.

V posledním případě mohou být DDoS útoky také zábavou, ale nutno připomenout, že v České republice jsou útoky typu DoS a DDoS postihovány podle trestního zákoníku (§ 230 Neoprávněný přístup k počítačovému systému a neoprávněný zásah do počítačového systému nebo nosiče informací).

Jak probíhá DDoS útok?

Pachatelé vyžívají k útoku koordinovanou síť distribuovaných kompromitovaných zařízení (tzv. botnet síť tvořenou zombie počítači). S využitím řídících serverů (C&C = Command and Control) posílají přes botnet na dálku nevyžádané požadavky v řádu až terabitů za sekundu. Snaží se zaměřit pozornost na síťové prvky systémů, které jsou nezbytné k navázání internetového připojení (např. router) případně na webové stránky, servery či databáze, dokud se jim nepodaří systém přetížit.

Typy útoků

  • Volumetrické útoky jsou jedním z nejstarších typů DDoS útoků. Využívají velké objemy provozu k zaplnění kapacity šířky pásma mezi sítí oběti a internetem nebo kapacity uvnitř sítě oběti. Největší volumetrické útoky se (v současnosti) měří v terabitech za sekundu (Tbit/s), což odpovídá zhruba 9 tisícům průměrných internetových připojení. Například při útoku typu UDP (User Datagram Protocol) útočníci zahlcují cílový vzdálený server tím, že požadují informace od aplikace naslouchající na určitém portu. Server kontroluje každý takový požadavek anebo na něj odpovídá, přičemž nakonec vyčerpá šířku pásma a stane se nedostupným.
  • Protokolové útoky podle svého názvu zneužívají konstrukci komunikačního protokolu (např. TCP/IP) k vyčerpání zdrojů cílového systému. Jedním z příkladů protokolového útoku je SYN flood, který odesílá velké množství požadavků (tzv. paketů) na cílový server, ale odpovědi na tyto požadavky nechává bez povšimnutí, čímž neumožňuje uzavřít proces otevření spojení a udržuje tzv. „třícestný handshake“ nedokončený. Když počet nedokončených spojení vyčerpá kapacitu serveru, stane se pro jiná legitimní spojení nedostupným. Protokolové útoky používají k dosažení cílů speciálně vytvořené pakety, a proto se měří v paketech za sekundu (PPS). Největší zaznamenané útoky dosahují stovek milionů paketů.
  • Útoky na aplikační vrstvě jsou zaměřeny na veřejně přístupné aplikace prostřednictvím velkého objemu podvrženého nebo falešného provozu. Příkladem útoku DDoS na aplikační vrstvě je HTTP flood, který zaplavuje konkrétní webový server jinak legitimními požadavky HTTP GET a HTTP POST. Přestože server může mít dostatečnou šířku pásma, je nucen zpracovávat velké množství falešných požadavků namísto jejich legitimních protějšků, čímž mu dojde kapacita zpracování. Útoky na aplikační vrstvě se měří v desítkách milionů požadavků za sekundu (RPS).

Jak se bránit proti DDoS útokům?

Obrana proti DDoS útoku zahrnuje několik různých kroků a strategií, které mohou pomoci minimalizovat dopady útoku a ochránit vaše systémy. Zde je několik doporučení, jak se bránit proti DDoS útokům:

  1. Používání firewallů a bezpečnostních systémů: Implementace pokročilých firewallů a Intrusion Prevention Systems (IPS) může pomoci rozpoznat a blokovat podezřelý provoz ještě před tím, než se dostane na vaše servery. 

  2. IDS (Intrusion Detection System) je systém, který monitoruje síťovou komunikaci a detekuje neobvyklé aktivity. Když IDS zaznamená podezřelou činnost, vygeneruje varování, zaznamená ji do logu a může případně tuto činnost zastavit. (funkce je součástí ESET PROTECT

  3. DDoS pračka (DDoS scrubbing center): specializované zařízení nebo služba určená k detekci a zmírnění distribuovaných útoků typu Denial of Service (DDoS). Tento systém funguje tak, že filtruje a čistí škodlivý provoz, který je zaměřen na cílový server nebo síť, a umožňuje tak průchod pouze legitimnímu provozu. 

  4. Nastavení rate limiting: Omezte počet požadavků, které mohou být zpracovány během určitého časového období. Tím se snižuje pravděpodobnost, že útok přetíží váš server. 

  5. Content Delivery Network (CDN): Využití CDN rozprostře zatížení po různých serverech po celém světě, což může snížit dopad DDoS útoku na váš hlavní server. 

  6. Geografické filtrování: Blokování nebo omezení provozu z určitých geografických oblastí může pomoci minimalizovat riziko útoků z oblastí, odkud často pocházejí DDoS útoky. 

  7. Redundantní síťová infrastruktura: Vytvořte redundantní infrastrukturu, která může absorbovat zvýšený provoz a zajistit, že vaše služby zůstanou dostupné i během útoku. 

  8. Monitoring a analýza provozu: Pravidelné sledování síťového provozu pomocí analytických nástrojů může pomoci rychle detekovat a reagovat na podezřelé aktivity. 

  9. Plánování reakce na incidenty: Mějte připravený plán reakce na DDoS útoky, který zahrnuje jasně definované kroky a zodpovědnosti pro vaše IT týmy. 

  10. Pravidelné aktualizace a záplaty: Udržujte své systémy a software aktuální, aby byly chráněny před známými zranitelnostmi, které by mohly být zneužity k provedení DDoS útoků.

Při obraně proti DDoS útokům je důležité kombinovat více těchto metod a neustále sledovat a přizpůsobovat svou strategii na základě aktuálních hrozeb a vývoje v oblasti kybernetické bezpečnosti.

Proč byste měli být připraveni na DDoS útoky?

Pachatelé vyžívají k útoku koordinovanou síť distribuovaných kompromitovaných zařízení (tzv. botnet síť tvořenou zombie počítači). S využitím řídících serverů (C&C = Command and Control) posílají přes botnet na dálku nevyžádané požadavky v řádu až terabitů za sekundu. Snaží se zaměřit pozornost na síťové prvky systémů, které jsou nezbytné k navázání internetového připojení (např. router) případně na webové stránky, servery či databáze, dokud se jim nepodaří systém přetížit.

  1. Organizace pod útokem DDoS přichází o příjmy kvůli nefunkčnosti webových stránek, služeb nebo systémů. Zmírnění dopadů incidentu navíc zatěžuje rozpočet na bezpečnost. 

  2. Počet DDoS incidentů se zvyšuje a jsou stále silnější, některé jsou dokonce dostatečně silné na to, aby narušily služby v globálním měřítku. Zatímco v roce 2020 byly největší útoky na síťovou vrstvu na hranici 1 Tbps, v roce 2021 několik významných incidentů dosáhlo již na 2-3 Tbps. Při počítání požadavků za sekundu (RPS) minimálně dva DDoS útoky v roce 2021 (hlášené společnostmi Cloudflare a Yandex) překročily 15 milionů RPS. 

  3. Organizace nemusí být primárním cílem, aby pocítily dopad DDoS útoku, zvláště pokud se naruší klíčové části internetové infrastruktury, jako jsou místní nebo regionální ISP. V roce 2016 zločinci zaplavili servery hlavního poskytovatele DNS Dyn. Další online služby se kvůli tomuto DDoS útoku staly nedostupnými, včetně Twitteru, Redditu, Netflixu a Spotify. 

  4. Někteří kyberzločinci hrozí použitím svých botnetů k DDoS útoku proti konkrétní organizaci, pokud nebude zaplaceno výkupné. Tyto útoky se nazývají DDoS Ransom Attacks a nevyžadují, aby útočník získal přístup do sítí svých cílů. 

  5. Od roku 2020 se DDoS útoky proti webovým stránkám obětí také staly součástí "trojitého vydírání", které používají vysoce profilované ransomware gangy. Tato strategie kybernetického útoku kombinuje šifrování dat, krádež dat a DDoS útok. 

  6. Na dark webu existují služby DDoS na zakázku, které umožňují i nezkušeným aktérům, kteří mají peníze a motivaci, organizovat DDoS útok. 

Jste obětí DDoS útoku?

Nejčastěji DDoS útok zaznamenáte kvůli poklesu výkonu nebo nedostupnosti cílového systému či služby. V případě webových stránek můžete znamenat dlouhé načítání nebo nedostupnost jak u vašich zákazníků, tak uvnitř organizace. Mimo to existuje několik veřejně dostupných služeb, které se snaží DDoS útoky a výpadky nejznámějších online služeb monitorovat – například downforeveryoneorjustme.com nebo downdetector.com.

Denial of service (DoS) vs Distributed denial of service (DDoS)?

Rozdíl mezi DoS a DDoS útokem je dán počtem útočících zařízení. V případě DoS útoku používá útočník skript nebo nástroj, který vede útok z jednoho zařízení a soustředí se na jeden konkrétní server nebo koncové zařízení. Naproti tomu útoky DDoS vykonává rozsáhlá síť útočníkem ovládaných kompromitovaných zařízení (botnet), jejímž cílem je přetížení větších zařízení, aplikací či webových stránek a služeb či dokonce celých firemních sítí.

Další články k tématu

Slovník pojmů

Související odkazy

Antivirus pro domácnosti

Počítačové viry

Další pojmy