Útok DDoS je typ kybernetického útoku, pri ktorom sa páchatelia snažia narušiť alebo znefunkčniť webovú stránku, sieť či inú online službu tým, že ju preťažia veľkým množstvom falošných alebo nevyžiadaných požiadaviek.
Existuje niekoľko dôvodov, pre ktoré dochádza k útokom DDoS. Kybernetickí zločinci zvyčajne vidia motiváciu v zárobku z predaja útokov DDoS, ktoré ponúkajú ako službu, ale aj vo vydieraní potenciálnych cieľov so zámerom vymáhať výkupné, v hacktivizme či získaní konkurenčnej výhody.
Je známe, že sofistikované zločinecké skupiny používajú útoky DDoS väčšinou ako súčasť iných, závažnejších aktivít, ako sú kybernetická špionáž a kybernetická sabotáž, alebo ako prostriedok na odvrátenie pozornosti od nich.
Páchatelia útokov DDoS využívajú siete distribuovaných a kompromitovaných zariadení s cieľom narušiť fungovanie vybraných systémov tým, že útočné aktivity zamerajú na jeden alebo viacero komponentov potrebných na nadviazanie spojenia (pozri model OSI) so zdrojom siete.
Volumetrické útoky sú jedným z najstarších typov útokov DDoS. Využívajú veľké prenosové objemy na zaplnenie kapacity šírky pásma medzi sieťou obete a internetom, prípadne v rámci samotnej siete obete. Najväčšie volumetrické útoky sa (v súčasnosti) merajú v terabajtoch za sekundu (Tb/s), čo zodpovedá zhruba 9 000 priemerným internetovým pripojeniam. Napríklad počas útoku nazývaného UDP flood (prostredníctvom používateľského datagramového protokolu) útočníci preťažia cieľový vzdialený server vyžiadaním informácií od aplikácie počúvajúcej na konkrétnom porte. Server skontroluje a/alebo zareaguje na každú takúto požiadavku, čím vyčerpá kapacitu šírky pásma a stane sa nedostupným.
Protokolové útoky. Ako už napovedá samotný názov, protokolové útoky zneužívajú dizajn základného komunikačného protokolu (3. a 4. vrstvu modelu OSI) na vyčerpanie zdrojov cieľového systému. Jedným z príkladov protokolového útoku je záplava SYN (SYN flood), ktorá cieľový server zahltí veľkým množstvom špecifických požiadaviek, avšak odpovede na tieto požiadavky ďalej nie sú spracované a nedôjde tak k dokončeniu tzv. trojcestnej výmeny (three way handshake). Keď počet nedokončených spojení vyčerpá kapacitu servera, legitímne spojenia už nie sú možné. Protokolové útoky využívajú na dosiahnutie svojich škodlivých cieľov špeciálne vytvorené pakety a merajú sa preto v paketoch za sekundu (PPS). Najrozsiahlejšie zaznamenané útoky sa vyšplhali na stovky miliónov paketov.
Útoky na aplikačnej vrstve (7. vrstve modelu OSI) sú cielené na verejne dostupné aplikácie prostredníctvom veľkého množstva podvrhnutých alebo falošných požiadaviek. Príkladom tohto typu útoku je záplava HTTP (HTTP flood), ktorá zahltí konkrétny webový server zasielaním inak legitímnych požiadaviek HTTP GET a HTTP POST. Hoci má server dostatočnú šírku pásma, je nútený spracovávať veľké množstvo falošných požiadaviek namiesto tých legitímnych, čím sa vyčerpá jeho kapacita spracúvania. Útoky na aplikačnej vrstve sa merajú v desiatkach miliónov požiadaviek za sekundu (RPS).
4. Firmy ani nemusia byť primárnym cieľom, aby pocítili negatívny vplyv útoku DDoS, najmä ak dôjde k narušeniu dôležitých článkov internetovej infraštruktúry, ako sú miestni či regionálni poskytovatelia internetových služieb. V roku 2016 útočníci svojimi požiadavkami zaplavili servery popredného poskytovateľa DNS s názvom Dyn. V dôsledku tohto útoku zostali nedostupné aj iné známe online služby, ako napríklad Twitter, Reddit, Netflix či Spotify.
5. Niektorí kybernetickí útočníci sa vyhrážajú, že ak nedostanú zaplatené, použijú proti danej firme na útok DDoS svoje botnety. Ide o tzv. ransomvérové útoky DDoS, pri ktorých útočník požaduje výkupné, ale nepotrebuje získať prístup k sieťam svojich cieľov.
6. Od roku 2020 sa útoky DDoS na webové stránky obetí pridali ku krádeži a šifrovaniu údajov a stali sa tak súčasťou schémy trojitého vydierania, ktorú využívajú významné ransomvérové gangy.
7. Na dark webe je možné si za útoky DDoS zaplatiť. Môžu ich tak zorganizovať aj neskúsení útočníci, ktorí majú peniaze a motiváciu a chcú napríklad získať výhodu nad konkurenciou.
Ako už názov napovedá, rozdiel medzi týmito typmi útokov je najmä v počte útočiacich zariadení. Útok DoS zvyčajne využíva skript alebo nástroj, vzniká na jednom zariadení a zameriava sa na jeden konkrétny server alebo koncový bod. V porovnaní s ním sú útoky DDoS vykonávané prostredníctvom veľkej siete kompromitovaných zariadení riadených útočníkom a známych aj ako botnet, pričom môžu byť použité na preťaženie vybraných zariadení, aplikácií, webových stránok, služieb alebo dokonca celých sietí obetí.
Najočividnejším znakom útoku DDoS je slabý výkon alebo nedostupnosť cieľového systému či služby. V prípade webovej stránky si používatelia môžu všimnúť, že jej načítavanie trvá príliš dlho alebo je úplne nedostupná pre ľudí vo firme aj mimo nej. Existujú tiež verejne dostupné služby monitorujúce útoky DDoS, ako je downforeveryoneorjustme.com alebo downdetector.com.
Útok DDoS možno odhaliť aj prostredníctvom monitorovania a analýzy sieťovej komunikácie, ktorá identifikuje falošné a nevyžiadané požiadavky preťažujúce jeden alebo viacero firemných systémov. V niektorých prípadoch poukazujú na možný alebo prebiehajúci útok DDoS aj vydieračské správy. Útočníci v nich požadujú výkupné výmenou za to, že zastavia prebiehajúci útok na vašu firmu alebo ju vyradia zo zoznamu budúcich cieľov.
4. Firmy ani nemusia byť primárnym cieľom, aby pocítili negatívny vplyv útoku DDoS, najmä ak dôjde k narušeniu dôležitých článkov internetovej infraštruktúry, ako sú miestni či regionálni poskytovatelia internetových služieb. V roku 2016 útočníci svojimi požiadavkami zaplavili servery popredného poskytovateľa DNS s názvom Dyn. V dôsledku tohto útoku zostali nedostupné aj iné známe online služby, ako napríklad Twitter, Reddit, Netflix či Spotify.
5. Niektorí kybernetickí útočníci sa vyhrážajú, že ak nedostanú zaplatené, použijú proti danej firme na útok DDoS svoje botnety. Ide o tzv. ransomvérové útoky DDoS, pri ktorých útočník požaduje výkupné, ale nepotrebuje získať prístup k sieťam svojich cieľov.
6. Od roku 2020 sa útoky DDoS na webové stránky obetí pridali ku krádeži a šifrovaniu údajov a stali sa tak súčasťou schémy trojitého vydierania, ktorú využívajú významné ransomvérové gangy.
7. Na dark webe je možné si za útoky DDoS zaplatiť. Môžu ich tak zorganizovať aj neskúsení útočníci, ktorí majú peniaze a motiváciu a chcú napríklad získať výhodu nad konkurenciou.
Pre organizácie, ktoré nemajú správne zdroje, napríklad hardvér alebo dostatočnú šírku pásma, môže byť ťažké zmierniť útoky DDoS. Existujú však kroky, ktoré pre zvýšenie svojej ochrany môžu podniknúť aj malé a stredné firmy:
Získajte účinnú ochranu schopnú zmierniť riziká spojené s útokmi DDoS. Všetky viacvrstvové bezpečnostné riešenia ESET pre koncové zariadenia využívajú sofistikovanú technológiu na ochranu pred sieťovými útokmi s funkciami pokročilého filtrovania a kontroly paketov, vďaka ktorým možno predchádzať narušeniam prevádzky.
