Co je DDoS útok a jaká je ochrana?

Útok DDoS je forma kybernetického útoku, při kterém se útočníci snaží narušit nebo poškodit webovou stránku, síť nebo jinou online službu tím, že ji přetíží velkým množstvím nevyžádaných požadavků, dokud nedojde k poklesu výkonu, omezení a následnému výpadku služby.

Reading time icon

7 minut čtení

Reading time icon

7 minut čtení

Zkratka DDoS znamená "Distributed Denial of Service" a vystihuje cíl útočníků i způsob provedení útoku. Cílem je odepřít nebo znepřístupnit nějakou službu legitimním uživatelům (=denial of service). Pod službou si můžeme představit webovou stránku, aplikaci nebo e-shop. Útok je prováděn přes síť infikovaných počítačů z celého světa, tzv. distribuovanou botnet síť (=distributed). Kvůli tomu nelze útok zneškodnit zablokováním jednoho konkrétního zařízení.

Proč se dělají DDoS útoky?

Motivů pro DDoS útoky je hned několik. Kyberzločinci podnikají útoky nejčastěji tzv. na objednávku, kdy vydělávají peníze na prodeji útoku jako služby. Touha útočníka přijít k penězům může mít i podobu vydírání, kdy útočník nutí cíl zaplatit výkupné výměnou za ukončení útoku a odblokování online služby nebo webové stránky. V některých případech stojí za útokem hacktivismus. Aktivisté v tomto případě chtějí bránit občanské nebo politické ideály a upozornit na jimi vnímanou nespravedlnost pomocí hackingu. V neposlední řadě může být za útokem nekalá konkurence, která chce zahlcením serveru poškodit firmu ze stejného oboru a získat na trhu konkurenční výhodu. 

Sofistikované hackerské skupiny používají DDoS útoky většinou jako kamufláž pro jiné, závažnější aktivity, jako je kybernetická špionáž či sabotáž. DDoS attack zde slouží jako prostředek k odvedení pozornosti. DDoS útok je v České republice kvalifikovaný jako trestný čin.

DDoS útok se snaží zahltit webový server




Jak probíhá DDoS útok?

Pachatelé vyžívají k útoku koordinovanou síť distribuovaných kompromitovaných zařízení (tzv. botnet síť tvořenou zombie počítači). S využitím řídících serverů (C&C = Command and Control) posílají přes botnet na dálku nevyžádané požadavky v řádu až terabitů za sekundu. Snaží se zaměřit pozornost na síťové prvky systémů, které jsou nezbytné k navázání internetového připojení (např. router) případně na webové stránky, servery či databáze, dokud se jim nepodaří systém přetížit.

3 typy DDoS útoků

Volumetrické útoky jsou jedním z nejstarších typů DDoS útoků. Využívají velké objemy provozu k zaplnění kapacity šířky pásma mezi sítí oběti a internetem nebo kapacity uvnitř sítě oběti. Největší volumetrické útoky se (v současnosti) měří v terabitech za sekundu (Tb/s), což odpovídá zhruba 9 tisícům průměrných internetových připojení. Například při útoku typu UDP (User Datagram Protocol) útočníci zahlcují cílový vzdálený server tím, že požadují informace od aplikace naslouchající na určitém portu. Server kontroluje každý takový požadavek anebo na něj odpovídá, přičemž nakonec vyčerpá šířku pásma a stane se nedostupným.

Protokolové útoky podle svého názvu zneužívají konstrukci komunikačního protokolu (např. TCP/IP) k vyčerpání zdrojů cílového systému. Jedním z příkladů protokolového útoku je SYN flood, který odesílá velké množství požadavků (tzv. paketů) na cílový server, ale odpovědi na tyto požadavky nechává bez povšimnutí, čímž neumožňuje uzavřít proces otevření spojení a udržuje tzv. "třícestný handshake" nedokončený. Když počet nedokončených spojení vyčerpá kapacitu serveru, stane se pro jiná legitimní spojení nedostupným. Protokolové útoky používají k dosažení cílů speciálně vytvořené pakety, a proto se měří v paketech za sekundu (PPS). Největší zaznamenané útoky dosahují stovek milionů paketů.

Útoky na aplikační vrstvě jsou zaměřeny na veřejně přístupné aplikace prostřednictvím velkého objemu podvrženého nebo falešného provozu. Příkladem útoku DDoS na aplikační vrstvě je HTTP flood, který zaplavuje konkrétní webový server jinak legitimními požadavky HTTP GET a HTTP POST. Přestože server může mít dostatečnou šířku pásma, je nucen zpracovávat velké množství falešných požadavků namísto jejich legitimních protějšků, čímž mu dojde kapacita zpracování. Útoky na aplikační vrstvě se měří v desítkách milionů požadavků za sekundu (RPS).

Denial of service (DoS) vs Distributed denial of service (DDoS) 

Rozdíl mezi DoS a DDoS útokem je dán počtem útočících zařízení. V případě DoS útoku používá útočník skript nebo nástroj, který vede útok z jednoho zařízení a soustředí se na jeden konkrétní server nebo koncové zařízení. Naproti tomu útoky DDoS vykonává rozsáhlá síť útočníkem ovládaných kompromitovaných zařízení (botnetová síť), jejímž cílem je přetížení větších zařízení, aplikací či webových stránek a služeb či dokonce celých firemních sítí.

Jste obětí DDoS útoku? 

Nejčastěji DDoS útok zaznamenáte kvůli poklesu výkonu nebo nedostupnosti cílového systému či služby. V případě webových stránek můžete znamenat dlouhé načítání nebo nedostupnost jak u vašich zákazníků, tak uvnitř organizace. Mimo to existuje několik veřejně dostupných služeb, které se snaží DDoS útoky a výpadky nejznámějších online služeb monitorovat – například downforeveryoneorjustme.com nebo downdetector.com.

Dozvědět se více

Útok DDoS můžete identifikovat pomocí monitorování a analýzy síťového provozu, které mohou odhalit falešné nebo nevyžádané požadavky, které přetěžují vaše firemní systémy. V některých případech vás na DDoS útok může upozornit zpráva od útočníka s žádostí o výkupné za vyřazení vaší organizace ze seznamu budoucích cílů nebo za zastavení probíhajícího útoku.

útoky DDoS mají za cíl finanční prospěch pro útočníka

7 důvodů, proč chránit firmu před DDoS útoky 

  1. Organizace, která jsou vystaveny DDoS útoku přicházejí o příjmy, protože jsou po určitou dobu nedostupné jejich webové stránky, služby a systémy. Navíc náklady na zmírnění dopadů incidentu dodatečně zatěžují rozpočet na zabezpečení.
  2. Podle expertů sledujících dění na DDoS scéně, počet incidentů během posledních 3 let prudce roste.
  3. DDoS útoky jsou každým rokem intenzivnější. Některé útoky jsou dokonce dostatečně silné na to, aby narušily globální služby. Zatímco v roce 2020 překonaly největší útoky (na síťové vrstvě) hranici 1 Tb/s, v roce 2021 se již několik významných incidentů pohybovalo v řádu 2-3 Tb/s. Při počítání požadavků za sekundu (RPS) nejméně dva útoky DDoS v roce 2021 (hlášené společnostmi Cloudflare a Yandex) překročily hranici 15 milionů RPS.

Další důvody

4. Organizace mohou pocítit důsledky útoku, i když nejsou jeho primárním cílem, zejména pokud útočníci naruší důležité části internetové infrastruktury nebo regionálního poskytovatele internetových služeb. V roce 2016 kyberzločinci zahltili servery významného poskytovatele DNS – společnost Dyn. V důsledku tohoto útoku byla poškozena řada známých online služeb, včetně Twitteru, Redditu, Netflixu a Spotify, které se staly nedostupnými.

5. Kyberzločinci používají samotnou hrozbu DDoS útokem k vydírání. Vyhrožují, že pokud jim nezaplatíte výkupné, použijí botnet síť k poškození vaší organizace. V tomto případě útočník nepotřebuje získat přístup do vaší sítě.

6. Od roku 2020 se útoky typu DDoS na webové stránky obětí staly součástí schématu "trojího vydírání", které je typické pro vysoce postavené ransomwarové gangy. Ke krádeži a šifrování dat přidávají útočníci DDoS útok.

7. Na dark webu existují DDoS služby za úplatu ("DDoS for hire"), které umožňují zrealizovat útok i méně zkušeným pachatelům, kteří mají peníze a motivaci k objednávce útoku na zakázku, například za účelem získání výhody nad konkurencí.

Jak se bránit před DDoS útoky?

DDoS útoky jsou zátěží pro organizace, které nemají dostatečně zabezpečený hardware, odladěný software a dostatečně velkou šířku pásma. Firewall sám o sobě k ochraně nestačí. Důležitou roli hraje i to, aby byl firemní web či e-shop správně naprogramován s minimem bezpečnostních chyb.

DDoS útokům se lze účinně bránit, i když jste malá nebo střední firma. Stačí podniknout následující kroky ke zvýšení vaší ochrany: 

  • Sledujte síťový provoz a naučte se v něm rozpoznat anomálie. Díky tomu odhalíte falešné požadavky, které zaplavují vaše systémy. Můžete je včas zablokovat a nedojde k narušení vašich systémů.
  • Připravte si plán obnovy po havárii pro případ, kdy útok vyřadí vaše webové stránky nebo systémy z provozu. Mějte připravené záložní servery, zálohy webových stránek a definované krizové komunikační kanály.
  • Zvažte přechod na cloudové řešení od důvěryhodného poskytovatele. Hrozbu sice zcela neodvrátíte, určitě ji ale omezíte na minimum. Velcí poskytovatelé cloudových řešení mají násobně větší šířku pásma a odolnou cloudovou infrastrukturu se záložními mechanismy pro případ nejrůznějších útoků.
  • Pokud jste již byli terčem útoku nebo cítíte, že jsou vaše služby v ohrožení, zvažte využití služeb, které nabízejí ochranu před DoS a DDoS útoky (často nazývané jako anti-DDoS řešení). Zmírníte tak dopad útoku či jej zcela eliminujete.
  • Chraňte vaše zařízení před zapojením do botnet sítě. Dbejte na dodržování kyberhygieny a instalujte včas veškeré systémové a bezpečnostní aktualizace. Zajistěte ochranu počítačů a mobilních zařízení s vícevrstvým bezpečnostním řešením.
  • Pokud vyvíjíte vlastní webovou aplikaci, službu nebo e-shop nebo provozujete síťovou infrastrukturu, ověřte si úroveň vašeho zabezpečení pomocí tzv. penetračních testů. Může je provést váš interní bezpečnostní tým nebo si můžete najmout specialisty na penetrační testování.

Ochrana proti DDoS útokům

Získejte účinnou ochranu a zmírněte rizika spojená s DDoS útoky. Vícevrstvé bezpečnostní řešení ESET pro koncové body využívá propracovanou technologii ochrany před síťovými útoky s pokročilým filtrováním a kontrolou paketů, které zabraňují narušení provozu.