Útok DDoS je forma kybernetického útoku, při kterém se útočníci snaží narušit nebo poškodit webovou stránku, síť nebo jinou online službu tím, že ji přetíží velkým množstvím nevyžádaných požadavků, dokud nedojde k poklesu výkonu, omezení a následnému výpadku služby.
Zkratka DDoS znamená "Distributed Denial of Service" a vystihuje cíl útočníků i způsob provedení útoku. Cílem je odepřít nebo znepřístupnit nějakou službu legitimním uživatelům (=denial of service). Pod službou si můžeme představit webovou stránku, aplikaci nebo e-shop. Útok je prováděn přes síť infikovaných počítačů z celého světa, tzv. distribuovanou botnet síť (=distributed). Kvůli tomu nelze útok zneškodnit zablokováním jednoho konkrétního zařízení.
Motivů pro DDoS útoky je hned několik. Kyberzločinci podnikají útoky nejčastěji tzv. na objednávku, kdy vydělávají peníze na prodeji útoku jako služby. Touha útočníka přijít k penězům může mít i podobu vydírání, kdy útočník nutí cíl zaplatit výkupné výměnou za ukončení útoku a odblokování online služby nebo webové stránky. V některých případech stojí za útokem hacktivismus. Aktivisté v tomto případě chtějí bránit občanské nebo politické ideály a upozornit na jimi vnímanou nespravedlnost pomocí hackingu. V neposlední řadě může být za útokem nekalá konkurence, která chce zahlcením serveru poškodit firmu ze stejného oboru a získat na trhu konkurenční výhodu.
Sofistikované hackerské skupiny používají DDoS útoky většinou jako kamufláž pro jiné, závažnější aktivity, jako je kybernetická špionáž či sabotáž. DDoS attack zde slouží jako prostředek k odvedení pozornosti. DDoS útok je v České republice kvalifikovaný jako trestný čin.
Pachatelé vyžívají k útoku koordinovanou síť distribuovaných kompromitovaných zařízení (tzv. botnet síť tvořenou zombie počítači). S využitím řídících serverů (C&C = Command and Control) posílají přes botnet na dálku nevyžádané požadavky v řádu až terabitů za sekundu. Snaží se zaměřit pozornost na síťové prvky systémů, které jsou nezbytné k navázání internetového připojení (např. router) případně na webové stránky, servery či databáze, dokud se jim nepodaří systém přetížit.
Volumetrické útoky jsou jedním z nejstarších typů DDoS útoků. Využívají velké objemy provozu k zaplnění kapacity šířky pásma mezi sítí oběti a internetem nebo kapacity uvnitř sítě oběti. Největší volumetrické útoky se (v současnosti) měří v terabitech za sekundu (Tb/s), což odpovídá zhruba 9 tisícům průměrných internetových připojení. Například při útoku typu UDP (User Datagram Protocol) útočníci zahlcují cílový vzdálený server tím, že požadují informace od aplikace naslouchající na určitém portu. Server kontroluje každý takový požadavek anebo na něj odpovídá, přičemž nakonec vyčerpá šířku pásma a stane se nedostupným.
Protokolové útoky podle svého názvu zneužívají konstrukci komunikačního protokolu (např. TCP/IP) k vyčerpání zdrojů cílového systému. Jedním z příkladů protokolového útoku je SYN flood, který odesílá velké množství požadavků (tzv. paketů) na cílový server, ale odpovědi na tyto požadavky nechává bez povšimnutí, čímž neumožňuje uzavřít proces otevření spojení a udržuje tzv. "třícestný handshake" nedokončený. Když počet nedokončených spojení vyčerpá kapacitu serveru, stane se pro jiná legitimní spojení nedostupným. Protokolové útoky používají k dosažení cílů speciálně vytvořené pakety, a proto se měří v paketech za sekundu (PPS). Největší zaznamenané útoky dosahují stovek milionů paketů.
Útoky na aplikační vrstvě jsou zaměřeny na veřejně přístupné aplikace prostřednictvím velkého objemu podvrženého nebo falešného provozu. Příkladem útoku DDoS na aplikační vrstvě je HTTP flood, který zaplavuje konkrétní webový server jinak legitimními požadavky HTTP GET a HTTP POST. Přestože server může mít dostatečnou šířku pásma, je nucen zpracovávat velké množství falešných požadavků namísto jejich legitimních protějšků, čímž mu dojde kapacita zpracování. Útoky na aplikační vrstvě se měří v desítkách milionů požadavků za sekundu (RPS).
Rozdíl mezi DoS a DDoS útokem je dán počtem útočících zařízení. V případě DoS útoku používá útočník skript nebo nástroj, který vede útok z jednoho zařízení a soustředí se na jeden konkrétní server nebo koncové zařízení. Naproti tomu útoky DDoS vykonává rozsáhlá síť útočníkem ovládaných kompromitovaných zařízení (botnetová síť), jejímž cílem je přetížení větších zařízení, aplikací či webových stránek a služeb či dokonce celých firemních sítí.
Nejčastěji DDoS útok zaznamenáte kvůli poklesu výkonu nebo nedostupnosti cílového systému či služby. V případě webových stránek můžete znamenat dlouhé načítání nebo nedostupnost jak u vašich zákazníků, tak uvnitř organizace. Mimo to existuje několik veřejně dostupných služeb, které se snaží DDoS útoky a výpadky nejznámějších online služeb monitorovat – například downforeveryoneorjustme.com nebo downdetector.com.
Útok DDoS můžete identifikovat pomocí monitorování a analýzy síťového provozu, které mohou odhalit falešné nebo nevyžádané požadavky, které přetěžují vaše firemní systémy. V některých případech vás na DDoS útok může upozornit zpráva od útočníka s žádostí o výkupné za vyřazení vaší organizace ze seznamu budoucích cílů nebo za zastavení probíhajícího útoku.
4. Organizace mohou pocítit důsledky útoku, i když nejsou jeho primárním cílem, zejména pokud útočníci naruší důležité části internetové infrastruktury nebo regionálního poskytovatele internetových služeb. V roce 2016 kyberzločinci zahltili servery významného poskytovatele DNS – společnost Dyn. V důsledku tohoto útoku byla poškozena řada známých online služeb, včetně Twitteru, Redditu, Netflixu a Spotify, které se staly nedostupnými.
5. Kyberzločinci používají samotnou hrozbu DDoS útokem k vydírání. Vyhrožují, že pokud jim nezaplatíte výkupné, použijí botnet síť k poškození vaší organizace. V tomto případě útočník nepotřebuje získat přístup do vaší sítě.
6. Od roku 2020 se útoky typu DDoS na webové stránky obětí staly součástí schématu "trojího vydírání", které je typické pro vysoce postavené ransomwarové gangy. Ke krádeži a šifrování dat přidávají útočníci DDoS útok.
7. Na dark webu existují DDoS služby za úplatu ("DDoS for hire"), které umožňují zrealizovat útok i méně zkušeným pachatelům, kteří mají peníze a motivaci k objednávce útoku na zakázku, například za účelem získání výhody nad konkurencí.
DDoS útoky jsou zátěží pro organizace, které nemají dostatečně zabezpečený hardware, odladěný software a dostatečně velkou šířku pásma. Firewall sám o sobě k ochraně nestačí. Důležitou roli hraje i to, aby byl firemní web či e-shop správně naprogramován s minimem bezpečnostních chyb.
DDoS útokům se lze účinně bránit, i když jste malá nebo střední firma. Stačí podniknout následující kroky ke zvýšení vaší ochrany:
Získejte účinnou ochranu a zmírněte rizika spojená s DDoS útoky. Vícevrstvé bezpečnostní řešení ESET pro koncové body využívá propracovanou technologii ochrany před síťovými útoky s pokročilým filtrováním a kontrolou paketů, které zabraňují narušení provozu.
