DDoS útok

Co je DDoS útok?

Útok DDoS je forma kybernetického útoku, při kterém se útočníci snaží narušit nebo poškodit webovou stránku, síť nebo jinou online službu tím, že ji přetíží velkým množstvím falešných nebo nevyžádaných požadavků, dokud nedojde k poklesu výkonu, omezení nebo výpadku služby.

Zkratka DDoS znamená „Distributed Denial of Service“ a vystihuje cíl útočníků i způsob provedení útoku. Cílem je odepřít nebo znepřístupnit nějakou službu legitimním uživatelům (=denial of service). Pod službou si můžeme představit webovou stránku, aplikaci nebo e-shop. Útok je prováděn přes síť infikovaných počítačů („zombie“) z celého světa, tzv. distribuovanou botnet síť (=distributed). Kvůli tomu nelze útok zneškodnit zablokováním jednoho konkrétního zařízení.

Proč se dělají DDoS útoky?

Motivů pro DDoS útoky je hned několik. Kyberzločinci podnikají útoky nejčastěji tzv. na objednávku, kdy vydělávají peníze na prodeji útoku jako služby.

Touha útočníka přijít k penězům může mít i podobu vydírání, kdy útočník nutí cíl zaplatit výkupné výměnou za ukončení útoku a odblokování online služby nebo webové stránky.

V některých případech stojí za útokem hacktivismus. Aktivisté v tomto případě chtějí bránit občanské nebo politické ideály a upozornit na jimi vnímanou nespravedlnost pomocí hackingu.

V neposlední řadě může být za útokem nekalá konkurence, která chce zahlcením serveru poškodit firmu ze stejného oboru a získat na trhu konkurenční výhodu, případně pomsta bývalého zaměstnance firmy.

Sofistikované hackerské skupiny používají DDoS útoky většinou jako kamufláž pro jiné, závažnější aktivity, jako je kybernetická špionáž či sabotáž. DDoS útok zde slouží jako prostředek k odvedení pozornosti.

V posledním případě mohou být DDoS útoky také zábavou, ale nutno připomenout, že v České republice jsou útoky typu DoS a DDoS postihovány podle trestního zákoníku (§ 230 Neoprávněný přístup k počítačovému systému a neoprávněný zásah do počítačového systému nebo nosiče informací).

Jak probíhá DDoS útok?

Pachatelé vyžívají k útoku koordinovanou síť distribuovaných kompromitovaných zařízení (tzv. botnet síť tvořenou zombie počítači). S využitím řídících serverů (C&C = Command and Control) posílají přes botnet na dálku nevyžádané požadavky v řádu až terabitů za sekundu. Snaží se zaměřit pozornost na síťové prvky systémů, které jsou nezbytné k navázání internetového připojení (např. router) případně na webové stránky, servery či databáze, dokud se jim nepodaří systém přetížit.

Volumetrické útoky jsou jedním z nejstarších typů DDoS útoků. Využívají velké objemy provozu k zaplnění kapacity šířky pásma mezi sítí oběti a internetem nebo kapacity uvnitř sítě oběti. Největší volumetrické útoky se (v současnosti) měří v terabitech za sekundu (Tbit/s), což odpovídá zhruba 9 tisícům průměrných internetových připojení. Například při útoku typu UDP (User Datagram Protocol) útočníci zahlcují cílový vzdálený server tím, že požadují informace od aplikace naslouchající na určitém portu. Server kontroluje každý takový požadavek anebo na něj odpovídá, přičemž nakonec vyčerpá šířku pásma a stane se nedostupným.
Protokolové útoky podle svého názvu zneužívají konstrukci komunikačního protokolu (např. TCP/IP) k vyčerpání zdrojů cílového systému. Jedním z příkladů protokolového útoku je SYN flood, který odesílá velké množství požadavků (tzv. paketů) na cílový server, ale odpovědi na tyto požadavky nechává bez povšimnutí, čímž neumožňuje uzavřít proces otevření spojení a udržuje tzv. „třícestný handshake“ nedokončený. Když počet nedokončených spojení vyčerpá kapacitu serveru, stane se pro jiná legitimní spojení nedostupným. Protokolové útoky používají k dosažení cílů speciálně vytvořené pakety, a proto se měří v paketech za sekundu (PPS). Největší zaznamenané útoky dosahují stovek milionů paketů.
Útoky na aplikační vrstvě jsou zaměřeny na veřejně přístupné aplikace prostřednictvím velkého objemu podvrženého nebo falešného provozu. Příkladem útoku DDoS na aplikační vrstvě je HTTP flood, který zaplavuje konkrétní webový server jinak legitimními požadavky HTTP GET a HTTP POST. Přestože server může mít dostatečnou šířku pásma, je nucen zpracovávat velké množství falešných požadavků namísto jejich legitimních protějšků, čímž mu dojde kapacita zpracování. Útoky na aplikační vrstvě se měří v desítkách milionů požadavků za sekundu (RPS).

Denial of service (DoS) vs Distributed denial of service (DDoS)?

Rozdíl mezi DoS a DDoS útokem je dán počtem útočících zařízení. V případě DoS útoku používá útočník skript nebo nástroj, který vede útok z jednoho zařízení a soustředí se na jeden konkrétní server nebo koncové zařízení. Naproti tomu útoky DDoS vykonává rozsáhlá síť útočníkem ovládaných kompromitovaných zařízení (botnet), jejímž cílem je přetížení větších zařízení, aplikací či webových stránek a služeb či dokonce celých firemních sítí.

Jste obětí DDoS útoku?

Nejčastěji DDoS útok zaznamenáte kvůli poklesu výkonu nebo nedostupnosti cílového systému či služby. V případě webových stránek můžete znamenat dlouhé načítání nebo nedostupnost jak u vašich zákazníků, tak uvnitř organizace. Mimo to existuje několik veřejně dostupných služeb, které se snaží DDoS útoky a výpadky nejznámějších online služeb monitorovat – například downforeveryoneorjustme.com nebo downdetector.com.

Útok DDoS můžete identifikovat pomocí monitorování a analýzy síťového provozu, které mohou odhalit falešné nebo nevyžádané požadavky, které přetěžují vaše firemní systémy. V některých případech vás na DDoS útok může upozornit zpráva od útočníka s žádostí o výkupné za vyřazení vaší organizace ze seznamu budoucích cílů nebo za zastavení probíhajícího útoku.