Jednou z velmi častých metod kybernetických útočníků je v současnosti tzv. DDoS útok – zahlcení vašeho systému požadavky do té míry, že celá napadená stránka či služba selže. DDoS je každodenní realitou kybernetického světa a může vás stát nejen peníze, ale také reputaci. Na následujících řádcích se tak dozvíte, jak vlastně tento druh útoku funguje a jak se mu lze bránit.
Co znamená pojem „DDoS útok“?
Zkratka DDoS skrývá anglické spojení Distributed Denial of Service (volně přeloženo „Distribuované odepření služby“), kterým označujeme koordinovaný elektronický útok na internetové služby či stránky. Cílem tohoto útoku ovšem není do systému proniknout a odcizit či zašifrovat data, nýbrž znepřístupnit daný systém ostatním uživatelům. Slovo „distribuovaný“ pak referuje k faktu, že na danou službu útočí více zařízení najednou a útok tak nelze zastavit prostým zablokováním jednoho vektoru útoku.
V praxi útočníci využívají tzv. botnety, neboli síť počítačů a zařízení, nad kterými získali kontrolu a mohou jejich výpočetní kapacitu využít pro své účely. V některých případech se ale uživatelé počítačů do DDoS útoků zapojují zcela dobrovolně – zde je známý například open-source nástroj High Orbit Ion Cannon, který v minulosti pro DDoS zneužila mimo jiné i hacktivistická skupina Anonymous. Dostupnost takových nástrojů na internetu pak účast na DDoS útocích velice usnadňuje i uživatelům s nižší úrovní IT schopností.
TIP: DDoS není zdaleka jediným kybernetickým bezpečnostním incidentem. Přečtěte si o tom, jaké druhy incidentů známe a jaké mohou mít dopady
Jak DDoS útok probíhá?
Prostřednictvím tzv. řídících serverů útočníci vydají napojeným zařízením pokyn zasílat na cílovou službu obří objemy požadavků. Ve výsledku tak napadený systém čelí ekvivalentu několika tisíců připojení naráz, kdy objem příchozích dat může dosahovat i několika terabitů za vteřinu (Tbps). Například v roce 2024 zachytila společnost Cloudflare útok označovaný za doposud největší svého druhu, jehož objem dosáhl hodnoty 5,6 Tbps. Požadavky následně napadenou službu či stránku zahltí natolik, že dojde k přetížení či úplné havárii systému.
Zdaleka ne všechny útoky ale mají takovou intenzitu. V reakci na vývoj nástrojů schopných masivním napadením čelit (viz níže) začali útočníci používat taktiku menších a rychlých útoků o objemu do 1 gigabitu za vteřinu (Gbps). Tato napadení se nejen výrazně obtížněji odhalují, ale také mohou posloužit jako kamufláž pro jiné kybernetické útoky.
Jaké mají útočníci k DDoS důvody?
Motivů k DDoS může být celá řada, nejčastěji se ale jedná o následující důvody:
- Finanční zisk: některé skupiny kyberzločinců nabízí DDoS útoky jako službu, na níž následně vydělávají nemalé peníze.
- Kyberterorismus: jak již bylo zmíněno výše, DDoS útoky mohou sloužit k zamaskování jiného kybernetického napadení, ať už jde o ransomware, vložení škodlivého kódu nebo destruktivní úder.
- Konkurenční boj: samotné vyřazení cílové služby může být nástrojem nekalé konkurence se poškodit či vyřadit své konkurenty.
- Pomsta: již byly zaznamenány také případy, kdy za útokem stál bývalý zaměstnanec dané firmy, případně nespokojený zákazník.
- Politické cíle: DDoS je v současnosti stále častěji nasazován jako nástroj geopolitického boje mezi zájmovými skupinami či celými státy. Například Rusko bylo v roce 2022 obviněno z DDoS útoku cíleného na ukrajinský finanční sektor. V říjnu 2024 pak skupina SN_BLACKMETA zaútočila na digitální knihovnu Internet Archive a svůj čin odůvodnila bojem proti vlivu Spojených států ve světě.
Jaké známe typy DDoS útoků?
Historicky nejstarším typem jsou tzv. volumetrické útoky spoléhající na velký objem odesílaných dat. Právě tento druh útoku je asi nejznámějším a nejvíce odpovídá obecné definici DDoS. Cílem je zde přetížení pásma sítě mezi útočníkem a obětí, případně překročení kapacity cílové sítě.
Oproti tomu útoky na aplikační vrstvě cílí na konkrétní aplikace, na které odesílají velké množství simulovaného provozu – příkladem takového útoku je například tzv. HTTP flood zahlcující konkrétní server HTTP požadavky. Server tak může být zaplacen až desítkami milionů požadavků za vteřinu, což rychle vyčerpá jeho kapacitu a výpočetní výkon.
Třetí obecnou kategorií DDoS útoků pak jsou tzv. protokolové útoky zneužívající fungování komunikačních protokolů (např. TCP/IP). Útočící zařízení zde opakovaně odesílá desítky až stovky milionů paketů za vteřinu a zahlcuje tak cílový server požadavky na spojení. To ale není nikdy navázáno a narůstá tak počet nedokončených spojení. Když pak tento počet překročí kapacitu serveru, daný server se stane nedostupným.
Co DDoS útok znamená pro oběť?
- Ztráta příjmů: každá hodina nečinnosti vaší služby nebo stránky znamená stále narůstající ztrátu příjmů, která se může vyšplhat až do milionů korun.
- Ztráta produktivity: nedostupnost vašich služeb a stránek omezuje i vaše zaměstnance, kteří pak nemohou normálně pracovat, případně mají práci ztíženou. I zde následně vznikají finanční ztráty dané sníženou produktivitou.
- Vysoké náklady: kromě finančních ztrát je třeba mít na paměti také zvýšené náklady na nápravu škod, obnovu služeb a v případě destruktivních útoků i nákup nového hardware.
- Ztráta dobrého jména: nedostupnost vašich služeb vás v očích zákazníků silně poškodí a naruší důvěru ve vás. To vám může způsobit ještě větší finanční ztráty než samotný útok.
Jak se můžu DDoS útokům bránit?
Nasazení ochranných systémů
Prevence a ochrana před DDoS útoky vyžaduje kombinaci technických řešení, procesů a osvěty. Mezi základní kroky patří implementace moderních bezpečnostních systémů. Jedná se zejména kvalitní firewall a tzv. systémy prevence průniků (IPS). Druhá jmenovaná řešení jsou schopna identifikovat a blokovat podezřelý provoz ještě před dosažením vaší infrastruktury, čímž zabraňují zahlcení systémů.
Monitoring a konfigurace sítě
Pravidelné monitorování a analýza síťového provozu jsou nezbytné pro odhalení anomálií naznačujících probíhající útok, např. pomocí XDR. Nástroje pro správu bezpečnostních informací a událostí (SIEM) zde poskytují včasná varování prostřednictvím analytických pravidel, která umožňují na hrozby včas reagovat. Ve zmírnění následků pak pomohou systémy pro tzv. rate limiting omezující síťový provozu během daného časového úseku. Samozřejmostí jsou i pravidelné aktualizace chránící vás před bezpečnostními mezerami.
Governance
I ten nejlepší systém na světě je k ničemu bez governance. Na zabezpečovací systémy je proto třeba mít navázány i odpovídající procesy uvnitř firmy. Jedná se zejména o plán reakce na útok, v němž členového vašeho týmu naleznou jasně rozdělené role a postupy pro případ odhalení DDoS útoku, případně i následný DRP (disaster recovery plan) pro obnovu provozu.
TIP: Přečtěte si více o roli vzdělání zaměstnanců v kyberbezpečnosti
Využití specializovaných ochranných služeb
Účinným způsobem ochrany jsou také externí služby zaměřených na zmírnění následků DDoS útoků. Příkladem mohou být tzv. scrubbing centra, která škodlivý provoz filtrují a umožňují tak průchod legitimním datům. Díky strojovému učení se systém stává průběžně efektivnější, neboť jelikož blokuje data z podezřelých zdrojů při zachování funkčnosti běžného provozu. Možností jsou také cloudové platformy schopné útok rozptýlit mezi velké množství serverů po celém světě a účinně jej tak otupit.
Seyfor jako váš partner v boji proti kyberhrozbám
Máte i vy obavy o bezpečnost vaší firemní infrastruktury? Obraťte se na odborníky Seyforu; pomůžeme vám nejen s analýzou rizik, ale také s implementací komplexních řešení. Kontaktujte nás a získejte komplexní ochranu vašeho podnikání nejen před DDoS útoky.
Více o kybernetické bezpečnosti od Seyforu