Víte, v čem spočívá DDoS útok a jaký je rozdíl mezi DDoS a DoS? Pokud máte vlastní web nebo e-shop, určitě čtěte dál!
DoS útok – co to je?
DoS je zkratkou pro Denial of Service, v překladu odepření služby, což je cílem tohoto kybernetického útoku. Napadená služba v tomto případě může být jakákoliv webová stránka nebo aplikace, ale i celá firemní síť.
Tento útok je „jednodušší verze“ DDoS. Spočívá v tom, že útočník použije jedno zařízení k útokům na jiné zařízení tak, aby přestalo řádně fungovat.
Příklad
Pokud se vám to zdá příliš abstraktní, představte si třeba web katastru nemovitostí. Pokud využijete jedno zařízení, například svůj počítač, ze kterého díky speciálně vyvinutému programu vyšlete za sekundu desítky až stovky požadavků na vyhledání nemovitostí, co udělá server, na kterém katastr běží? Přestane být schopen tyto požadavky vyřizovat kvůli úplnému zahlcení paměti a výpočetního výkonu.
Výsledkem může být pomalé načítání služby nebo její úplné „spadnutí“. Na mohutnosti útoku záleží, zda toto omezení bude trvat několik minut, hodin, dnů nebo i déle. Pokud máte například vlastní e-shop, asi už vám začínají blikat kontrolky.
Co je DDoS útok?
Při DDoS útoku je cíl útoku stejný jako u DoS, liší se však způsobem jeho realizace. Jak už napovídá význam této zkratky – Distributed Denial of Service (v překladu distribuované odepření služby), útočník se v prvním kroku nezaměřuje přímo na zařízení oběti. Nejprve si postupně vytváří „armádu“ počítačů, která mu následně poslouží k samotnému útoku.
Jak? Útočník si vytipuje jiná zařízení (nejčastěji počítače propojené internetem nebo různá IoT zařízení, která známe i pod pojmem chytrá zařízení připojená k internetu), která z řídicího serveru nakazí virem a udělá z nich tzv. boty nebo zombie zařízení.
Jak je nakazí? Způsobů je mnoho. Jedním z nich může být klasický phishing, o kterém si u nás můžete přečíst v některém ze starších článků.
Takto infikovaným zombíkům útočník následně rozesílá příkazy, co mají dělat. Příkazy spočívají právě v útocích na cílové zařízení přímo z těchto infikovaných počítačů, a to dokonce až v objemu 5,6 Tbps (terabitů za sekundu). Takto se vyšle nadměrný počet požadavků na cílové zařízení ne z jednoho počítače, ale z celé sítě, která tvoří tzv. botnet (síť infikovaných „zombie“ počítačů).
Takový botnet je možné si na dark webu i běžně pronajmout, a to za relativně nízké ceny.
Příklad
Většina HTTP DDoS útoků v roce 2024 (73 %) byla uskutečněna ze známých botnetů (zdroj: cloudflare.com).
Představme si to jako 100 hackerů, kteří sedí za svými počítači na různých místech, ve stejném čase se koordinují a vysílají požadavky na cílové zařízení, aby ochromili jeho činnost. Jenže tito hackeři nejsou živí, ale nahrazuje je síť počítačů řízených z jednoho centra.
Ve výsledku to máme jako dálnici, kterou ucpalo množství aut z různých směrů. A lidé, kteří se potřebují dostat do práce, nemohou projet. V případě DDoS útoku je cesta ucpaná záměrně.
Co potřebuje útočník?
- Vlastní zařízení (řídicí server nebo tzv. Command and Control server = C&C server)
- Počítačový virus k postupnému ovládnutí jiných zařízení
- Zařízení připojená k internetu, která vytvoří botnet (zombie síť)
Následně stačí spustit počítačový virus na dálku k infikování ostatních zařízení a zombie síť může zaútočit na cílové zařízení ze všech směrů.
Útočníci často při DDoS útocích používají i IP spoofing, tzn. zatajení své skutečné IP adresy, případně IP adres útočících botů, a její nahrazení jinou. Může jít o zcela fiktivní IP adresu nebo skutečnou IP adresu někoho jiného, případně i samotného napadeného zařízení.
DDoS může být zaměřen i na zastřešující službu. Například si útočníci mohou vybrat za cíl systém poskytovatele internetu nebo doménových jmen (DNS server) a „vyřadit“ tak naráz několik systémů. V takovém případě jde skutečně o typ útoku, kdy s menším (či větším) úsilím, v závislosti na jeho šikovnosti, útočník dosáhne následků velkého rozsahu a způsobí doslova chaos na internetu.
Příklad
V roce 2016 došlo k masivnímu útoku na významného poskytovatele DNS, jako klíčový prvek pro síťovou infrastrukturu více velkých společností jako Netflix, PayPal, Visa, Amazon a The New York Times. Díky postupnému vytvoření masivního botnetu, včetně zařízení IoT (internetu věcí), hackeři uskutečnili v té době největší zaznamenaný DDoS útok. Dostupnost všech služeb se však podařilo do konce téhož dne obnovit.
Podle zveřejněných zdrojů jsou DDoS útoky neustále na vzestupu. Jen v první polovině roku 2024 bylo zaznamenáno zhruba 8 milionů DDoS útoků (zdroj: cm-alliance.com).
V loňském roce pocházelo nejvíce útoků ze zemí jako Indonésie, Hongkong, Singapur a Ukrajina (zdroj: cybernews.com).
Pokud vás zajímá, jak vypadají vizuálně zobrazené útoky, podívejte se na živé mapy kybernetických útoků, např. na digitalattackmap nebo cybermap od Kaspersky.
Proč si útočníci vybírají DDoS?
Možná si při čtení těchto řádků říkáte: co z toho útočník má? Není to časově ani finančně nenáročné, tak proč se do toho pouští?
Představte si, že vlastníte firmu, třeba kurýrní službu, která kvůli DDoS útoku nefunguje tři dny. Nebo máte e-shop se zdravou výživou, ale zákazníci se na něj týden nemohou dostat. Mezitím vám zboží leží skladem. A co kdyby DDoS cílil na katastr nemovitostí nebo zdravotní pojišťovnu?
Výsledek? Kromě finanční ztráty a poškozené reputace přicházíte o zákazníky, kteří přejdou ke konkurenci, protože ta stále funguje.
Co nejčastěji motivuje útočníky?
- Konkurence – Ano, správně, asi vás už napadlo, že takový útok si může objednat konkurence. Tedy útočník to dělá ze zištných důvodů a svůj útok prodává jako určitý typ „služby“ pro své „zákazníky“.
- Vydírání – Zištným důvodem může být motivováno i vydírání takového podnikatele samotným útočníkem – „Pokud chceš, aby tvůj systém znovu fungoval, zaplať a útok skončí“ nebo „Zaplať a tobě se to nestane“ (tzv. DDoS Ransom Attacks).
- Hacktivismus – Dalším důvodem může být i přesvědčení, že hacker „bojuje se zlem“. Pokud se mu podnikání jeho oběti nelíbí, může se tímto způsobem jako aktivista snažit poukázat na jeho praktiky a zbavit svět na chvíli jeho škodlivé online přítomnosti.
- Krytí jiných aktivit – Jinými důvody může být zakrytí jiných svých činů, tedy staré známé odvedení pozornosti. Díky tomu se všichni věnují nedostupnosti státní online služby nebo velké firemní sítě a na pozadí zatím nepozorovaně probíhá něco jiného. Necháváme na vaší fantazii, jak by se tento přístup dal využít v praxi.
- Kyberterorismus – Dalšími důvody bývají demonstrace schopností mezi hackery, osobní pomsta, kyberterorismus (zastrašování veřejnosti) apod.
Příklad
Jeden náš známý se stal obětí (D)DoS útoku v podobě zahlcení jeho e-mailové schránky obrovským množstvím doručovaných e-mailů za sekundu. Tím došlo k úplnému znefunkčnění jeho e-mailu a známý neměl tušení, zda mu přišlo jakékoliv upozornění od PayPalu. Zatímco se on „bavil“ s nefunkční schránkou, útočníci si mezitím převedli všechny jeho peníze z jeho PayPal účtu.
V roce 2021 byl napaden ruský technologický gigant Yandex. DDoS útok trval více než měsíc a dosáhl síly až 22 milionů požadavků za sekundu. Překvapivě při tomto útoku nedošlo k narušení služeb ani k úniku žádných osobních údajů.
Jak rozpoznat DDoS útok?
Cílové zařízení je naprogramováno k vyřizování požadavků, které přicházejí od návštěvníků webu nebo uživatelů aplikace. Tím, že útočící zombie síť je tvořena normálními, běžnými zařízeními, která například i nyní držíte v ruce, je těžké takové útoky rozpoznat a odmítnout.
Prvním varovným signálem je zpomalení načítání nebo reakcí webu či systému pro zákazníky nebo zaměstnance ve firmě, nebo jejich úplná nedostupnost.
Problémy s dostupností veřejných služeb monitoruje několik stránek. Pokud chcete vědět, jaké problémy jsou hlášeny se službami v Česku, můžete si otevřít například český downdetector. Pokud chcete zjistit, zda konkrétní web nefunguje jen vám (problém je u vás) nebo všem (problém je na webu), zadejte adresu webu například sem (výsledky v angličtině).
Protože zpomalené reakce mohou být výsledkem i běžných problémů, je důležité pátrat dál. Nejčastěji bude potřeba podívat se do systému a provést analýzu příchozích dotazů, která prokáže, zda jde o legitimní návštěvy nebo falešné požadavky botů.
Při analýze zvýšené návštěvnosti pomohou například tyto znaky:
- Zvýšený počet dotazů v neobvyklém čase (mimo klasickou špičku).
- Dotazy mají přibližně stejný profil (stejný typ zařízení, prohlížeče, operačního systému, geolokace, stejnou IP adresu nebo rozsah IP adres atd.).
- Dotazy směřují na tu stejnou funkcionalitu webu nebo podstránku apod.
Pokud máte podezření, že může na vašem webu nebo systému probíhat DDoS, obraťte se co nejdříve na zkušeného IT experta nebo nás ihned kontaktujte, pokud máte hosting u nás.
Jak se chránit proti DDoS útoku?
Jak jsme uvedli, pokud máte podezření na již probíhající útok, co nejdříve situaci řešte s odborníkem.
Jelikož prevence je lepší než léčba, podívejme se na standardní opatření ochrany proti této kybernetické hrozbě:
- Mějte přehled o trendech v provozu svého webu, tedy kdy je standardně nízký provoz a kdy vysoký, také počítejte se zvýšeným provozem během sezónních akcí nebo marketingových kampaní.
- Pravidelně monitorujte svou infrastrukturu, abyste mohli včas rozpoznat neobvyklé chování, rozlišit mezi náhlým zvýšeným zájmem vašich zákazníků a DDoS útokem a včas mu zabránit.
- Mějte předem připravené postupy při podezření na DDoS a plán obnovy, pokud k němu dojde (včetně kvalitních a dobře chráněných záloh).
- Pravidelně aktualizujte software na všech svých zařízeních a přijímejte všechna ostatní standardní bezpečnostní opatření, aby se váš počítač nestal součástí botnetu.
- Pokud vaše infrastruktura není dostatečně robustní nebo nemáte dostatek financí na zajištění její odolnosti, prozkoumejte dostupné nabídky cloudových řešení.
- Pokud máte hosting u nás a máte podezření na DDoS útok, ihned nás kontaktujte a společně to vyřešíme.
Jak vás proti DDoS chrání Websupport?
U nás ve Websupportu jsme na DDoS útoky dlouhodobě dobře připraveni.
Vše potřebné najdete v podrobném rozhovoru s naším bývalým expertem na kyberbezpečnost, který vyprávěl o tom, jak jsme zavedli nový účinný štít proti DDoS útokům, včetně nasazení technologie IP anycast. Toto opatření zároveň výrazně zrychlilo odezvu našich systémů.
Weby hostované u nás se proto načítají rychleji a jsou výrazně bezpečnější. A to pro větší uživatelský komfort vás i vašich zákazníků.