Atak DDoS – co to jest, jak działa i jak się przed nim chronić?

Ataki DDoS stanowią poważne zagrożenie dla systemów online. Dowiedz się, na czym polegają, jakie mają konsekwencje i jak skutecznie się przed nimi bronić. Poznaj podstawy prawne i przykłady historycznych incydentów.

Co to jest atak DDoS?

DDoS oznacza „distributed denial of service”. To skrót od angielskiego „rozproszona odmowa usługi”. Atak DDoS to forma cyberataku. Ma na celu zakłócenie normalnego działania systemów komputerowych. Jego celem jest uniemożliwienie dostępu do zaatakowanego systemu. Atak polega na przeciążeniu serwera lub sieci. Wysyła ogromną ilość żądań jednocześnie. Przeciążenie wynika z masowego napływu żądań. Pochodzą one z licznych źródeł. Ataki DDoS są znane od prawie 30 lat. Atak DDoS to jedno z najczęściej występujących przestępstw cybernetycznych. Atak DDoS to poważne zagrożenie dla bezpieczeństwa sieciowego.

Atak DDoS różni się od ataku DoS. Atak DoS pochodzi z jednego źródła. Atak DDoS wykorzystuje obce komputery lub serwery. Ataki DDoS są dystrybuowane. Pochodzą od wielu maszyn na całym świecie. Atak DDoS jest trudniejszy do obrony niż atak DoS. Wynika to z nieograniczonej liczby źródeł. Mogą być też geograficznie rozproszone.

Ataki DDoS wykorzystują botnety. Botnet to sieć zainfekowanych urządzeń. Składa się z setek lub tysięcy komputerów. Ataki mogą być przeprowadzane z wykorzystaniem komputerów zombie. Mogą też używać urządzeń IoT (Internet of Things). Przeprowadzenie ataku DDoS nie jest trudne. Można skorzystać z płatnych usług. Cyberprzestępcy oferują takie usługi w internecie. Usługi typu „web stresser” są dostępne w darknecie. Są też dostępne w przestrzeni publicznej.

Rodzaje ataków DDoS

Typy ataków DDoS dzieli się na kategorie. Podział bazuje na modelu OSI. Wyróżnia się trzy główne kategorie. Są to ataki wolumetryczne, protokołowe i aplikacyjne.

• Ataki wolumetryczne (Volume-Based Attacks): Te ataki zalewają sieć ogromną ilością ruchu. Ich celem jest wyczerpanie przepustowości. Przykłady to SYN Flood i UDP Flood. Inne to ICMP Flood i Smurf Attack.
• Ataki protokołów (Protocol Attacks): Ataki te wykorzystują słabości protokołów. Celują w zasoby serwerów, np. firewalle. Przykładem jest Ping of Death.
• Ataki aplikacyjne (Application Layer Attacks): Ataki te celują w konkretne aplikacje. Wykorzystują luki w oprogramowaniu. Są trudniejsze do wykrycia. Przykład to HTTP Flood i Slowloris. Inne to R-U-Dead-Yet (R.U.D.Y.).

Ataki mogą też być klasyfikowane ze względu na użyte oprogramowanie. Przykłady to LOIC (Low Orbit Ion Cannon) i HOIC (High Orbit Ion Cannon). Używa się też narzędzi takich jak hping3. Zagrożenie stanowią urządzenia z Androidem. Mogą być częścią botnetu. W 2016 roku zhakowane urządzenia IoT zaatakowały serwis KrebsOnSecurity. Było ich 600 000. Wirus Mirai jest przykładem złośliwego oprogramowania. Służy do tworzenia botnetów z urządzeń IoT.

Kto jest celem ataków DDoS?

Cele ataków DDoS są różnorodne. Mogą nimi być firmy i strony internetowe. Często atakowane są instytucje publiczne. Ataki celują w banki i giełdy papierów wartościowych. Ofiarami padają dostawcy usług internetowych. Celem mogą być też rządy i organizacje polityczne. Ataki mogą służyć różnym celom. Mogą być formą protestu. Mogą obejmować wymuszenie okupu. Czasem mają motywacje polityczne. Wojna jest jednym z obszarów użycia ataków DDoS. W 2022 roku liczba ataków DDoS na ukraińskie i rosyjskie strony wzrosła o 320 proc. Ataki DDoS są obok phishingu i ransomware największym zagrożeniem dla firm działających online.

Konsekwencje ataków DDoS

Ataki DDoS mogą prowadzić do paraliżu dostępu do zasobów internetowych. Mogą zablokować funkcjonowanie systemów organizacji. Prowadzą do czasowej niedostępności systemu. Każda sekunda bezczynności przekłada się na gigantyczne straty. Ofiary ataków DDoS ponoszą straty finansowe. Dochodzi też do utraty reputacji. Konsekwencje obejmują przerwy w działalności. Średni koszt pojedynczego ataku DDoS wynosi 218 000 USD. Długoterminowe koszty są znaczne. Obejmują przywracanie normalnego funkcjonowania. Wymagają inwestowania w dodatkowe zabezpieczenia. Koszty naprawy po atakach DDoS są wysokie. Obejmują wzrost kosztów ubezpieczeń. Mogą zmniejszyć zdolność kredytową firmy. Mogą też zmniejszyć wartość firmy. Wzrastają koszty utrzymania infrastruktury IT.

Atak DDoS wpływa też na użytkowników strony. Strona staje się niedostępna. Użytkownicy nie mogą korzystać z usług. Może to prowadzić do frustracji i utraty zaufania. Niedostępność usług jest kluczowym skutkiem.

Przykłady historycznych ataków DDoS

Ataki DDoS mają długą historię. Występują od wielu lat. Oto kilka przykładów znaczących ataków:

• 21 października 2002: Atak na 13 głównych serwerów DNS.
• 1 lutego 2004: Atak DDoS za pomocą wirusa Mydoom na serwery SCO.
• 3 lutego 2004: Atak DDoS na serwery firmy Microsoft.
• 30 listopada – 3 grudnia 2006: Atak DDoS na polski portal Gazeta.pl.
• 6 lutego 2007: Drugi atak na główne serwery DNS.
• Maj 2007: Celem ataków DDoS stał się serwis policja.pl.
• 18 sierpnia 2010: Atak na stronę 5 Kanału.
• 21 stycznia 2012: Ataki na strony polskich instytucji parlamentarnych.
• 2009: Atak na witryny rządowe USA. Miał siłę 602 Gbps. Trwał 30 minut.
• 2016: Atak na DynDNS. Miał siłę 1,2 Tbps. Trwał 1 godzinę.
• 2016: Atak na giełdę papierów wartościowych w Nowej Zelandii. Trwał 3 dni.
• 2018: Atak na GitHub. Miał siłę 1,35 Tbps. Trwał 30 minut.
• 15 lutego 2022: Atak DDoS przeciwko ukraińskiemu MON i bankom.
• 23 lutego 2022: Atak DDoS na ukraińskie strony państwowe.
• 2020: Giełda Papierów Wartościowych w Nowej Zelandii padła ofiarą ataku.
• 2023: Miały miejsce największe ataki DDoS w historii. Obejmowały atak na serwery Google. Atak na Google wygenerował 400 milionów żądań na sekundę.

W drugiej połowie 2021 roku platforma Azure naliczyła ok. 360 tys. ataków DDoS. W 2017 r. system OVH VAC wykrywał średnio 1800 ataków DDoS dziennie. Według badań Kaspersky, 80% ataków DDoS trwa krócej niż 4 godziny. 90% ataków kończy się najpóźniej po 9 godzinach. Najdłuższy atak DDoS trwał 509 godzin. To prawie 21 dni. Odnotowano go w II kwartale 2019 roku. W 2019 roku nastąpił wzrost ataków DDoS o 180% w porównaniu do wcześniejszych lat.

Procent ataków DDoS wg czasu trwania (dane Kaspersky)

Przykładowe największe ataki DDoS wg siły (Gbps)

Jak rozpoznać atak DDoS?

Rozpoznanie ataku DDoS jest kluczowe. Należy monitorować ruch sieciowy. Nietypowa aktywność może świadczyć o ataku. Nagły wzrost ruchu jest sygnałem. Pochodzi on z wielu różnych adresów IP. Obciążenie serwera znacząco wzrasta. Strona internetowa działa bardzo wolno. Może stać się całkowicie niedostępna. Usługi online przestają działać poprawnie. Dostęp do zasobów sieciowych jest utrudniony. Systemy monitorowania pomagają wykrywać anomalie. Służą do tego sondy NetFlow/IPFIX. Systemy IPS/IDS wykrywają włamania. Systemy SIEM agregują logi bezpieczeństwa. Specjalne oprogramowanie monitoruje ruch. OVH Anty-DDoS wykrywa ataki. Sniffer tcpdump analizuje pakiety. Nie należy zakładać, że do ataku doszło od razu. Warto zbadać przyczynę wzrostu ruchu.

Jak chronić się przed atakami DDoS?

Ochrona przed atakami DDoS jest niezbędna. Wymaga wdrożenia strategii zabezpieczeń. Należy stale monitorować ruch sieciowy. Wdrażaj wielowarstwową ochronę. Skonfiguruj CDN i firewall. CDN (Content Delivery Network) rozprasza ruch. Pomaga w ochronie przed atakami. Firewalle ograniczają przepływ ruchu sieciowego. Firewalle aplikacyjne (WAF) chronią przed atakami na warstwie aplikacji. Wykorzystuj usługi monitorowania. Pomagają wykrywać i blokować nietypową aktywność. Systemy wykrywania anomalii są pomocne. Scrubbing Centers to specjalne centra. Filtrują złośliwy ruch. Przekierowuj cały ruch przez warstwę filtrującą.

Zapewnij nadmiarowość infrastruktury. Skalowalność krytycznych zasobów jest ważna. Poszerz pojemność serwerów i usług. Warto rozważyć wdrożenie usług zarządzających ruchem. Mogą one zarządzać nadmiernym ruchem podczas ataku. Dostawcy Internetu oferują ochronę DDoS. Jest to usługa dodatkowa. Klienci mogą instalować specjalistyczne urządzenia. Służą one do ochrony przed DDoS. Współpracuj z dostawcami usług bezpieczeństwa. Dostawcy chmurowi oferują ochronę. Przykłady to Cloudflare DDoS Protection i AWS Shield. Akamai Prolexic to inne rozwiązanie.

Regularne aktualizuj urządzenia sieciowe. Instaluj skuteczny program antywirusowy. Przykłady to Bitdefender, Norton, ESET, Panda, AVG lub McAfee. Opracuj strategię działania na wypadek ataku. Stwórz plan reagowania na ataki DDoS. Testuj ten plan regularnie. Przygotuj firmę na przyszłe ataki. Edukuj pracowników w zakresie cyberbezpieczeństwa. Monitoruj ruch w sieci. Używaj narzędzi do analizy ruchu. Przykłady to Wireshark i Snort. Wdrażaj systemy redundancji. Współpracuj z zewnętrznymi podmiotami. Skontaktuj się z dostawcą usług hostingowych w przypadku ataku. Zgłoszenie ataku na policję jest niezbędnym działaniem. Blokada regionów, z których pochodzi atak, może pomóc. Odcięcie dostępu do atakowanego zasobu strony to ostateczność.

Aby skutecznie chronić się przed atakami DDoS, niezbędne jest wdrożenie zaawansowanych strategii zabezpieczeń oraz stałe monitorowanie ruchu sieciowego.

• Zainstaluj skuteczny program antywirusowy.
• Opracuj strategię reagowania na atak.
• Skontaktuj się z dostawcą hostingu podczas ataku.
• Skonfiguruj CDN i firewall.
• Częściej filtruj ruch na stronach.
• Poszerz pojemność serwerów.
• Wdrażaj wielowarstwową ochronę.
• Zapewnij nadmiarowość infrastruktury.
• Regularnie testuj i audytuj bezpieczeństwo.
• Opracuj i testuj plany reagowania.
• Współpracuj z zewnętrznymi podmiotami bezpieczeństwa.
• Edukuj pracowników o cyberbezpieczeństwie.
• Monitoruj ruch w sieci.
• Wdrażaj systemy redundancji.

Odpowiedzialność prawna za atak DDoS

Ataki DDoS w Polsce są przestępstwem. Podlegają karze na podstawie Kodeksu Karnego. Generowanie ataków DDoS jest karalne. Cyberprzestępstwa stały się wyzwaniem dla systemów prawnych. Przestępstwa internetowe są trudniejsze do wykrycia. Trudniej je też udowodnić. Odpowiedzialność prawna za atak DDoS jest jasno określona.

Przepisy prawne regulują tę kwestię. Zgodnie z Kodeksem karnym, art. 267 dotyczy hackingu. Ataki DDoS są często kwalifikowane pod ten artykuł. Kara pozbawienia wolności może wynosić do lat 5. Rozdział XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji” również obejmuje takie działania. Artykuł 268 § 1-4 Kodeksu karnego dotyczy zakłócania pracy systemu. Kara pozbawienia wolności wynosi od 3 miesięcy do 5 lat. W przypadku znacznej szkody kara może być wyższa.

Kara za atak DDoS w Polsce to od 3 miesięcy do 5 lat pozbawienia wolności. Maksymalna kara pozbawienia wolności to 5 lat. W 2020 roku stwierdzono 761 przestępstw związanych z DDoS. Ustawa o krajowym systemie cyberbezpieczeństwa również dotyczy tych kwestii. W przypadku bycia ofiarą cyberprzestępstwa, skontaktuj się ze specjalistami. Kancelaria Adwokacka Dariusz Żero zajmuje się takimi sprawami. Można skontaktować się z Kancelarią Prawną Chałas i Wspólnicy. Zgłoszenie ataku na policję jest pierwszym krokiem. Wydział Komunikacji Społecznej Komendy Stołecznej Policji zajmuje się cyberprzestępczością.

Oprócz odpowiedzialności karnej, atakujący może ponieść odpowiedzialność cywilną. Ofiara może dochodzić odszkodowania za poniesione straty. Straty mogą być znaczne. Obejmują koszty naprawy i utracone zyski. Ataki DDoS mogą być stosowane jako forma protestu, jednak nadal są nielegalne.

Paweł Mering, redaktor, napisał o odpowiedzialności za atak DDoS. R. pr. Anna Zabielska z Kancelarii Prawnej Chałas i Wspólnicy również poruszała ten temat.