Czym jest atak DDoS?

DDoS to jeden z najpopularniejszych ataków cybernetycznych. Czym jest? DDoS to skrót pochodzący od frazy „distributed denial-of-service”. Jego cel to zablokowanie dostępu do serwerów, usług czy sieci. DDoS zajmuje wszystkie wolne zasoby i uniemożliwia funkcjonowanie całej usługi.

Ataki DDoS wykorzystują dużą liczbę komputerów i innych urządzeń podłączonych do Internetu. Haker może stworzyć sztuczną sieć poprzez zainfekowanie wielu maszyn złośliwym oprogramowaniem, a te z kolei przeistoczą się w boty, które zaczną kierować zapytania pod określony adres IP. Jeśli zadziałają na raz – usługa zostanie zawieszona.

Niektóre ataki DDoS są w stanie trwać po kilka dni i trudno dotrzeć do ich źródła. Każdy komputer może być częścią sieci botów – nawet Twój. Jeśli maszyna została zainfekowana przez szkodliwe oprogramowanie, często nie widać po niej tego, że bombarduje serwer zapytaniami. Jedynymi objawami mogą być lekko obniżona wydajność sprzętu i zwiększenie temperatury podzespołów. Możesz ochronić swój komputer przed takim zainfekowaniem z funkcją Threat Protection, która blokuje wszelkie zagrożenia, zanim zdążą wyrządzić jakiekolwiek szkody.

Dlaczego hakerzy używają tej metody? Ich celem nie jest kradzież informacji, ale spowolnienie albo całkowite wyłączenie usługi – przez to zwyczajni użytkownicy nie mogą skorzystać z witryny. Motywacją może być zwykła złośliwość, jakaś idea albo chęć uzyskania okupu za przywrócenie sprawności serwerów czy doprowadzenia usługodawcy do strat finansowych.

Im szybciej zidentyfikujesz atak DDoS, tym większa szansa na jego powstrzymanie. Oto główne wskazówki, które mogą sygnalizować atak DDoS:

• Powolna lub niedostępna usługa. Zwykle jest to pierwsza oznaka ataku DDoS. Jednak wiele innych problemów może wpływać na niską wydajność, więc nie należy polegać tylko na tym czynniku podczas identyfikowania ataku DDoS.
• Duża ilość ruchu sieciowego pochodzącego z jednego adresu IP. Możesz sprawdzić ruch za pomocą narzędzi do analizy ruchu.
• Nienaturalne skoki ruchu o losowych porach dnia.
• Nagły i niewyjaśniony wzrost liczby żądań na określonej stronie lub w punkcie końcowym.

Atak typu odmowa usługi (ang. denial of service) zalewa serwer żądaniami i uniemożliwia dostęp do usługi lub strony internetowej. DoS to bezpośredni atak jednego systemu na drugi z wykorzystaniem pojedynczego systemu do ataku na określoną usługę. DDoS wykorzystuje wiele komputerów i systemów, aby zaatakować cel.

Chociaż oba ataki służą temu samemu celowi, atak DDoS jest potężniejszy i bardziej niebezpieczny.

SYN Flood

Żądanie SYN to pierwszy komunikat, który jest wysyłany wtedy, gdy komputer dąży do ustanowienia połączenia TCP. Atak SYN Flood polega na wysyłaniu dużej liczby takich zapytań, obciążając w ten sposób maszyny. Haker wysyła żądanie, ale nie kontynuuje komunikacji, pozostawiając zaatakowany komputer z otwartymi portami. Przez takie działanie serwer nie może odpowiedzieć innym, prawdziwym użytkownikom.

Ataki wolumetryczne

Atak wolumetryczny to rodzaj napaści DDoS opartej na wysyłaniu dużej ilości niepożądanych danych na adres IP. Informacji jest tyle, że połączenie internetowe zostaje przesycone. To jeden z najczęściej stosowanych zamachów na sieci komputerowe.

Ataki fragmentacyjne

Wszystkie dane, które są wysyłane w Internecie, dzielą się na niewielkie pakiety. Po dotarciu do serwera komputer „składa” je z powrotem w całość w zależności od wykorzystanej technologii – do wyboru mamy protokoły warstwy transportowej TCP i UDP. Atak fragmentacyjny polega na wysyłaniu fałszywych pakietów. Serwer zajmuje się próbami ponownego montażu danych i brakuje mu zasobów na obsługę innych zadań.

Ataki na poziomie warstwy aplikacji

Warstwa aplikacji to siódma i ostatnia warstwa modelu OSI stosowanego do opisywania struktur komunikacji w sieciach komputerowych. Odpowiada za generowanie witryn internetowych czy odpowiadanie na żądania użytkowników. Atak na poziomie tej warstwy może przypominać kogoś, kto raz po raz odświeża stronę, generując sztuczny ruch – do momentu, w którym serwer zostanie przeciążony. Nadużycia tego rodzaju są trudne do wykrycia, a do tego tanie w realizacji.

Technologia wciąż idzie do przodu, a wraz z nią metody hakerów. Różnica między siłą nowoczesnych ataków DDoS, a tych przeprowadzanych w latach 90. jest olbrzymia. Dawniej liczba żądań wysyłanych podczas nadużycia nie przekraczała 150 na sekundę. W 2018 przeprowadzono największy do tej pory atak, w którym wysyłano aż 1,35 terabitów danych na sekundę.

Większość ataków DDoS trwa krócej niż 3 godziny. To wystarczająco dużo czasu, by na przykład odwrócić uwagę usługodawcy od innych działań hakerów. Istnieją także napady trwające nawet po kilka dni, które mogą spowodować poważne straty finansowe.

Atak DDoS trwający dobę może doprowadzić do olbrzymich strat finansowych, jeśli był skierowany na przykład na jakąś firmę. Według raportu Corero Network Security z 2018 roku utracone przychody, spadek produktywności pracowników i koszty odpierania ataków wygenerowały straty warte nawet 50 tysięcy dolarów za jeden przypadek nadużycia, dlatego tak ważne w firmach jest cyberbezpieczeństwo.

Przestępcy internetowi mogą oferować swoje usługi w sieci Dark Web, czyli odpowiedniku czarnego rynku. Koszt przeprowadzenia ataku DDoS zależy między innymi od jego czasu trwania – im dłuższy, tym droższy.

Większość krajów określa ataki DDoS jako działania nielegalne. W Stanach Zjednoczonych przeprowadzenie takiej napaści na usługę może skutkować karą finansową lub ograniczeniem wolności. Kraje Europejskie także przewidują kary więzienia za tego rodzaju nadużycia. Warto wspomnieć też o tym, że nie tylko skuteczny atak jest nielegalny, ale również grożenie nim. Żądanie okupu za przywrócenie dostępu do serwerów bądź zaniechanie napaści to przestępstwo.

W Polsce ustawodawca przewiduje karę pozbawienia wolności dla osób przeprowadzających ataki DDoS na mocy art. 268 – 269a Kodeksu Karnego. Ponadto sprawca może także ponieść konsekwencje finansowe ze względu na straty pieniężne swojej ofiary.

Chociaż odpowiedzialność karna w przypadku przeprowadzenia ataku DDoS zniechęca przestępców do nielegalnych działań, problem w egzekwowaniu prawa stanowi wykrycie rzeczywistego sprawcy szkód. Źródła tego rodzaju napaści są trudne do wyśledzenia – hakerzy bardzo często korzystają z wielu setek lub nawet tysięcy urządzeń, posługując się na przykład szkodliwym oprogramowaniem rozsyłanym w siecii, np. w formie spoofingu.

Można rozpoznać atak DDoS podczas trwania zdarzenia, wykorzystując odpowiednie narzędzia analizujące ruch sieciowy. Z reguły to sami klienci powiadamiają ofiarę o tym, że mają problem z poprawnym działaniem usługi. Zazwyczaj jest już wtedy zbyt późno, by powstrzymać napaść, ale można wyciągnąć wnioski i zabezpieczyć się przed atakami w przyszłości.

DDoS najczęściej wykorzystuje się w celu szantażowania właścicieli usług, serwisów internetowych, portali aukcyjnych i innych popularnych witryn. Wydawcy nie tylko doznają szkód finansowych, ale również tracą reputację i szacunek klientów. Zwyczajni użytkownicy Internetu także mogą paść ofiarą ataku DDoS. Aby czerpać przyjemność gamingową, polecamy VPN do gier.

Popularną praktyką oszustów jest „DDoSowanie” przeciwników w grach komputerowych. Jeżeli prowadzisz rozgrywkę, niehonorowy gracz może spróbować przechytrzyć Cię poprzez obciążenie Twojego łącza internetowego. Co prawda nie poniesiesz strat finansowych, ale samo działanie jest niezwykle uciążliwe. Niegranie w gry nie jest rozwiązaniem – by paść ofiarą hakera, wystarczy spotkać złośliwą osobę na swojej drodze.

Jeśli atak DDoS obierze za cel serwer gry – nic z tym nie zrobisz. Sytuacja wygląda inaczej w rozgrywkach P2P, w których dwoje graczy łączy się bezpośrednio ze sobą. Przeciwnik jest w stanie odszukać adres IP swojego rywala i wykorzystać go do przeprowadzenia małego ataku DoS. Jeżeli nie chcesz dopuścić do takiego rozwoju wydarzeń, pomocny może okazać się VPN. Usługa skutecznie ukryje Twój prawdziwy adres IP, kierując wszystkie wysyłane przez Ciebie żądania poprzez zewnętrzne serwery. Przeciwnik nigdy nie pozna oryginalnego IP, a co za tym idzie – nie wykorzysta go do nadużycia. Dlatego nie ryzykuj wrażliwych danych i pobierz VPN. Dzięki temu uchronisz się przed potencjalnymi atakami hakerów.

Atak na Google w 2017 roku

Największy atak DDoS miał miejsce w 2017 roku i był wymierzony w usługi Google. Atakujący zalali 180 000 serwerów internetowych, które wysłały żądania do Google. Cyberatak osiągnął wielkość 2,54 TB/s. Atak był rzekomo sprawką Chin.

Atak DDoS na AWS w 2020 roku

Masowy atak DDoS dotknął Amazon Web Services w 2020 roku. Jego celem był niezidentyfikowany klient. Do dziś uważany jest za jeden z najbardziej złośliwych ataków hakerskich DDoS. Wykorzystując serwery stron trzecich, atakującym udało się nawet 70-krotnie zwiększyć ilość danych wysyłanych na pojedynczy adres IP. Atak osiągnął wielkość 2,3 TB/s.

Atak na Cloudflare w 2022 roku

Cloudflare zgłosił i złagodził atak DDoS o 15,3 miliona żądań na sekundę wymierzony w klienta obsługującego platformę startową kryptowalut. W ataku wykorzystano botnet składający się z około 6000 unikalnych urządzeń ze 112 krajów. Atakujący użyli bezpiecznego i zaszyfrowanego połączenia HTTPS, aby zainicjować ten atak.