Útoky DDoS sú mimoriadne hlučnou súčasťou kyberkriminality – ich cieľom je zaplaviť, zrútiť a ochromiť online služby. V tomto článku podrobne vysvetľujeme ako fungujú a ako sa môžete chrániť.
Väčšina kybernetických útokov je zákerná. Je ťažké ich odhaliť, kým nie je neskoro, pretože útočníci nechcú, aby ich obete vedeli, že sú napádané. Existuje na to niekoľko dôvodov. Útočníci chcú zostať neodhalení, kým nedosiahnu svoj cieľ, napríklad dostatočnú úroveň prístupu na spustenie ransomvérového útoku. V iných prípadoch je pre útočníka lepšie, ak obeť vôbec netuší, že bola napadnutá.
Útoky typu Distributed Denial of Service (DDoS) sú opakom tohto: sú hlučné, zrejmé a neuveriteľne deštruktívne. Čo presne je DDoS?
Definícia útokov DoS a DDoS
Začnime vysvetlením starého dobrého útoku typu Denial of Service (DoS), ktorý spočíva v tom, že služba poskytovaná počítačom alebo iným sieťovým zdrojom (napríklad úložným poľom, smerovačom, serverom alebo celou sieťou) sa stane pre používateľov nedostupnou tým, že sa na ňu opakovane smeruje veľké množstvo prevádzky a služba je efektívne zahltená neplatnými požiadavkami. Najpopulárnejším cieľom útokov DoS sú webové servery.
Útoky DoS môžu mať formu obrovského objemu, množstva dotazov obsahujúcich neplatné údaje alebo požiadaviek, ktoré prichádzajú z nelegitímnych IP adries. Jedným zo spôsobov, ako si to predstaviť, je call centrum: ak je k dispozícii 20 liniek a 20 ľudí, ktorí na ne odpovedajú, po prvých 20 hovoroch ostatní volajúci počujú obsadený tón a automatickú správu. Ďalším spôsobom je predstaviť si sieť ako cestnú sieť: pošlite príliš veľa vozidiel, zaplňte všetky pruhy, dokonca nechajte niektoré z nich pokazené, a doprava sa zastaví. DoS útok bude pre používateľov vyzerať inak, ale konečný výsledok je rovnaký: chyby, oneskorenia a zlyhania.
V porovnaní s tým útoky typu Distributed Denial of Service (DDoS), ako naznačuje názov, robia to isté, ale používajú veľké množstvo rôznych zariadení na odosielanie prevádzky do cieľovej siete alebo zariadenia. Často sú „útočiace“ zariadenia kompromitované pomocou malvéru a premenené na sieť zariadení, ktoré môžu byť nasmerované na odosielanie prevádzky obetiam ako jednotná masa.
Útoky DDoS a DoS nemusia byť nutne zamerané na konkrétne slabé miesto. Namiesto toho sa snažia dosiahnuť maximálnu kapacitu akéhokoľvek článku v reťazci. Môže to byť samotná sieť, ktorá zlyhá, úložisko na disku či pamäť ktoréhokoľvek z viacerých zariadení alebo služieb v cieli. V niektorých prípadoch to môže byť samotná šírka pásma – poskytovatelia internetových služieb majú tendenciu stanovovať kvóty pre objem webovej alebo internetovej prevádzky, ktorú ich zákazníci využívajú.
Bez ohľadu na to je samozrejme účelom týchto útokov odmietnuť služby používateľom, či už sú to zamestnanci, zákazníci alebo iní používatelia. Výsledkom je narušenie podnikania a strata dostupnosti.
DoS
(Odmietnutie služby)
- Jeden zdroj
Jedno zariadenie alebo IP rozsah zaplaví cieľ - Vysoká záťaž
Preťaženie systému - Obmedzený dopad
Ovplyvní jeden server alebo službu - Jednoduché blokovanie
Zdroj je ľahko vysledovateľný a blokovateľný
DDoS
(Distribuované odmietnutie služby)
- Viacerí útočníci
Mnoho infikovaných zariadení (botnet) koná spolu - Masívna záťaž
Zaplaví a zrúti cieľový systém - Širší dopad
Môže zničiť celé siete alebo časti internetu - Ťažšie blokovanie
Vyžaduje komplexnejšiu obranu a silnú infraštruktúru
Prečo DDoS zmenil pravidlá hry
Útoky typu Distributed Denial of Service (distribuované odmietnutie služby) vychádzajú z myšlienky využitia rozptýlenej sily – botnetu – hlavne preto, že bolo pomerne jednoduché blokovať požiadavky na pripojenie z jednej siete alebo zariadenia a relatívne ľahké vystopovať ich zdroj. Keďže prevádzka pochádza zo stoviek, ak nie tisícov legitímnych zariadení pripojených k internetu, presmerovanie alebo sink-holing škodlivej prevádzky nefunguje.
Botnety boli pôvodne koncipované ako neškodné nástroje: spôsob budovania distribuovanej výpočtovej kapacity alebo spôsob prehľadávania webových stránok bez spotrebovania obrovského množstva šírky pásma. Napríklad botnet Carna bol (aspoň podľa jeho anonymného tvorcu) určený na mapovanie používania adries IPV4 po celom svete. Bohužiaľ, Carna dosiahol tento úspech s pomocou akýchkoľvek zariadení pripojených k internetu, ku ktorým mal prístup a ktoré buď nemali administrátorské heslo, alebo mali predvolené používateľské meno a heslo.
Táto inovácia nezostala bez povšimnutia útočníkov.
Nejde len o počítače napadnuté škodlivým softvérom
Ako prostriedok na vykonávanie DDoS útokov sa často využívajú botnety pozostávajúce z napadnutých počítačov, ale čoraz viac aj zo zariadení internetu vecí (IoT). Internet vecí obsahuje milióny menších zariadení, ktoré zvyčajne nie sú konštrukčne zabezpečené a na rozdiel od počítačov alebo smartfónov nemajú zdroje na spúšťanie bezpečnostných programov na svoju ochranu. Preto sú skvelým cieľom pre kyberzločincov a často môžu byť kompromitované vo veľkom meradle.
Inými slovami, DDoS útok bude veľmi často využívať na hromadné zasielanie požiadaviek stádo kompromitovaných routerov, IP kamier, ale aj žiaroviek, chladničiek a práčok pripojených k internetu.
Jedným z najznámejšíčh IoT botnetov využívaných na DDoS útoky je Mirai. Bol prvýkrát zaznamenaný v roku 2016 a jeho napodobitelia naďalej využívajú zle zabezpečené zariadenia IoT pripojené k internetu, ako sú bezpečnostné kamery a domáce širokopásmové routery. Zdrojový kód Mirai bol v roku 2016 verejne sprístupnený, čo viedlo k ďalšiemu vývoju zo strany útočníkov a začleneniu do viacerých hackerských nástrojov.
Vzostup botnetov a DDoS ako služba
Kyberzločinci tiež premenili DDoS na služby dostupné na darkwebe a sprístupnili ich na prenájom, alebo v prípade Booters sprístupnili botnety komukoľvek bez ohľadu na jeho motiváciu. Rozdiel medzi Booterom a Stresserom, (zvyčajne) legitímnou komerčnou službou, ktorú spoločnosti používajú na stresové testovanie svojich vlastných sietí, je veľmi tenký a hranica je často zámerne rozmazaná neetickými alebo kriminálnymi skupinami.
Krátka história DDoS útokov
Pravdepodobne najskorším DDoS útokom bol Panix Attack v roku 1996, ktorý bol zameraný na raného poskytovateľa internetových služieb (ISP) Panix a mal za následok dvojdňový výpadok newyorského ISP a následnú stratu služieb pre jeho zákazníkov. V nasledujúcom roku to viedlo k sérii podobných útokov na iných ISP. Zložitosť a objem útokov sa v nasledujúcich rokoch len zvýšili a spotrebovali čoraz viac šírky pásma.
Za pozoruhodný bol považovaný útok na Amazon Web Services v roku 2020, pretože dosiahol vrcholný objem prevádzky 2,3 terabitu za sekundu, čo je ekvivalent polovice dennej prevádzky siete British Telecom v tom čase. O päť rokov neskôr, v máji 2025, systémy Cloudflare autonómne zablokovali útok, ktorý dosiahol vrcholový objem 7,3 terabitov za sekundu. Krátko na to, v polovici novembra 2025, bol službou Microsoft DDOS Protection zaznamenaný útok s objemom 15,72 Tbps. Blog spoločnosti Microsoft, ktorý sa touto témou zaoberá, výslovne spája nárast šírky pásma s nárastom šírky pásma spotrebiteľov vďaka technológii Fiber-to-the-Home a čoraz početnejším a výkonnejším zariadeniam IoT.
Prečo dochádza k DDoS útokom?
Útočníci chcú prístup k službám znemožniť z rôznych dôvodov. V minulosti využívali útoky DoS a DDoS na narušenie služieb a zabránenie ostatným v ich používaní nespokojní bývalí zamestnanci, hacktivisti a trollovia. Hackeri však dnes používajú DDoS aj na odlákanie pozornosti obrancov, vniknutie do služieb a vydieranie organizácií. Národné štáty tiež používajú DDoS na narušenie systémov, sociálnych služieb a obranných schopností nepriateľov.
Ktoré organizácie sú náchylnejšie na útoky DDoS?
Existuje voľne dostupný open-source merací nástroj, ktorý je navrhnutý na ochranu organizácií pred útokmi a vedie o nich záznamy. DDoS Resiliency Score v súčasnosti ukazuje, že finančné služby, dodávatelia energie, vládne a verejné organizácie, telekomunikačné a internetové spoločnosti, herné a hazardné spoločnosti a dodávatelia softvéru a SaaS sú vystavení vyššiemu riziku narušenia DDoS útokmi. Všetky tieto organizácie budú trpieť v prípade výpadku siete z rôznych dôvodov.
Typy útokov DDoS
Rôzne útoky fungujú na rôznych vrstvách sieťového modelu OSI, ktorý poskytuje rámec pre rôzne úrovne – alebo vrstvy – ktoré tvoria sieť. Nižšie pochopíte, ako sa rôzne typy útokov zameriavajú na rôzne aspekty sieťovej úrovne, na ktorú útočia.
1. Útoky DDoS na vrstve 7
Najbežnejším útokom, ktorý je pre používateľov najviac viditeľný, je útok DDoS na vrstve 7. Vrstva 7 modelu OSI, často označovaná ako aplikačná vrstva, je miestom, kde aplikácie môžu pristupovať k sieťovým službám – napríklad k webovým serverom a iným aplikáciám, s ktorými skutoční používatelia interagujú. Pri mnohých útokoch L7 sa útočník pokúsi zahltiť webový server cieľa čo najväčším počtom HTTP požiadaviek – čo sa označuje ako HTTP Flood. Jednoducho povedané, útočník efektívne žiada o zobrazenie obrovského počtu webových stránok, podobne ako milióny používateľov, ktorí sa snažia prehliadať tú istú webovú stránku naraz a neustále obnovujú svoj prehliadač. Ako uvidíme neskôr, toto sa môže stať aj z legitímnych dôvodov a je to zdokumentovaný internetový fenomén.
Ďalší príklad, ktorý sa stáva čoraz bežnejším, sa týka e-mailových služieb, buď pre jednotlivcov, alebo pre organizácie. Na vlastnej skúsenosti môžu používatelia zistiť, že ich doručená pošta je zaplavená tisíckami e-mailov, čo často slúži ako zásterka na skrytie upozornení na resetovanie hesla a podozrivé prihlásenia, ktoré by odhalili útočníkov snažiacich sa vniknúť do účtu obete.
2. Útoky na protokol
Útoky na protokol sú zamerané skôr na sieťové zariadenia ako na aplikácie a zameriavajú sa na slabé miesta na vrstve 3 (sieťová vrstva) a vrstve 4 (transportná vrstva) modelu OSI. Ak ste oboznámení s modelom OSI, viete, že tento prístup je zameraný na protokoly L3 a L4, ako je TCP/IP. Napríklad útočník môže iniciovať útok SYN Flood, ktorý využíva trojcestné potvrdenie pri TCP pripojení. To prebieha tak, že počítač pošle serveru paket SYN, aby otvoril žiadosť. Server odpovie paketom SYN/ACK, čím súhlasí s pripojením, otvorí port a počítač na druhom konci odpovie paketom ACK, čím potvrdí a nadviaže pripojenie. Pri útoku SYN Flood útočník odosiela opakované požiadavky na pripojenie vo forme paketu SYN. Cieľový server potom odpovie paketom SYN/ACK a otvorí port pre pripojenie, akonáhle prijme paket ACK – ktorý však nikdy nedorazí. Normálne servery po určitej dobe port uzavrú, ale ak útočník odošle dostatočné množstvo paketov SYN, server je preťažený a prestane odpovedať na požiadavky.
3. Objemové útoky
Tretím typom DDoS útoku je objemový útok. Jeho cieľom je zaplaviť sieť cieľa prevádzkou a požiadavkami na dáta, aby sa preťažila šírka pásma siete a jej schopnosť spracovávať požiadavky. Podobne ako v prípade útokov na aplikačnej vrstve, určité typy požiadaviek od útočníkov využívajú len veľmi málo zdrojov útočníkov, ale ich odpoveď je pre cieľ nákladná; jedným z príkladov sú požiadavky na DNS dotazy. Ďalším príkladom je použitie protokolu UDP (User Datagram Protocol) na zaplavenie serverov cieľa požiadavkami IP, ktoré nešpecifikujú cieľovú destináciu ani zamýšľanú aplikáciu. Vo všetkých prípadoch to vedie k tomu, že server nedokáže spracovať počet požiadaviek, ktoré sú mu zasielané, aj keby boli pôvodne legitímne.
DDoS alebo preťaženie legitímnou prevádzkou?
Stojí za zmienku, že jeden z najviditeľnejších incidentov podobných DDoS pre bežného používateľa internetu je v skutočnosti neškodný a nazýva sa Reddit Hug of Death alebo (ak máte pár šedivých vlasov) Slashdot efekt. Ide o situáciu, keď webová stránka s veľkým počtom používateľov odkazuje na webovú stránku, ktorú následne navštívi neočakávane veľký počet používateľov internetu, čím preťaží backendovú infraštruktúru.
Zatiaľ čo mnohé komerčné webové stránky túto kapacitu zvládnu, služba prevádzkovaná jednotlivcom alebo malou firmou môže utrpieť výpadok. Samotný prevádzkový tok je výsledkom zvedavosti tisícov jednotlivcov a nie je jeho zámerom odmietnuť službu, ale nakoniec k tomu dochádza kvôli popularite danej stránky. Jeden príklad toho zdokumentoval Ibrahim Diallo, ktorý využil svoje predchádzajúce skúsenosti so zrútením svojho vlastného blogu v dôsledku virálneho šírenia článku, ktorý napísal, aby sledoval a zdokumentoval ďalšiu prevádzkovú vlnu v dôsledku toho, že jeden z jeho článkov sa dostal na titulnú stranu Hacker News.
Ďalším príkladom je stránka kanadskej vlády venovaná imigrácii, ktorá bola počas volieb prezidenta USA v roku 2016 z veľkej časti nedostupná z dôvodu neočakávane vysokej návštevnosti.
Ako vyzerá DDoS útok?
Správcovia siete na vašom pracovisku alebo u vášho domáceho poskytovateľa internetových služieb majú k dispozícii množstvo nástrojov a školení, aby mohli rozpoznať DDoS útok. Medzi signály patria náhle nárasty sieťovej prevádzky, buď v neobvyklých hodinách alebo pravidelne, veľké objemy prichádzajúce z jedného rozsahu IP adries alebo náhle zvýšenie prevádzky na konkrétnych zariadeniach alebo zdrojoch. Problémom je, že niektoré z týchto príznakov sú tiež symptómami bežného správania na internete, takže je ľahké dospieť k nesprávnemu záveru, že prebieha DDoS útok, keď to môže byť len niekto, kto sťahuje film vo vysokom rozlíšení zo streamovacej služby cez nestabilné Wi-Fi pripojenie vo vašej kancelárii.
Významné incidenty DDoS
Už sme spomenuli Mirai a útok na AWS, ktorý spôsobil najvyššiu hodnotu prevádzky, aká bola v tom čase zaznamenaná. Útok na Microsoft Azure, ktorý je spolu s AWS a Google Cloud Platform jedným z troch najväčších poskytovateľov cloudových služieb na svete, dosiahol v novembri 2021 vrchol 3,47 terabitov za sekundu.
Medzi ďalšie významné útoky patrí útok na Dyn DNS v októbri 2016, ktorý bol zameraný na spoločnosť Dyn, poskytovateľa služieb pre viaceré významné internetové zdroje a aplikácie, vrátane Twitteru, Airbnb a Spotify. Ďalší útok v roku 2018 bol zameraný na GitHub a dosiahol vrchol 1,35 terabitu za sekundu v infraštruktúre Githubu. V tomto prípade útočníci zneužili Memcached, populárny distribuovaný cache systém s otvoreným zdrojovým kódom, aby zosilnili svoj útok.
Pozoruhodná je aj iná forma DDoS útoku: útok vykonaný na politické účely. Od anexie Krymu Ruskom až po rozsiahlu inváziu Ruska na Ukrajinu v roku 2022 boli ukrajinské verejné služby, telekomunikácie, energetika, médiá, finančný sektor, podnikateľský sektor a neziskový sektor terčom rozsiahlych kybernetických útokov, vrátane DDoS útokov. Útočníci boli tiež veľmi rozptýlení, pričom skupiny spojené s Ruskom outsourcovali niektoré útoky kriminálnym skupinám, ktoré boli za úspešné útoky odmenené kryptomenou.
Obrana proti DDoS útokom
Existuje množstvo nástrojov a služieb, ktoré pomáhajú zmierňovať DDoS útoky, ale problémom je, že žiadny z nich nerieši všetky potenciálne cesty útoku a útočníci naďalej vyvíjajú nové techniky a využívajú nové legitímne služby a technológie na zvýšenie svojej efektívnosti.
DDoS útoky sú svojou povahou ťažko riešiteľné, aj keď ich symptómy je možné liečiť s väčšou alebo menšou účinnosťou.
Cloudové služby, ako sú AWS, Azure a GCP, sú často terčom útokov, ale zároveň poskytujú služby ako AWS Shield a Microsoft Azure DDoS na ochranu svojich zákazníkov pred preťažením neželanou prevádzkou.
Prekvapivo účinné sú aj niektoré tradičnejšie lokálne funkcie. Webové aplikačné firewally (WAF) do určitej miery chránia pred útokmi na aplikačnej vrstve. Vstavané obmedzenie rýchlosti, filter prevádzky a kontroly vstupu môžu zmierniť dopad útoku, hoci niekedy s rizikom odmietnutia legitímnej prevádzky. Na architektonickej úrovni môžu účinky zmierniť redundantné DNS opatrenia, distribuované dátové centrá a moderné sieťové architektúry navrhnuté s ohľadom na odolnosť.
Špecializovaná ochrana proti DDoS útokom, ktorú poskytuje mnoho veľkých poskytovateľov služieb, telekomunikačných operátorov, poskytovateľov internetových služieb a poskytovateľov spravovaných služieb, môže tiež zmierniť dopad DDoS útokov. Cloudflare, Akamai a iné siete na doručovanie obsahu poskytujú dodatočnú sieťovú kapacitu na absorbovanie abnormálnych výkyvov šírky pásma.
Poskytovatelia internetových služieb a orgány činné v trestnom konaní môžu byť počas útoku cennými partnermi, ktorí pomáhajú identifikovať a blokovať škodlivú prevádzku a v konečnom dôsledku identifikovať a rozložiť botnety.
Kontaktovanie národných centier pre kybernetickú bezpečnosť alebo podobných organizácií v krajinách, kde podnikáte, môže tiež priniesť užitočné zdroje informácií a odborných znalostí.
Nakoniec, správne plánovanie reakcie na incidenty a krízové cvičenia sú mimoriadne užitočné, pretože poskytujú vášmu tímu a partnerom informácie a pokyny, aby vedeli, čo a kedy robiť v prípade útoku.
Čo prinesie budúcnosť v oblasti ochrany pred DDoS útokmi
Rovnako ako v mnohých oblastiach kybernetickej bezpečnosti, aj prevencia a ochrana pred DDoS útokmi je neustálou hrou na mačku a myš, v ktorej obrancovia aj útočníci neustále inovujú. Preto sa oplatí budovať odolnosť vo vašej organizácii, tíme a medzi spriaznenými technologickými partnermi, namiesto toho, aby ste sa upínali na mýtickú zázračnú zbraň, ktorá problém vyrieši raz a navždy. Ak je niečo isté, tak to, že rôzne typy útokov typu Denial of Service (odmietnutie služby) nikam nezmiznú a obrana sa bude musieť vyvíjať, aby dokázala reagovať na nové triky útočníkov.
S ohľadom na túto výzvu stojí za to zvážiť, čo tvorí odolný prístup k obrane proti DDoS. Reaktívna obrana jednoducho nestačí. Organizácie sa namiesto toho musia zamerať na komplexnú obranu, ktorá pokrýva čo najviac ciest a vektorov útokov s dostupnými nástrojmi a službami, vykonáva proaktívne monitorovanie a zapája sa do pravidelného plánovania incidentov v súlade s vývojom taktík a nástrojov útočníkov.
