🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

21 min. czytania

Atak DDoS: co to jest? Na czym polega?

DDoS

Fot. Depositphotos

Mateusz Mazurek

Mateusz Mazurek

Przedsiębiorca internetowy. Wydawca i autor blogów. Od ponad 16 lat wymagający klient dziesiątek różnych firm hostingowych.

O mnie Kontakt

Co to jest atak DoS i DDoS? Jak w praktyce wygląda? Jak wykryć? Kto jest celem i dlaczego? Jak się bronić? Co robić podczas ataku?

Spis treści
Serwer

Żaden właściciel strony internetowej nie chce, by jego serwis stał się celem ataku DDoS. Nie zawsze jednak takiego scenariusza da się uniknąć. Warto więc dowiedzieć się wcześniej wszystkiego o tego typu atakach, sposobach walki z nimi i metodach prewencji.

Ataki DDoS są jednymi z najczęściej spotykanych w internecie. Mają one negatywnie wpłynąć na działanie danego miejsca w sieci. Ofiarą natomiast paść może zarówno strona WWW, jak i portal, e-sklep czy innego rodzaju serwisy internetowe. Warto podkreślić, że zawsze jest to działanie celowe. Jego organizacją natomiast zajmują się osoby biegle poruszające się w świecie internetu.

Zablokowanie dostępu do danej witryny zwyczajnym użytkownikom może mieć rozmaite motywacje. Skutkiem natomiast zawsze ma być wywołanie problemów z poprawnie funkcjonującym serwisem. Traci zatem na tym jego właściciel, ale i jego odbiorcy czy klienci. Negatywne efekty tego typu działania są wyjątkowo bolesne i często długotrwałe. Właśnie dlatego warto wiedzieć, jak ochronić się przed atakiem DDoS i co zrobić, gdy do niego dojdzie.

Co to jest atak DoS?

Przed przejściem do głównego tematu warto krótko opisać ataki DoS. Działania DDoS są bowiem jednym z ich rodzajów (wariantów). Pojęcie „DoS” jest skrótem od angielskiego wyrażenia „Denial od Service”, czyli „Odmowa Dostępu”. Tym hasłem określane są różnego typu ataki uniemożliwiające internautom uzyskanie dostępu do:

  • konkretnej usługi,
  • serwisu,
  • sieci.

Atak DoS jest realizowany z pojedynczego źródła lub lokalizacji. Polega na generowaniu ogromnego ruchu lub wysyłaniu dużej ilości szkodliwych zapytań w dano miejsce. W ten sposób wpływa to na jego przeładowanie i utratę stabilności. Oprócz DDoS istnieją również inne jego rodzaje, jak np.:

  • DRDOS,
  • ReDoS,
  • Hit-and-run DoS,
  • APDos.

Co to jest atak DDoS?

Atak DDoS (ang. Distributed Denial of Service) to rodzaj ataku na systemy komputerowe, którego celem jest przeciążenie zasobów serwera lub sieci, co prowadzi do niedostępności usługi dla prawidłowych użytkowników. W ataku DDoS wiele komputerów i innych urządzeń z dostępem do sieci (często zainfekowanych złośliwym oprogramowaniem i kontrolowanych przez atakującego) wysyła jednocześnie duże ilości niechcianego ruchu do celu, przeciążając jego zasoby i powodując awarię lub znaczne spowolnienie usługi.

Jego zadaniem – z technicznego punktu widzenia – jest przerwanie ciągłości wszelkich działań operacyjnych. W praktyce więc serwis (czy serwer), który padł jego ofiarą, ma przestać prawidłowo funkcjonować. To broń uderzająca bezpośrednio w cyberbezpieczeństwo, motywowana najróżniejszymi argumentami.

Jej autor może mieć na celu uzyskanie korzyści materialnych, jak również zaszkodzenie konkretnemu miejscu w sieci. Popychać go ku temu mogą względu osobiste, religijne, polityczne lub inne. Bliżej motywacji tego typu ataków przyjrzymy się jeszcze w dalszej części tekstu.

Opisywany w tym artykule atak polega na generowaniu bardzo dużego ruchu w witrynie, która jest jego celem. Robi się to po to, by przeciążyć połączenie sieciowe, usługi lub serwer. Konsekwencją tego jest bardzo powolne działanie serwisu lub jego całkowite unieruchomienie. W krytycznych sytuacjach skończyć się to może nawet całkowitym wyłączeniem infrastruktury lub wywołaniem jej awarii.

Kto może paść ofiarą ataku DDoS?

Zazwyczaj atakujący za cel obierają potężne witryny, strony czy portale, o istotnym znaczeniu. Wykorzystanie sztucznego ruchu pozwala napastnikom unieruchomić te miejsca i narazić ich właścicieli na znaczne straty. Mowa tu zarówno o kłopotach wizerunkowych, jak i finansowych. Z tego względu ofiarami padają często np.:

  • serwery gier,
  • serwisy e-commerce,
  • witryny rządowe,
  • dostawcy internetu,
  • potężne firmy i międzynarodowe korporacje,
  • portale społecznościowe,
  • witryny osób znanych i medialnych.

Szczególnie duże straty wynikające z przeprowadzania tego typu operacji mogą ponieść serwisy bazujące na danych rzeczywistych. Mowa tu o brokerach, bukmacherach czy serwisach aukcyjnych. W ich przypadku każda minuta awarii jest szalenie kosztowna w skutkach. Wstrzymuje to bowiem ich bieżącą pracę, co prowadzi do realnych strat ze względu na zmianę warunków realizowanych usług.

Ofiarami ataków DDoS są jednak nie tylko właściciele blokowanych serwisów. W końcu niedziałająca strona wpływa również na swoich użytkowników. Ostatecznie więc ofiar jest znacznie więcej. Uznać za nie można wszystkich internautów, którzy w danej chwili nie mogą wejść na daną stronę internetową. To z kolei również dodatkowo odbija się na administratorze, który traci zaufanie swoich odbiorców czy klientów.

Na czym polega atak DDoS? Opis działania

Osoba przeprowadzająca atak DDoS musi wygenerować ogromną ilość połączeń z danym miejscem w sieci. Jak więc zapewne się domyślasz, jest to działanie przeprowadzane z więcej niż jednego źródła. Zwykle napastnicy posługują się złośliwym oprogramowaniem, którym infekują komputery zwyczajnych użytkowników internetu. Organizator ataku jest w stanie zdalnie uruchomić i kontrolować ruch kierowany w jedno miejsce. Wykorzystuje do tego specjalne oprogramowanie, które obsługuje na swoim urządzeniu.

Jak to możliwe, że wykorzystywani do ataku użytkownicy nie widzą, co się dzieje? Odpowiadają za to pewnego rodzaju wirusy, działające „w tle”, w całkowicie niewidoczny sposób. Tak powstają tzw. komputery zombie. Są wykorzystywane w ataku bez świadomej wiedzy i zgody ich użytkowników. Korzystają przy tym wyłącznie z takiej ilości zasobów, by sprzęt działał poprawnie. W ten sposób minimalizują ryzyko wykrycia.

W ten sposób dochodzi do wysyłania ogromnych ilości danych z tysięcy komputerów znajdujących się w sieci botnet. Wszystkie trafiają w jedno miejsce, przekraczając jego przepustowość, zasoby i możliwości techniczne. Serwer stara się wykonywać każde żądanie, szybko jednak zostaje przeciążony. Witryna działa wolniej, a z czasem zupełnie przestaje reagować na polecenia. Jej prawdziwi użytkownicy zostają więc od niej odcięci.

Wyjątkowo agresywne ataki DDoS mogą skończyć się nie tylko na czasowej niedostępności strony. Czasem dojść może nawet do awarii lub zniszczenia routerów brzegowych, serwerów czy innych elementów infrastruktury IT. Przez to dana witryna jest niedostępna jeszcze dłużej, co generuje dodatkowe koszty. Co, jeśli na jednej usłudze masz zainstalowanych kilka adresów? W takim przypadku pojedynczy atak sprawi, że niedostępne staną się one wszystkie.

Atak DDoS: Android i sprzęty IoT

Jak wspominaliśmy, ataki DDoS są przeprowadzane za pomocą botnetu. Może on składać się z tysięcy zainfekowanych komputerów, których właściciele o niczym nie wiedzą. Na tym jednak nie koniec. Możliwe jest bowiem wciągnięcie do tej sieci również urządzeń z Androidem. To najpopularniejszy system operacyjny na smartfony na świecie. Trudno się zatem dziwić, że stał się celem internetowych oszustów. Co więcej, dostanie się do niego, często nie stanowi większego wyzwania.

Głównym zagrożeniem w przypadku Androida są liczne aplikacje – również te pobierane z oficjalnego sklepu Play. To właśnie tam autorzy ataków wgrywają zainfekowane oprogramowanie. Następnie jest ono pobierane przez nieświadomych użytkowników. Konsekwencją tego działania jest to, że ich smartfony czy tablety dołączają do botnetu i biorą udział w atakach. Najczęściej wykorzystywane są do tego:

  • motywy,
  • managery pamięci masowej,
  • odtwarzacze wideo,
  • dzwonki.

Co więcej – choć wiele osób nie zdaje sobie z tego sprawy – wykonanie ataku DDoS jest możliwe przy użyciu wszelkich urządzeń IoT. Mowa tu o rozwiązaniach wchodzących w skład tzw. internetu rzeczy. Są to różnego rodzaju elektroniczne urządzenia, komunikujące się z siecią bez ingerencji człowieka. Zwykle kojarzymy je głównie z wyposażeniem typu Smart Home, np.:

  • inteligentne odkurzacze,
  • pralki,
  • żarówki,
  • telewizory,
  • lodówki.

Tego typu sprzęty najczęściej nie są przez użytkowników odpowiednio chronione. To natomiast wzmaga ich podatność na zainfekowanie.

Jak rozpoznawać ataki DDoS?

Atak DDoS można zaobserwować z trzech stron (oprócz oczywiście perspektywy jego autora):

  • właściciela lub administratora witryny,
  • użytkownika atakowanej witryny,
  • użytkownika, którego urządzenie wykorzystano do ataku DDoS.

Jako osoba mająca dostęp do statystyk witryny, możesz niemalże natychmiast zauważyć ataki DDoS. Zwykle wiążą się one z nagłym przypływem ruchu i żądań pozornie związanych z funkcjami dostępnymi na stronie. Co istotne, skok ten rozpoczyna się w jednym momencie – to początek próby ataku. W przypadku standardowej strony taki wzrost od razu wygląda podejrzanie i zwraca na siebie uwagę.

Jako internauta odwiedzający stronę będącą celem ataków DDoS, podejrzane działanie wiąże się ze spadkiem funkcjonalności witryny. Zacznie wolniej działać i przestanie reagować na Twoje żądania. Oczywiście powodów takiego stanu rzeczy może być kilka. Dotyczy zarówno problemów po stronie serwera, jak i Twojego urządzenia czy łącza internetowego. Warto natomiast mieć świadomość, że może być to również wynik zagrożenia atakiem DDoS.

Jak rozpoznać, że Twojego komputera używają ludzie stojący za atakami DDoS? Wykrycie, że zostało się częścią botnetu, jest poważnym wyzwaniem. Najlepiej jest po prostu regularnie skanować urządzenie programami antywirusowymi. Eksperci od ataków DDoS jednak znają się na rzeczy.Starają się robić wszystko, by wykorzystywana przez nich osoba niczego nie zauważyła. Podejrzenia mogą natomiast wzbudzić takie symptomy, jak np.:

  • niespodziewana, wolniejsza praca komputerów,
  • pojawianie się komunikatów o błędach, których wcześniej nie było,
  • niespodziewane przerwy w działaniu urządzenia.

W takiej sytuacji należy od razu przeskanować sprzęt pod kątem złośliwego oprogramowania. Dla pewności można także oddać go do serwisu, by przyjrzeli mu się specjaliści. To szczególnie ważne, jeśli podejrzana sytuacja trwa tylko przez określony czas i powtarza się regularnie.

Ile trwają ataki DDoS?

Niezwykle ważne jest, by w odpowiedni sposób chronić się przed wszelkimi atakami DDoS. Wynika to z faktu, że czas ich trwania nie jest w żaden sposób ograniczony. Wszystko zależy od potrzeb i możliwości osób organizujących tego typu działania.

W internecie możesz znaleźć statystyki udostępniane przez znane firmy zajmujące się cyberbezpieczeństwem. Wskazują one, że najczęściej atak DDoS nie trwa dłużej niż 3 godziny. Aż 80 proc. z nich nie przekracza 4 godzin, a ponad 90% jest krótszych niż 9 godzin. Zdarzają się jednak również skrajne przypadki. Najdłuższe udokumentowane działanie tego typu trwało blisko 21 dni (509 godzin). Doszło do niego w II kwartale 2019 roku.

Specjaliści z zakresu cyberbezpieczeństwa wskazują jednak coraz częściej na niepokojący trend. Jak wynika ze zbieranych przez nich danych, z roku na rok czas przeciętnego ataku się wydłuża. Napastnicy coraz częściej stosują działania 48- i 72-godzinne. Warto więc w odpowiedni sposób chronić się przed atakami, zanim jeszcze do nich dojdzie. Tak długi czas awarii strony może bowiem mieć dla firmy katastrofalne konsekwencje.

Jaki cel przyświeca atakom DDoS?

Ataki wymierzone i kierowane w konkretne strony prawdopodobnie mają przynieść określone skutki. Ich autorzy zazwyczaj chcą w ten sposób osiągnąć wcześniej sprecyzowany cel. Przygotowanie takiego działania wymaga bowiem odpowiedniego przygotowania i jest dość wymagające. Rzadko bywa więc wymierzone w przypadkowe ofiary.

Celem internautów może być również pozbawienie internautów dostępu do wybranych usług z określonego powodu. Często stoi za tym pojęcie tzw. hacktivismu. W tym przypadku serwery są blokowane w związku z kontrowersyjną wypowiedzią lub decyzją osób związanych z danym serwisem. Podobne do tego są też ataki będące odpowiedziami na decyzje polityczne. Zdarza się, że ich celem jest zwrócenie uwagi społeczeństwa na konkretne problemy.

Nie zawsze jednak blokowanie usług ma tak szlachetne pobudki. Nie brak sytuacji, które dotyczą wyłącznie strefy finansowej. Zdarza się, że osoby stojące za atakiem, żądają okupu od właścicieli. W zamian za odpowiednią kwotę obiecują wznowić działanie strony, jest to więc wyłudzenie. Dotyczy to szczególnie potężnych i bogatych przedsiębiorstw. W czasie przerwy bowiem ich straty mogą być naprawdę ogromne. W takiej sytuacji jak najszybsze przekazanie pieniędzy rzeczywiście opłaca się bardziej niż np. przeczekanie problemów.

Oprócz wymienionych wyżej powodów atak może być motywowany również:

  • odwróceniem uwagi pracowników IT od innego, jeszcze niebezpieczniejszego działania,
  • zniszczeniem reputacji danej firmy czy serwisu,
  • podważeniem „niezawodności” czy „bezpieczeństwa” ofiary ataku,
  • wywołaniem niepokoju i złości u użytkowników,
  • chęcią przejęcia lub zniszczenia wrażliwych danych.

Sporadycznie zdarza się, że za atakiem nie stoi żadna konkretna motywacja. Napastnik może wywołać go „z nudów”, bez wyraźnego powodu.

Jakie są skutki ataku DDoS?

Wraz z rozwojem technologii bezustannie wydłuża się także lista zagrożeń. Atak DDoS może być coraz bardziej wyrafinowany, skomplikowany i lepiej zorganizowany. To przekłada się z kolei na fakt, że coraz poważniejsze bywają jego skutki. W przypadku naprawdę dużych serwisów już godzina przerwy w działaniu to straty sięgające dziesiątek tysięcy złotych. To jednak dopiero początek konsekwencji wynikających z ataków wymierzonych w serwery. Oprócz tego nie można zapominać o stratach wynikających z:

  • konieczności skorzystania z zaawansowanych technik odzyskiwania danych (gdy takie okażą konieczne),
  • awarii sprzętu nieprzystosowanego do znacznych obciążeń,
  • utraty zaufania odbiorców i zszarganej reputacji (często ciągnące się wiele miesięcy po ataku),
  • zamknięcia firmy na wiele godzin czy dni (straty operacyjne, produkcyjne itp.),
  • stałej utraty klientów (gdy np. przejdą do konkurencji),
  • utraty własności intelektualnej (atak może być wymierzony w kradzież lub zniszczenie wrażliwych danych),
  • wymuszenia podjęcia określonego działania – zależnie od charakteru ataku, mogą to być straty finansowe (np. opłacenie okupu), wizerunkowe czy moralne (np. ujawnienie niepublicznych informacji).

Trzy główne typy ataków DDoS

Da się wyróżnić różne rodzaje ataków DDoS, zależnie od tego, pod jakim względem będziemy je grupować. Najczęściej natomiast są one dzielone na trzy główne kategorie:

  • wolumetryczne,
  • w warstwie aplikacji,
  • protokołowe.

Poniżej scharakteryzowaliśmy każdy z nich. W dalszej części natomiast uwzględniliśmy jeszcze jeden podział – zależny od wykorzystanego w ataku oprogramowania.

Wolumetryczny atak DDoS

Atak wolumetryczny zdarza się najczęściej. Jego celem jest sprawienie, by dany serwer lub usługa jak najszybciej przestała być dostępna. Odbywa się to przy użyciu ogromnej liczby wygenerowanych zapytań. Serwery ostatecznie osiągają limity przepustowości i przestają działać. Może być wykorzystywana też tzw. technika ataku przez zwielokrotnienie (odbicie).

Wolumetryczne ataki DDoS mogą wykorzystywać różne techniki, takie jak:

  • Ataki ICMP (ping flood)
  • Ataki UDP flood
  • Ataki amplifikacyjne (np. ataki DNS amplification, gdzie atakujący wykorzystuje serwery DNS do zwiększenia ilości generowanego ruchu)

Aplikacyjny atak DDoS

Aplikacyjne ataki DDoS skierowane są bezpośrednio na konkretną aplikację lub usługę (Layer 7). Celem jest wyczerpanie zasobów aplikacji, takich jak np. połączenia do bazy danych.

Przykłady takich ataków: ataki HTTP flood, Slowloris, ataki na specyficzne aplikacje (np. WordPress).

Ten typ ataku skutecznie naśladuje zwykły ruch sieciowy, przez co jest trudniejszy do wykrycia.

Protokołowe ataki DDoS

Atak skupiony na częściach sieci służących do obsługi połączeń sieciowych. Skupiają się one na wykorzystaniu słabości w protokołach sieciowych. Ich celem jest wyczerpanie zasobów systemowych ofiary, takich jak tabele routingu, co skutkuje problemami z działaniem usługi bądź serwera. Przykłady: SYN flood, Ping of Death, Smurf attack.

Rodzaje ataków DDoS a wykorzystane oprogramowanie

Do organizacji ataków napastnicy mogą wykorzystywać różnego typu oprogramowanie. Na podstawie tego aspektu wyróżnić się da takie rodzaje działań, jak np.:

  • HOIC (High Orbit Ion Cannon) – program często stosowany przez hacktywistów. Powstał jako odpowiedź na zamknięcie popularnego serwisu Megaupload.com. Ma prosty interfejs graficzny, przez co sprawdza się nawet w rękach niezbyt doświadczonych użytkowników. Pozwala masowo wysyłać żądanie GET i POST HTTP;
  • R-U-Dead-Yet (R.U.D.Y.) – pozwala na organizację ataków slow i low. Wysyła żądanie HTTP POST ze zbyt długim nagłówkiem HTTP „content-length”. Do działania wykorzystuje formularze wbudowane w atakowanej witrynie. W określonym czasie wypełnia formularz informacjami w jednobajtowych pakietach danych. Dzięki powolnej wysyłce tworzy kolejkę zalegających wątków, uniemożliwiając serwerowi zamknięcie połączenia. W ten sposób dochodzi do przeciążenia;
  • LOIC (Low Orbit Ion Cannon) – program często wykorzystywany przez osoby początkujące i hacktywistów. Pozwala w łatwy sposób generować ruch TCP, UDP i HTTP. Kojarzony często z międzynarodową grupą Anonymous;
  • Mirai – narzędzie wykorzystujące Internet Rzeczy. To nowoczesne rozwiązanie atakujące serwery DNS i doprowadzające do ich przeciążenia. Gdy do tego dojdzie, nie przerywa wysyłania zapytania. Robi to, aż do chwili, gdy żaden DNS nie będzie miał szans na odpowiedź.

W jaki sposób bronić się przed atakami DDoS?

Na wstępie należy podkreślić, że nie istnieje niestety jeden uniwersalny i w pełni skuteczny sposób ochrony przed atakami DDoS. Wynika to z faktu, że ich rodzaje są bezustannie doskonalone i omijają kolejne typy ochrony serwerów. Nie oznacza to natomiast, że jako właściciel witryny internetowej, pozostajesz wobec tego zupełnie bezradny. Jest kilka rodzajów działań, które warto podjąć, by chronić swoje miejsce w sieci.

Rozproszenie serwisów

Podstawową strategią obronną jest rozproszenie swoich miejsc w sieci. To bardzo proste i logiczne działanie. Załóżmy, że masz kilka skrzynek pocztowych i witryn WWW. Wszystkie trzymasz na swoim jednym serwerze. Wystarczy więc, że napastnicy przeprowadzą atak na to urządzenie, by pozbawić Cię wszystkich usług w jednej chwili. To minimalizuje Twoje możliwości prawidłowej reakcji do minimum. Sprawia jednocześnie, że straty będą bardzo dotkliwe.

Łatwo możesz się przed takim scenariuszem jednak uchronić. Wystarczy tylko, że umieścisz swoje dane na różnych serwerach, hostingach itd. Im mniej je będzie ze sobą łączyło, tym większa szansa na to, że nie wszystkie padną ofiarą jednoczesnego ataku. Warto ponadto mieć aktualne kopie zapasowe wszystkich swoich usług i danych. Najlepiej, by były przechowywane offline, na wypadek zaawansowanych ataków.

Ochrona oferowana przez dostawcę internetu lub hostingodawcę

Niektórzy dostawcy internetu oferują rozmaite metody ochrony przed złośliwymi działaniami. Mogą one polegać np. na wczesnym wykrywaniu i blokowaniu podejrzanego ruchu. Zazwyczaj celem tych metod jest uniemożliwienie ataku jeszcze przed tym, gdy strona zostanie zablokowana. Zdarza się, że podobne rozwiązania w swoich ofertach mają także hostingodawcy. Warto przyjrzeć im się bliżej i rozważyć wprowadzenie tego typu dodatkowego zabezpieczenia. Nie zawsze jest ono skuteczne, zwiększa natomiast Twoje szanse i zmniejsza ewentualne straty.

Ochrona w chmurze (np. Cloudflare)

Wielu właścicieli witryn internetowych decyduje się na ochronę w postaci usług serwisów CDN. Dobrym przykładem jest Cloudflare lub inne rozwiązania CDN, dostępne np. w Microsoft Azure, Google Cloud Platform czy Amazon Web Services. Są to narzędzia bazujące na rozproszonej po całym świecie sieci serwerów. Ma ona na celu zapewnienie bezpieczeństwa swoim klientom. Daje dostęp do skalowalnych zasobów i profiluje ruch użytkowników w celu łagodzenia ataków DDoS. W przypadku Cloudflare usługa tego typu w najlepszej wersji nazywa się Cloudflare Adaptive DDoS protection i dostępna jest dla klientów korzystających z planu Enterprise. Choć i w najtańszym planie możemy liczyć na ochronę.

Korzystanie z firewall

Systemy firewall to rozwiązania tak powszechne i oczywiste, że niektórzy o nich zapominają. Zawsze pilnuj tego, czy Twój firewall działa i skanuje poprawnie wszystkie elementy. To istotny element systemu obrony, który może Ci pozwolić wcześnie zauważyć próby włamania, np. do aplikacji. Po jej wykryciu natomiast warto zachować szczególną czujność i przygotować dalszy plan działania.

Wzmocnione łącze i infrastruktura

Dobrą praktyką jest korzystanie z mocniejszego łącza i bardziej wydajnej infrastruktury niż są Ci rzeczywiście potrzebne. Fakt, że czasem wiąże się to z nieco wyższymi wydatkami. W praktyce natomiast może zapewnić nieco czasu potrzebnego do zareagowania na zauważony atak.

Jak reagować na ataki typu DDoS?

Wiesz już, jak możesz potencjalnie zniechęcić napastnika do przeprowadzenia ataku. W przypadku mniej zaangażowanej akcji być może nawet przejdzie to bez echa. Co jednak, jeśli Twoje miejsce w internecie padnie ofiarą naprawdę poważnej ofensywy? To zawsze nerwowa chwila, w której czas ma istotne znaczenie. Przygotowaliśmy więc zestaw porad, które mogą Ci pomóc, jeśli Twój serwis znajdzie się „pod ostrzałem”.

Zachowanie spokoju

Podstawową zasadą jest spokojne podejście do problemu. Przede wszystkim nie panikuj i staraj się zareagować na tę sytuację racjonalnie. Najpierw sprawdź, czy w ostatnim czasie wystąpiły próby logowania do Twojego konta administratora. Jeśli nie, to mimo ataku dane przechowywane na serwerze pozostają bezpieczne. Dotyczy to zarówno przechowywanych przez Ciebie informacji, jak i danych strony czy użytkowników. To bardzo dobra informacja.

Przeważająca większość ataków trwa około 2-3 godzin. Masz więc trochę czasu. W pierwszej kolejności wykorzystaj go do poinformowania Twoich klientów o tym, co się dzieje. Możesz wykorzystać do tego mailing czy inne kanały kontaktu (np. media społecznościowe). Pamiętaj, że z perspektywy internautów niedziałająca strona świadczy o Twoim braku profesjonalizmu. Musisz więc zadbać o jak najszybsze wyjaśnienie, że wina nie leży po Twojej stronie i jesteś ofiarą.

Powyższe działanie pomoże Ci ograniczyć straty wizerunkowe. Wysyłając wiadomość, nie zapomnij wspomnieć o tym, że dane użytkowników są bezpieczne mimo ataku. Zapewnij ich także o odpowiednich zabezpieczeniach i walce z napastnikiem. Liczy się bowiem nie tylko Twój spokój, ale również Twoich odbiorców. Następnie możesz przejść do kolejnych działań.

Kontakt z hostingodawcą

Twoim kolejnym ruchem powinno być skontaktowanie się z hostingodawcą. Zależnie od wykupionego pakietu hostingowego, masz do wykorzystania ograniczoną ilość zasobów serwera. Ich przekroczenie może natomiast narazić Cię na dodatkowe koszty. Usługodawca musi wiedzieć, że nagły wzrost stanowi problem. Zapewnij go, że nie jest to celowy element rozwoju Twojej działalności.

Polecamy korzystanie z usług hostingodawców, którzy w swoich pakietach oferują ochronę przed atakami DDoS. Zwykle mają oni opracowane procedury podejmowane na wypadek występowania takich sytuacji. Najczęściej też w ich przypadku nie trzeba obawiać się naliczania dodatkowych opłat za „ponadprogramowy” ruch.

Weryfikacja danych CDN i firewall

Następny krok to upewnienie się, czy wdrożone wcześniej zabezpieczenia działają prawidłowo. Zaloguj się do Cloudflare, firewalla i innych rozwiązań ochronnych, z których korzystasz. Sprawdź, czy nikt niepożądany nie próbował się do nich dostać w ostatnim czasie. Możesz przy okazji prześwietlić swój serwer, stronę i aplikację pod kątem obecności złośliwego oprogramowania. Zdarza się w końcu, że atak DDoS stanowi wstęp do znacznie poważniejszego ataku.

Blokowanie IP i geoblokowanie

Czas przejść do kontrofensywy. Nawet w czasie trwającego ataku możesz spróbować zmniejszyć jego skalę. Aby to zrobić, postaraj się przeanalizować odnotowywany wzrost ruchu. Być może uda Ci się zauważyć tam pewną prawidłowość. Zdarza się, że większość wejść pochodzi z jednego adresu IP (lub kilku czy kilkunastu). Widzisz źródło powtarzające się wielokrotnie w krótkim czasie? Bardzo możliwe, że to jeden z adresów odpowiedzialnych za Twój problem. Zablokuj jego dostęp do witryny, co spowolni go przynajmniej na chwilę.

Alternatywnym rozwiązaniem jest geoblocking. Działa na tej samej zasadzie, co powyższa metoda z IP. W tym przypadku natomiast namierzasz niechciane źródła po ich lokalizacji. Bardzo często tego typu ataki pochodzą z innych krajów czy kontynentów. Postaraj się więc wykluczyć większe obszary, z których na pewno nie pochodzą Twoi użytkownicy. Może być to dość łatwe, o ile prowadzisz serwis lokalny, o określonym zasięgu.

Obie te metody niestety nie są uniwersalnym antidotum, pozwalającym zakończyć atak. Działają zwykle dość krótko, dopóki napastnik nie zmieni adresu lub lokalizacji. Potem zapewne przeprowadzi kolejną falę wejść. Mimo wszystko jednak – przynajmniej w pewnym stopniu – ograniczysz jego możliwości i go spowolnisz. Zapewnisz też wytchnienie swojej infrastrukturze IT.

Przykłady ataków DDoS

Historia internetu usiana jest przykładami bardziej lub mniej spektakularnych ataków DDoS. W wielu przypadkach wiadomo nawet, kto za nimi stał, bo organizacje te ujawniały się, gdy było to w ich interesie. Dotyczy to zarówno „polskiego podwórka” oraz firm działających w obrębie naszego kraju, jak i międzynarodowych korporacji czy witryn rządowych. Niektóre z bardziej znanych i widowiskowych przykładów to np.:

  • 21 października 2002 roku – zaatakowanych zostaje 13 głównych serwerów DNS, odpowiedzialnych za tłumaczenie nazw domen na adresy IP (blokada 9 z nich);
  • 3 grudnia 2006 roku – atak na portal Gazeta.pl;
  • 3 lutego 2004 roku – atak na serwery Microsoft;
  • maj 2007 roku – atak na serwis Policja.pl (rzekomo będący odwetem za nalot na jeden z serwisów udostępniających napisy do filmów);
  • 21 stycznia 2012 roku – ataki na strony polskich instytucji rządowych i parlamentarnych przez grupę Anonymous (związane z planowanym podpisaniem porozumienia ACTA);
  • 23 lutego 2022 roku – atak na ukraińskie strony państwowe i serwisy instytucji państwowych (dzień przed zbrojną inwazją Rosji).

Gdzie organizowane są ataki DDoS?

Zaawansowane ataki typu DDoS zwykle nie są przeprowadzane przez przypadkowych użytkowników internetu. To osoby z bogatym doświadczeniem i wiedzą z zakresu obsługi komputerów i internetu. Nie da się natomiast jednoznacznie określić, gdzie dochodzi do nich najczęściej. Pojawiają się bowiem nieustannie praktycznie na całym globie. Często też inicjowane są w jednym miejscu, by zaszkodzić firmie oddalonej o tysiące kilometrów.

Odnalezienie prawdziwego sprawcy jest niezwykle trudnym zadaniem, a często wręcz niemożliwym. Mimo to natomiast są miejsca w sieci, które pozwalają obserwować odbywające się ataki w czasie rzeczywistym. Oczywiście nie znajdziesz tam szczegółowych danych na ich temat. Pozwala to natomiast uświadomić sobie, jak wiele tego typu sytuacji dzieje się w każdym momencie. Dwie tego typu witryny to np.:

Atak DDoS a polskie prawo

Zgodnie z Kodeksem karnym przeprowadzenie ataku DDoS jest przestępstwem. Dotyczy to każdego rodzaju działań, niezależnie od ich skali, motywacji czy efektów. Nie mogą robić tego zarówno profesjonaliści, jak i osoby chcące „spróbować” czegoś nowego w internecie. Szczegóły tego czynu mają natomiast bezpośredni wpływ na wymiar kary. Reguluje to:

  • Art. 268. § 1.

Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

  • Art. 268. § 2.

Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.

  • Art. 268. § 3.

Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.”

W tym przypadku istotny jest również jeszcze jeden artykuł. Związany jest z zakłócaniem procesu przetwarzania informacji:

  • Art. 268a. § 1.

Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

  • Art. 268a. § 2.

Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.”

Co istotne, wszystkie powyższe przepisy dotyczą wyłącznie ataków, które już zostały przeprowadzone i zakończone. Niezgodnie z prawem postępuje natomiast również użytkownik, który dokonuje:

  • włamania do systemu informatycznego,
  • niszczy dane,
  • zmienia dane.

Co więcej, za przestępstwo uważane jest nawet tworzenie oprogramowania umożliwiającego przeprowadzanie ataków typu DDoS. Świadczy o tym:

  • Art. 269b. § 1.

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,podlega karze pozbawienia wolności do lat 3.

  • Art. 269b. § 2.

W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.”

Musisz wiedzieć, że ataki DDoS nie są ścigane z urzędu. W praktyce oznacza to, że osoba prywatna, firma czy instytucja, sama musisz wystosować o to wniosek jako pokrzywdzona. W związku z tym, że takie działanie jest przestępstwem, karane jest też samo grożenie jego przeprowadzeniem.