Categories
Bezpečnosť Pre používateľov

Čo je to DDoS útok a ako sa mu účinne brániť? (+príklady)

ddos útoky
Doba čítania: 12 min.

Hneď na začiatku roka sme zažili kybernetický útok na kataster nehnuteľností. Nasledoval nepríjemný útok na Všeobecnú zdravotnú poisťovňu. Mnohí z vás si všimli, že sa v tejto súvislosti často skloňoval pojem DDoS útok.

Hoci sa nakoniec ukázalo, že problém bol zrejme inde, viete, v čom spočíva DDoS útok a aký je rozdiel medzi DDoS a DoS?

Ak máte vlastný web alebo e-shop, určite čítajte ďalej.

Obsah

  1. DoS útok – čo to je?
  2. Čo je DDoS útok?
  3. Prečo si útočníci vyberajú DDoS?
  4. Ako rozpoznať DDoS útok?
  5. Môže byť DDoS útok trestný čin?
  6. Ako sa chrániť voči DDoS útoku?
  7. Ako vás voči DDoS chráni Websupport?

DoS útok – čo to je?

DoS je skratkou pre Denial of Service, v preklade odmietnutie služby, čo je cieľom tohto kybernetického útoku. Napadnutá služba v tomto prípade môže byť akákoľvek webová stránka alebo aplikácia, ale aj celá firemná sieť.

Tento útok je „jednoduchšia verzia“ DDoS. Spočíva v tom, že útočník použije jedno zariadenie na útoky na iné zariadenie tak, aby toto prestalo riadne fungovať.

Príklad

Ak sa vám to zdá príliš abstraktné, predstavte si už spomínaný kataster nehnuteľností. Ak využijete jedno zariadenie, napríklad svoj počítač, z ktorého vďaka špeciálne vyvinutému programu vyšlete za sekundu desiatky až stovky požiadaviek na vyhľadanie nehnuteľností, čo urobí server, na ktorom kataster beží? Prestane byť schopný tieto požiadavky vybavovať kvôli úplnému zahlteniu pamäte a výpočtového výkonu.

Výsledkom môže byť pomalé načítanie služby alebo jej úplné „spadnutie“. Od mohutnosti útoku záleží, či toto obmedzenie bude trvať niekoľko minút, hodín, dní alebo aj dlhšie. Ak máte napríklad vlastný e-shop, asi už vám začínajú blikať kontrolky.  

Čo je DDoS útok?

Pri DDoS útoku je cieľ útoku rovnaký ako pri DoS, líši sa však v spôsobe jeho realizácie. Ako už napovedá význam tejto skratky – Distributed Denial of Service (v preklade distribuované odmietnutie služby), útočník sa nezameriava v prvom kroku priamo na zariadenie obete. Najprv si postupne vytvára „armádu“ počítačov, ktorá mu následne poslúži na samotný útok.

Ako? Útočník si vytipuje iné zariadenia (najčastejšie počítače prepojené internetom alebo rôzne IoT zariadenia, ktoré poznáme aj pod pojmom smart zariadenia pripojené na internet), ktoré z riadiaceho serveru nakazí vírusom a urobí z nich tzv. botov alebo zombie zariadenia.

Ako ich nakazí? Spôsobov je mnoho. Jedným z nich môže byť klasický phishing, o ktorom si u nás viete prečítať na viacerých miestach.

Takto infikovaným zombíkom útočník následne rozposiela príkazy, čo majú robiť. Príkazy spočívajú práve v útokoch na cieľové zariadenie priamo z týchto infikovaných počítačov, a to dokonca až v objeme až 5.6 Tbps (Terabitov za sekundu). Takto sa vyšle nadmerný počet požiadaviek na cieľové zariadenie nie z jedného počítača, ale z celej siete, ktoré tvoria tzv. botnet (sieť infikovaných „zombie“ počítačov).

Takýto botnet je možné si na dark webe aj klasicky prenajať, a to za relatívne nízke ceny.

Príklad

Väčšina HTTP DDoS útokov v roku 2024 (73 %) bola uskutočnených zo známych botnetov (zdroj: cloudflare.com).

Predstavme si to ako 100 hackerov, ktorí sedia za svojimi počítačmi na rôznych miestach, v rovnakom čase sa koordinujú a vysielajú požiadavky na cieľové zariadenie, aby ochromili jeho činnosť. Akurát, že títo hackeri nie sú živí, ale nahrádza ich sieť počítačov riadených z jedného centra.

Vo výsledku to máme ako diaľnicu, ktorú upchalo množstvo áut z rôznych smerov. A ľudia, ktorí sa potrebujú dostať do práce, nedokážu prejsť. V prípade DDoS útoku je cesta upchatá zámerne.

Čo potrebuje útočník?

  1. Vlastné zariadenie (riadiaci server alebo tzv. Command and Control server = C&C server)
  2. Počítačový vírus na postupné ovládnutie iných zariadení
  3. Zariadenia zapojené na internet, ktoré vytvoria botnet (zombie sieť)

Následne stačí spustiť počítačový vírus na diaľku na infikovanie ostatných zariadení a zombie sieť môže zaútočiť na cieľové zariadenie z každého smeru.

Útočníci často pri DDoS útokoch používajú aj IP spoofing, t.j. zatajenie svojej skutočnej IP adresy, prípadne IP adresy útočiacich botov, a jej nahradenie inou. Môže ísť o úplne fiktívnu IP adresu alebo skutočnú IP adresu niekoho iného, prípadne aj samotného napadnutého zariadenia.

Tip: Ak vás zaujíma spoofing podrobnejšie, ako funguje a ako sa mu vyhnúť, všetko, čo potrebujete vedieť, nájdete v našom samostatnom článku.

DDoS môže byť zameraný aj na zastrešujúcu službu. Napríklad si útočníci môžu vybrať za cieľ systém poskytovateľa internetu alebo doménových mien (DNS server) a „zrušiť“ tak naraz niekoľko systémov. V takom prípade ide skutočne o typ útoku, kedy s menším (či väčším) úsilím, v závislosti od jeho šikovnosti, útočník dosiahne následky veľkého rozsahu a spôsobí doslova chaos na internete.

Príklad

V roku 2016 došlo k masívnemu útoku na významného poskytovateľa DNS, ako kľúčový prvok pre sieťovú infraštruktúru viacerých veľkých spoločností ako Netflix, PayPal, Visa, Amazon a The New York Times. Vďaka postupnému vytvoreniu masívneho botnetu, vrátane zariadení IoT (internetu vecí), hackeri uskutočnili v tom čase najväčší zaznamenaný DDoS útok. Dostupnosť všetkých služieb sa však podarilo do konca toho istého dňa obnoviť.

Podľa zverejnených zdrojov sú DDoS útoky neustále na vzostupe. Len v prvej polovici roku 2024 bolo zaznamenaných zhruba 8 miliónov DDoS útokov (zdroj: cm-alliance.com).

Počas minulého roka pochádzalo najviac útokov z krajín ako Indonézia, Hongkong, Singapur a Ukrajina (zdroj: cybernews.com).

Ak vás zaujíma, ako vyzerajú vizuálne zobrazené útoky, pozrite si živé mapy kybernetických útokov, napr. na digitalattackmap alebo cybermap od Kaspersky.

Prečo si útočníci vyberajú DDoS?

Túto otázku ste si už pri čítaní týchto riadkov zrejme položili. Čo z toho ten útočník má? Veď to asi nebude časovo ani finančne nenáročné. Čo ho potom k tomu vedie?

Skúste sa vžiť do majiteľa firemnej siete, napríklad kuriérskej služby, ktorá vďaka DDoS prestala na 3 dni fungovať. Alebo predávate zdravú výživu cez svoj e-shop, ku ktorému sa zákazníci nevedia týždeň dostať a vaše produkty sú na sklade. Tiež (bez využitia väčšej fantázie) si predstavte, že by DDoS smeroval voči webu katastra nehnuteľností (ako sme už uviedli, v prípade zo začiatku tohto roka išlo zrejme o iný typ útoku) alebo Všeobecnej zdravotnej poisťovne.

Vo výsledku, okrem škody, reputačných následkov a nákladov na obnovu systému pre majiteľa cieľového webu alebo siete, prirodzene dochádza k odlivu zákazníkov na web, ktorý na rozdiel od napadnutého webu ďalej funguje. Zákazník predsa chce svoju službu. A pôjde tam, kde ju dostane.

Čo najčastejšie motivuje útočníkov?

  • Áno správne – asi vás už napadlo, že takýto útok si môže objednať konkurencia. Teda útočník to robí zo zištných dôvodov a svoj útok predáva ako určitý typ „služby“ pre svojich „zákazníkov“.
  • Zištným dôvodom môže byť motivované aj vydieranie takéhoto podnikateľa samotným útočníkom – „Ak chceš, aby tvoj systém znovu fungoval, zaplať a útok skončí“ alebo „Zaplať a tebe sa to nestane“ (tzv. DDoS Ransom Attacks).
  • Ďalším dôvodom môže byť aj presvedčenie, že hacker „bojuje so zlom“. Ak sa mu podnikanie jeho obete nepáči, môže sa takýmto spôsobom ako aktivista snažiť poukázať na jeho praktiky a zbaviť svet na chvíľu jeho škodlivej online prítomnosti.
  • Inými dôvodmi je zakrytie iných svojich činov, teda starým známym odpútaním pozornosti. Vďaka tomu sa všetci venujú nedostupnosti štátnej online služby alebo veľkej firemnej siete a na pozadí zatiaľ nepozorovane prebieha niečo iné. Nechávame na vašej fantázii, ako by sa tento prístup dal využiť v praxi.

Príklad

Jeden náš známy sa stal obeťou (D)Dos útoku v podobe zahltenia jeho e-mailovej schránky obrovským množstvom doručovaných e-mailov za sekundu. Tým došlo k úplnému znefunkčneniu jeho e-mailu a známy nemal tušenie, či mu prišlo akékoľvek upozornenie od Paypalu. Kým sa on „zabával“ so znefunkčnenou schránkou, útočníci si zatiaľ previedli všetky jeho peniaze z jeho Paypal účtu.

  • Ďalšími dôvodmi bývajú demonštrácia schopností medzi hackermi, osobná pomsta, kyberterorizmus (zastrašenie verejnosti) a pod.

Príklad

V roku 2021 bol napadnutý ruský technologický gigant Yandex. DDoS útok trval vyše mesiaca a dosiahol silu až 22 miliónov požiadaviek za sekundu. Prekvapivo pri tomto útoku nedošlo k narušeniu služieb ani úniku žiadnych osobných údajov.

Ako rozpoznať DDoS útok?

Cieľové zariadenie je naprogramované vybavovať požiadavky, ktoré prichádzajú od návštevníkov webu alebo používateľov aplikácie. Tým, že útočiaca zombie sieť je tvorená normálnymi, bežnými zariadeniami, ktoré napríklad aj teraz držíte v ruke, je ťažké takéto útoky rozpoznať a odmietnuť.

Prvým varovným signálom je spomalenie načítania alebo reakcií webu alebo systému pre zákazníkov či zamestnancov vo firme, alebo ich úplná nedostupnosť.

Problémy s dostupnosťou verejných služieb monitoruje viacero stránok. Ak chcete vedieť, aké problémy sú nahlasované so službami na Slovensku, môžete si otvoriť napríklad slovenský downdetector. Ak chcete vedieť, či konkrétny web nefunguje len vám (problém je u vás) alebo všetkým (problém je vo webe), zadajte adresu webu napríklad sem (výsledky v angličtine).

Keďže spomalené reakcie môžu byť výsledkom aj bežných problémov, dôležité je pátrať ďalej. Najčastejšie bude potrebné sa pozrieť do systému a urobiť analýzu prichádzajúcich dopytov, ktorá preukáže, či ide o legitímne návštevy alebo falošné požiadavky botov.

Pri analýze zvýšenej návštevnosti pomôžu napríklad tieto znaky:

  1. Zvýšený počet dopytov v neobvyklom čase (mimo klasickej špičky).
  2. Dopyty majú zhruba rovnaký profil (rovnaký typ zariadenia, prehliadača, operačného systému, geolokácie, rovnakú IP adresu alebo rozsah IP adries, atď.).
  3. Dopyty smerujú na tú istú funkcionalitu webu alebo podstránku a pod.

Ak máte podozrenie, že môže na vašom webe alebo systéme prebiehať DDoS, obráťte sa čím skôr na skúseného IT experta alebo ihneď kontaktujte nás, ak hosting máte u nás.

Môže byť DDoS útok trestný čin?

„Klasický“ hackerský útok si väčšina z nás predstaví ako preniknutie a ovládnutie systému hackerom, najčastie tzv. black hat hackerom. Tento sa nabúra do systému prelomením jeho ochrany a následne ukradne dáta, vymaže systémy alebo ich zašifruje a žiada výkupné (tzv. ransomware).

Keď sa vrátime k povahe DDoS útoku, táto spočíva vo využití prirodzených funkcionalít cieľového webu alebo systému reagovať na vonkajšie požiadavky. Síce dochádza k nainštalovaniu škodlivého „ovládacieho“ programu do zombie počítačov, ale tie samotné nie sú cieľom, ale nástrojom útoku.

Digitálna univerzita

Cieľové zariadenie

Zariadenie ako cieľ DDoS útoku nie je nijakým spôsobom penetrované, teda ochrana systému a údajov v ňom nie je narušená prelomením jeho ochranných opatrení. V takom prípade môžeme hovoriť o „útočníkovi pred bránami“.

Čistý DDoS útok najčastejšie využíva len to, že cieľový počítač nebude schopný odpovedať na zvýšený počet požiadaviek a výrazne sa spomalí alebo sa rovno „zavarí“ a prestane pracovať.

Keď sa vrátime k nášmu príkladu so zahltením diaľnice autami z každého smeru. Myslíte, že by to mohol byť trestný čin? Ak sa do obchodu naraz nahrnie tak veľké množstvo zákazníkov, že budete musieť čakať v rade a možno sa do neho v ten deň ani nedostanete, bolo by to trestné?

Povedzme, že také ľahké to nie je, ale cesty sú.

Poďme sa najprv pozrieť na počítačové trestné činy:

Neoprávnený prístup do počítačového systému (§ 247 ods. 1 slovenského Trestného zákona; podobne: § 230 ods. 1 českého Trestního zákonníku):

Kto prekoná bezpečnostné opatrenie, a tým získa neoprávnený prístup do počítačového systému alebo jeho časti, potrestá sa odňatím slobody až na dva roky.

Vyššie tresty hrozia, ak útočník spôsobí väčšiu škodu alebo spácha tento čin ako člen nebezpečného zoskupenia (napríklad skupiny hackerov), až do 5 rokov väzenia.

Ako je zrejmé z tohto trestného činu, páchateľ musí naplniť súčasne 2 znaky:
a) prekonať bezpečnostné opatrenie, a zároveň
b) získať prístup do počítačového systému.

Preto klasický DDoS útok bude ťažko možné postihovať týmto trestným činom.

Ďalej poznáme trestný čin Neoprávnený zásah do počítačového systému (§ 247a ods. 1 slovenského Trestného zákona; podobne § 230 ods. 2 českého Trestního zákonníku):

Kto obmedzí alebo preruší fungovanie počítačového systému alebo jeho časti

a) neoprávneným vkladaním, prenášaním, poškodením, vymazaním, zhoršením kvality, pozmenením, potlačením alebo zneprístupnením počítačových údajov, alebo

b) tým, že urobí neoprávnený zásah do technického alebo programového vybavenia počítača a získané informácie neoprávnene zničí, poškodí, vymaže, pozmení alebo zníži ich kvalitu,

potrestá sa odňatím slobody na šesť mesiacov až tri roky.

V tomto prípade páchateľ musí obmedziť funkčnosť počítača, a to (okrem iného) potlačením alebo zneprístupnením počítačových údajov. To už sa začína podobať na DDoS útok, čo poviete?

Ak by sa niekto predčasne radoval (alebo smútil) z nejednoznačnosti týchto počítačových trestných činov, pripomeňme si, že tento typ kybernetickej kriminality je možné stíhať aj ako Poškodzovanie cudzej veci (trest v základnej sadzbe do 2 rokov), či Poškodzovanie a ohrozovanie prevádzky všeobecne prospešného zariadenia (trest v základnej sadzbe do 5 rokov) alebo Všeobecné ohrozenie (trest v základnej sadzbe do 10 rokov) a pod.

Preto, ak ste sa stali obeťami DDoS útoku, určite sa neváhajte obrátiť na príslušné orgány, obzvlášť, ak vám vznikla škoda.

Zombie počítače

V prípade infikovaných počítačov, ktoré sú využité ako nástroje na DDoS útok je to – ako hádate správne – o niečo ľahšie. S veľkou istotou by prišiel do úvahy trestný čin Neoprávnený prístup do počítačového systému a podľa okolností aj ďalšie.

Závažnosť (a tým aj výška trestu) by sa zvyšovala s počtom napadnutých počítačov.

Ako sa chrániť voči DDoS útoku?

Ako sme uviedli, ak máte podozrenie na už prebiehajúci útok, čo najskôr situáciu riešte s odborníkom.

Keďže prevencia je lepšia ako liečba, poďme sa pozrieť na štandardné opatrenia ochrany proti tejto kybernetickej hrozbe:

  • Majte prehľad o trendoch v prevádzke vášho webu, teda kedy je štandardná nízka prevádzka a kedy je vysoká, tiež počítajte so zvýšenou prevádzkou počas sezónnych akcií alebo marketingových kampaní.
  • Pravidelne monitorujte vašu infraštruktúru, aby ste včas mohli rozpoznať nezvyčajné správanie, rozlíšiť medzi nárazovým zvýšeným záujmom vašich zákazníkov a DDoS útokom, a zabrániť mu včas.
  • Majte vopred pripravené postupy pri podozrení na DDoS a plán obnovy, ak k nemu dôjde (vrátane kvalitných a dobre chránených záloh).
  • Pravidelne aktualizujte softvér na všetkých svojich zariadeniach a prijímajte všetky ostatné štandardné bezpečnostné zariadenia, aby sa váš počítač nestal súčasťou botnetu.
  • Ak vaša infraštruktúra nie je dostatočne robustná alebo nemáte dostatok financií na zabezpečenie jej odolnosti, preskúmajte dostupné ponuky cloudových riešení.

Ak máte hosting u nás a máte podozrenie na DDoS útok, ihneď nás kontaktujte a spolu to vyriešime.

Ako vás voči DDoS chráni Websupport?

U nás vo Websupporte sme na útoky DDoS už dlhodobo dobre pripravení.  

Všetko potrebné nájdete v podrobnom rozhovore s naším niekdajším expertom na kyberbezpečnosť, ktorý porozprával o tom, ako sme zaviedli nový účinný štít voči DDoS útokom, vrátane nasadenia technológie IP anycast. Toto opatrenie zároveň výrazne zrýchlilo odozvu našich systémov.

Weby hostované u nás sa preto rýchlejšie načítavajú a sú výrazne bezpečnejšie. A to pre väčší používateľský komfort vás a vašich zákazníkov.

 *Tento článok nebol ani sčasti vytvorený žiadnou AI a má len informačný charakter.

Vypočujte si na záver podcast o tom, ako sa pripraviť na kyber-hrozby:

By Simona Uhrinová

Simona je fanúšička digitálneho sveta a kyberbezpečnosti, copywriterka a IT právnička. Je vášnivá cestovateľka s láskou k dobrovoľníctvu, zdravému životnému štýlu, netradičným víziám a večná začiatočníčka v programovaní.
Motto: "Life is 10 % what happens to you and 90 % how you react to it." – Charles R. Swindoll

Leave a Reply

Your email address will not be published. Required fields are marked *