etechblog

10 různých typů DDoS útoků a jak jim předcházet

Photo of author

By etechblogcz

Útoky typu DDoS představují vážné nebezpečí pro zabezpečení webových stránek a mohou způsobit značné škody, včetně úniku citlivých dat, poškození reputace a finančních ztrát. Je proto klíčové, aby provozovatelé webů byli na takové útoky připraveni.

I drobná slabina v zabezpečení může vést k problémům, jako jsou právě útoky DDoS. Hlavním cílem těchto online útoků je zpomalit nebo zcela vyřadit webovou stránku z provozu zahlcením její sítě falešným provozem. Jde o jakési umělé vytvoření dopravní zácpy na internetu.

Vlastníci webových stránek by proto měli mít povědomí o různých typech DDoS útoků a znát způsoby, jak tyto útoky zmírnit nebo alespoň minimalizovat jejich dopad. Opatření v této oblasti se stávají nezbytností pro ochranu online aktiv.

Podle některých analýz by se počet útoků DDoS v roce 2023 mohl navýšit až o 300 %. To je alarmující zpráva jak pro jednotlivce, tak i pro firmy, protože útoky tohoto typu mohou jejich webové stránky poškodit mnoha způsoby. Důsledky mohou být velmi rozmanité a často i nákladné.

V tomto textu se zaměříme na různé typy DDoS útoků, které jsou v současné době nejvíce rozšířené. Ukážeme si, jak jim předcházet a jak chránit vaše webové stránky před jejich negativním dopadem. Bezpečnost online prostředí je tématem, které by nemělo být opomíjeno.

Co je to útok DDoS?

DDoS útok (Distributed Denial of Service) je bezpečnostní hrozba pro webové stránky, která spočívá v zahlcení serveru, sítě nebo služby nadměrným množstvím falešného provozu. K útokům mohou být využity počítače a další síťová zařízení, jako jsou například zařízení IoT. Jde o koordinovanou akci, která má za cíl vyřadit webovou stránku z provozu.

Hlavním cílem DDoS útoku je přetížit systém falešným provozem, jako je enormní množství požadavků na připojení, zpráv nebo datových paketů. Takto vytvořený nadměrný objem požadavků může způsobit, že se systém zhroutí nebo alespoň výrazně zpomalí, protože nebude schopen uspokojit všechny příchozí požadavky. Jednoduše řečeno, systém „nestíhá“ zpracovávat obrovské množství požadavků.

Zatímco někteří útočníci využívají tyto útoky k vydírání majitelů webových stránek s cílem získat peníze, mezi hlavní motivy útoků DDoS patří:

  • Narušení komunikace a dostupnosti služeb.
  • Poškození dobrého jména a image značky.
  • Získání nekalé konkurenční výhody.
  • Odvedení pozornosti bezpečnostního týmu od jiných incidentů.

Při absenci adekvátních bezpečnostních opatření se cílem DDoS útoků mohou stát firmy všech velikostí. Mezi nejčastěji napadané subjekty patří:

  • Internetové obchody.
  • Finanční a fintech společnosti.
  • Online kasina a herní společnosti.
  • Státní instituce.
  • Poskytovatelé IT služeb.

K provádění DDoS útoků útočníci zpravidla používají tzv. botnety. Botnet je síť počítačů infikovaných škodlivým softwarem (malwarem), IoT zařízení a mobilních zařízení, která jsou pod kontrolou útočníka. Hackeři pak využívají tato síťová zařízení k odesílání velkého množství požadavků na IP adresu serveru nebo cílové webové stránky. Jde tedy o koordinovaný útok s využitím mnoha „zombifikovaných“ zařízení.

DDoS útoky mají pro majitele firem nepříjemné důsledky, jako jsou například nedokončené nákupy, ztráta obchodu a příjmů, přerušení provozu služeb, nespokojení uživatelé a mnohé další. Následky útoků si vyžadují značné finanční a časové investice, aby se podnikání dostalo zpět do původního stavu a mohlo nadále prosperovat. Obnova po DDoS útoku je náročná a nákladná.

Jak probíhá DDoS útok?

Útočníci využívají k realizaci DDoS útoků počítače připojené k internetu, které se běžně označují jako „zombie“ stroje. Tyto sítě se skládají z mnoha zařízení, jako jsou například zařízení internetu věcí (IoT), která mohou být infikována škodlivým softwarem, což útočníkům umožňuje ovládat tyto systémy na dálku. Jde tedy o využití „zotročených“ zařízení k provádění škodlivé aktivity.

Jednotlivá zařízení jsou označována jako „boti“ a soubor botů tvoří „botnet“. Jakmile útočník vytvoří botnet, je pro něj mnohem snazší řídit útok a koordinovat akce pomocí dálkových příkazů. Vytvoření botnetu je klíčovým krokem k provedení úspěšného DDoS útoku.

Když se cílem útoku stane síť nebo server, každý bot v botnetu odesílá požadavky na IP adresu webové stránky. To způsobí, že se cílová síť nebo server přetíží a zkolabuje. Vzhledem k tomu, že každý bot je samostatným zařízením připojeným k internetu, je obtížné rozlišit normální provoz od provozu generovaného útokem. To je i jeden z důvodů, proč je ochrana proti DDoS útokům tak složitá.

Dopad DDoS útoků na podnikání

DDoS útoky zpomalují webové stránky, omezují služby zákazníkům a vytváří další problémy. V důsledku toho jsou firmy konfrontovány s řadou negativních jevů, mezi které patří:

  • Ztráta reputace: Pověst je klíčovým prvkem každého podnikání. Zákazníci, investoři i partneři vaší firmě a vašim webovým stránkám důvěřují. Pokud je ale váš web napaden DDoS útokem, u veřejnosti se může objevit nejistota a obavy o jeho bezpečnost. Oprava reputace po takovém incidentu je velmi náročná.
  • Ztráta dat: Hackeři mohou získat neoprávněný přístup k vašim systémům a datům a zneužít je k odcizení peněz z bankovních účtů a dalším nelegálním aktivitám. Je proto nezbytné mít zavedena robustní bezpečnostní opatření.
  • Finanční ztráty: Pokud provozujete e-shop nebo webovou stránku, která se kvůli DDoS útoku stane nedostupnou, začnete okamžitě přicházet o peníze. Objednávky a poptávky nemohou být dále zpracovány, zákazníci jsou frustrovaní a přecházejí ke konkurenci. Obnova ztracených obchodů, zákazníků a reputace představuje další značné výdaje.

Tři hlavní typy DDoS útoků

Přestože je primárním cílem každého DDoS útoku zahlcení systému falešným provozem, způsoby provedení útoku se liší. Podívejme se na tři základní typy DDoS útoků:

#1. Útoky na aplikační vrstvě

Aplikační vrstva je ta část systému, kde server vytváří odpověď na příchozí požadavek od klientského serveru. Je to vrstva, kde dochází k reálné interakci mezi serverem a klientem.

Pokud například do svého webového prohlížeče zadáte https://www.example.com/education/, odešle se HTTP požadavek na server, aby zobrazil danou webovou stránku. Server vyhledá všechny informace související s touto stránkou, sbalí je a odešle je zpět do vašeho webového prohlížeče. Jde o standardní proces, který probíhá při každém načtení webové stránky.

Proces načítání a vytváření odpovědi probíhá právě v aplikační vrstvě. K útoku na tuto vrstvu dochází, když útočník využívá více počítačů (botů) k opakovanému odesílání požadavků na stejný zdroj serveru. Jde o nadměrné a opakované zatěžování serveru požadavky.

Mezi nejznámější útoky na aplikační vrstvě patří HTTP Flood, kdy útočníci neustále zasílají na server velké množství HTTP požadavků z různých IP adres. Tento útok má za cíl zahlcení serveru a znemožnění jeho správné funkce.

#2. Volumetrické útoky

Při volumetrických útocích se útočníci snaží zahlcením serveru velkým objemem dat zcela vyčerpat šířku pásma webu. Je to, jako by se na silnici najednou objevilo tolik aut, že by se zablokovala a provoz by uvízl.

Jedním z nejrozšířenějších útoků je DNS amplification attack, kdy útočníci posílají požadavky na DNS server s podvrženou IP adresou cílového webu. DNS server odpoví na server, který je cílem útoku. Pokud je to prováděno opakovaně, cílový server je zahlcen, zpomalí se a následně přestane správně fungovat. Útok využívá princip „zesílení“ odpovědí DNS serverů.

#3. Protokolové útoky

Protokolové útoky vyčerpávají zdroje síťových systémů, jako jsou směrovače, zařízení pro vyrovnávání zatížení a firewally, spolu se zdroji serveru. Když spolu dvě zařízení začnou komunikovat, provedou tzv. TCP handshake. To znamená, že si dvě strany vymění informace potřebné pro navázání spojení. Dochází ke vzájemnému ověření identity a nastavení parametrů komunikace.

Paket SYN je prvním krokem při TCP handshake, který server informuje o tom, že klient chce zahájit nové spojení. Při protokolovém útoku útočník zaplaví server nebo sítě několika pakety SYN s podvrženými IP adresami. Server se snaží odpovědět na každý paket a požádá o dokončení handshake. V tomto případě ale klient neodpoví, a server tak zbytečně čeká. To vede k zpomalení serveru, nebo jeho úplné nedostupnosti. Jedná se o vyčerpání serverových prostředků pomocí neúplných požadavků.

Různé typy DDoS útoků

Tři základní typy útoků, které jsme si popsali výše, se dále dělí na různé podtypy, jako jsou HTTP flood, DNS flood, SYN flood, Smurf a další. Pojďme se na ně podívat a popsat, jakým způsobem mohou ovlivnit vaše podnikání.

#1. HTTP Flood

Zdroj: PureVPN

HTTP je standardní protokol pro přenos dat mezi webovým prohlížečem a webovým serverem, který se běžně používá pro otevírání webových stránek a přenos dat přes internet. Tento protokol tvoří základ webové komunikace.

HTTP flood je typ DDoS útoku, který spadá pod volumetrické útoky. Je navržen tak, aby přetížil cílový server nadměrným množstvím HTTP požadavků. Jakmile je server zahlcen požadavky a není schopen na ně odpovídat, útok znemožní přístup pro běžné uživatele. Server se tak stává nedostupným pro legitimní provoz.

#2. DNS Flood

Systémy doménových jmen (DNS) slouží jako jakési telefonní seznamy na internetu. Fungují jako průvodce, kde internetová zařízení vyhledávají konkrétní webové servery pro přístup k webovému obsahu. DNS umožňuje převod doménových jmen na IP adresy, čímž je umožněna komunikace na internetu.

DNS flood útok je typ DDoS útoku, kdy útočník zahlcuje DNS servery konkrétní domény s cílem narušit DNS překlad. Bez DNS by bylo vyhledávání stránek na internetu komplikované a uživatelsky nepříjemné.

Stejně jako když uživatel nemá k dispozici telefonní seznam, je pro něj velmi obtížné najít správné číslo pro uskutečnění hovoru. To samé se děje při DNS flood útoku. Webové stránky jsou ohroženy a nejsou schopny reagovat na běžný provoz. Zákazníci se tak nemohou dostat na požadované webové stránky.

#3. Ping Flood

ICMP (Internet Control Message Protocol) je protokol používaný síťovými zařízeními pro komunikaci. Zprávy ICMP echo request a echo reply se používají k testování dostupnosti a stavu zařízení (ping). Jedná se o diagnostický nástroj pro ověření funkčnosti sítě.

Při útoku typu ping flood se útočníci snaží zahlcením cílového zařízení pakety echo request znemožnit přístup k legitimnímu provozu. Pokud falešný provoz pochází z mnoha zařízení, vzniká DDoS útok. Je to tedy forma útoku s využitím ping zpráv.

#4. SYN Flood

SYN flood je typ DDoS útoku, známý také jako polootevřený útok, jehož cílem je učinit server nedostupným, aby odklonil legitimní provoz a spotřeboval všechny dostupné prostředky serveru. Útok zneužívá proces navázání TCP spojení.

Nepřetržitým odesíláním paketů s požadavky na počáteční připojení (SYN pakety) může útočník zahlcením všech portů na serveru znemožnit jeho správnou funkci. Zařízení tak může na legitimní provoz reagovat velmi pomalu, nebo vůbec. Jde o zahlcení serveru neúplnými požadavky na spojení.

#5. UDP Flood

Při UDP flood útoku je na server odesíláno velké množství UDP (User Datagram Protocol) paketů s cílem přetížení serveru a snížení jeho schopnosti reagovat a zpracovávat požadavky. UDP je protokol používaný pro komunikaci bez ověření spojení.

Důsledkem UDP flood je vyčerpání firewallu a následné narušení dostupnosti služeb. Při tomto útoku útočník zneužívá serverové postupy, které se snaží odpovědět na UDP pakety, které jsou posílány na otevřené porty. Jedná se o vyčerpávání serveru prostřednictvím UDP paketů.

#6. DNS Amplification Attack

Zdroj: Cisco Umbrella

DNS amplification attack je volumetrický DDoS útok, při kterém útočník zneužívá funkce otevřeného DNS k zahlcení cílové sítě nebo serveru velkým množstvím zesíleného provozu. Tím je server i s okolní infrastrukturou učiněn nedostupným. Útočníci využívají slabiny v DNS konfiguracích.

Každý zesilovací útok využívá nepoměru mezi spotřebou šířky pásma cílového serveru a útočníkem. V důsledku toho je síť zahlcena falešným provozem a server se stává nedostupným pro běžné uživatele. Útok se snaží „zesílit“ odezvu serveru a tím ho zahltit.

#7. XML-RPC Pingback

Pingback je typ komentáře, který se generuje, když odkazujete na konkrétní blogový příspěvek. XML-RPC pingback je běžná funkce modulu WordPress. Útočníci mohou tuto funkci využít k zneužití funkce pingback na blogu a provést útok na webové stránky třetích stran. Tato funkcionalita se stala terčem útoků.

Tento typ útoku může vést k dalším útokům, protože vaše stránky jsou náchylné k různým hrozbám. Některé z nich jsou útoky hrubou silou, útoky na porty cross-site, útoky proxy Patsy a další. Zneužití funkce pingback se stalo běžným způsobem pro provedení útoků.

#8. Slowloris DDoS útok

Slowloris je typ DDoS útoku, který umožňuje útočníkovi přetížit cílový server mnoha otevřenými, ale nedokončenými HTTP spojeními. Spadá pod útoky na aplikační vrstvu a využívá částečné HTTP požadavky. Útočník se snaží udržet co nejvíce nedokončených požadavků na serveru.

Zajímavostí je, že Slowloris není primárně kategorií útoků, ale spíše nástrojem, který je specificky navržen tak, aby umožnil jednomu stroji způsobit nedostupnost serveru. Tento typ útoku vyžaduje minimální šířku pásma, ale je velmi efektivní v zahlcování serverových prostředků. Jedná se o „pomalý“ útok, který dlouhodobě vyčerpává server.

#9. Smurf DDoS útok

Zdroj: Imperva

Smurf útok probíhá na síťové vrstvě. Název vznikl podle malwaru DDoS.Smurf, který umožňoval provádět útoky. Útočníci se zaměřují především na větší společnosti s cílem je poškodit. Cílem útoku je vyřadit síť z provozu.

Smurf útok je podobný ping flood útoku a využívá ICMP pakety k zahlcení počítačů a dalších zařízení požadavky ICMP echo. Útok probíhá následovně:

  • Útočník sestaví falešný paket s cílovou adresou nastavenou na skutečnou IP adresu oběti.
  • Paket je poslán na IP broadcast adresu firewallu. Ta odpoví posláním paketu zpět všem zařízením v síti.
  • Každé zařízení pak obdrží obrovské množství odpovědí, čímž je narušen normální provoz. Jde tedy o zesílení ping paketu a zahlcení oběti.

#10. Útok nultého dne

Nultý den označuje bezpečnostní slabiny v softwaru, hardwaru nebo firmwaru, které nejsou známy stranám odpovědným za opravu. Útok nultého dne je útok provedený mezi okamžikem objevení zranitelnosti a jejím prvním využitím. Jde o zranitelnosti, o kterých nikdo neví, a které útočníci zneužijí.

Hackeři využívají neznámé zranitelnosti a snadno tak provedou útok. Jakmile se zranitelnost stane veřejnou, označuje se jako jednodenní nebo n-denní zranitelnost. Zranitelnost je tedy známá, ale její oprava může vyžadovat čas.

Nyní, když známe různé typy útoků, podívejme se na možnosti jejich zmírnění.

Řešení pro útoky na aplikační vrstvě

Pro útoky na aplikační vrstvě je vhodné využít firewall webových aplikací (WAF). Níže si uvedeme řešení WAF, která můžete použít k prevenci útoků. Jedná se o ochranu na úrovni aplikačního protokolu.

#1. Sucuri

Chraňte své webové stránky před útoky pomocí Sucuri Website Application Firewall (WAF). WAF eliminuje škodlivé aktéry, zlepšuje dostupnost vašich webových stránek a zrychluje dobu načítání. Pro aktivaci firewallu pro váš web postupujte následovně:

  • Přidejte svůj web do Sucuri WAF.
  • Chraňte příchozí data vytvořením SSL certifikátů pro server firewallu.
  • Aktivujte firewall změnou DNS záznamů.
  • Pro maximální optimalizaci zvolte vysoce výkonné ukládání do mezipaměti.

Vyberte si plán Sucuri Basic nebo Pro a zabezpečte svůj web před nežádoucími útoky. Sucuri je známý poskytovatel bezpečnostních řešení.

#2. Cloudflare

Získejte zabezpečení na podnikové úrovni s řešením Cloudflare WAF. Cloudflare nabízí lepší zabezpečení, výkonnou ochranu, rychlé nasazení a snadnou správu. Nabízí také ochranu před zranitelnostmi typu „zero-day“. Cloudflare je jedním z lídrů v oblasti bezpečnostních řešení.

Podle analytiků je Cloudflare odborníkem na bezpečnost aplikací. Nabízí možnosti strojového učení, vyvinuté a vyškolené odborníky, pro ochranu vašeho webu před hrozbami, úniky a dalším zneužitím. Využívá pokročilé technologie pro detekci a ochranu před útoky.

Řešení pro volumetrické a protokolové útoky

Pro ochranu proti volumetrickým a protokolovým útokům můžete použít následující řešení. Jedná se o komplexnější ochranu proti celému spektru útoků.

#1. Cloudflare

Získejte špičkovou ochranu proti DDoS útokům od společnosti Cloudflare a zajistěte tak spolehlivý chod vašich webových stránek. Síť s rychlostí 197 Tb/s blokuje denně více než 112 miliard hrozeb. Globální síť Cloudflare zahrnuje více než 285 měst a 100 zemí, aby zabránila útokům. Cloudflare má velmi rozsáhlou síť pro efektivní ochranu.

Přihlášení je jednoduché; použijte ovládací panel nebo Cloudflare API a přidejte na svůj web výkon, spolehlivost a zabezpečení. Tímto způsobem můžete efektivně zmírnit DDoS útoky na webové stránky, aplikace i sítě. Cloudflare nabízí komplexní řešení pro ochranu proti DDoS útokům.

#2. Sucuri

Vylepšete výkon a dostupnost svých webových stránek proti rozsáhlým útokům pomocí Sucuri’s Anycast Network a řešení pro bezpečné doručování obsahu. Udržujte svůj web funkční i během masivních DDoS útoků a špiček provozu. Sucuri se specializuje na ochranu proti DDoS útokům s využitím globální sítě.

Sucuri dokáže efektivně blokovat falešné požadavky a provoz od škodlivých botů, aniž by narušil legitimní zdroje provozu. Díky vysoce kvalitní technologii a hardwaru chrání Sucuri váš web před škodlivými aktivitami 24 hodin denně, 7 dní v týdnu. Je to spolehlivá a dostupná ochrana proti DDoS útokům.

#3. Imperva

Zabezpečte veškerá svá aktiva před DDoS útoky pomocí Imperva. Imperva poskytuje ochranu vašemu podnikání i při útocích a zaručuje jeho dostupnost. Minimalizuje prostoje a náklady na šířku pásma, poskytuje neomezenou ochranu a zajišťuje dostupnost webových stránek bez dopadu na jejich výkon. Imperva se zaměřuje na ochranu a kontinuitu podnikání během útoků.

Závěr

DDoS útoky jsou vážným bezpečnostním rizikem, při kterém útočník zaplaví server falešným provozem, což uživatelům znemožňuje přístup k webovým stránkám a online službám. Existuje mnoho typů DDoS útoků, které se zaměřují na HTTP, Ping, SYN a další a zpomalují výkon webových stránek. Je proto nezbytné implementovat vhodná opatření.

Výše uvedená řešení představují efektivní nástroje pro boj s útoky na aplikační, volumetrické i protokolové úrovni. Pomáhají předcházet nežádoucímu provozu z různých zdrojů, udržují šířku pásma a eliminují prostoje. Ochrana proti DDoS útokům je v dnešní době nezbytností.

Dále si můžete přečíst o tom, jak Anycast routing pomáhá v boji proti DDoS útokům. Jedná se o pokročilou metodu pro minimalizaci dopadu těchto útoků.

Tweet
Share
Share
Pin

Pochopení funkce součtu v Pythonu [With Examples]

10 nejlepších sluchátek přes uši pro hudební nadšence