Webmaster.net.pl Centrum dla Webmasterów

Ataki DDoS (Distributed Denial of Service) to dziś jedno z najpoważniejszych zagrożeń dla usług online – przeciążają serwery i łącza lawiną fałszywych żądań z wielu źródeł jednocześnie.

Treść (pokaż)

Tylko w I połowie 2025 r. Cloudflare zablokowała 27,8 mln ataków DDoS (więcej niż przez cały 2024 r. – 21,3 mln), a rekordowa moc pojedynczego ataku sięgnęła 22,2 Tb/s. Skala i tempo tych incydentów rosną, dlatego zrozumienie metod działania oraz skutecznych strategii obrony jest dziś krytyczne dla organizacji każdej wielkości.

Definicja i podstawy ataków DDoS

Atak DDoS to rozwinięcie ataku DoS – zamiast jednego źródła złośliwy ruch pochodzi z wielu rozproszonych urządzeń. Rozproszona natura ataku utrudnia odróżnienie go od legalnego ruchu i znacząco podnosi jego skuteczność.

Napastnicy przejmują kontrolę nad urządzeniami (botami) przy użyciu złośliwego oprogramowania, tworząc botnety sterowane zdalnie. Właściciele tych urządzeń zwykle nie wiedzą, że uczestniczą w ataku.

Do najczęściej przejmowanych urządzeń należą:

  • komputery osobiste i serwery,
  • smartfony i tablety,
  • routery domowe i firmowe,
  • kamery IP oraz inne urządzenia IoT,
  • urządzenia z przestarzałym oprogramowaniem i słabymi hasłami.

Na sygnał atakującego przejęte urządzenia zasypują cel ogromną liczbą zapytań. Każde żądanie konsumuje CPU, RAM i pasmo, aż do wyczerpania zasobów, co skutkuje spowolnieniem lub pełną niedostępnością usługi.

Motywacje są różne: finansowe (wymuszenia), ideologiczne lub polityczne (haktywizm), a także dywersja przed innymi włamaniami (np. kradzież danych, ransomware). Konsekwencje obejmują realne straty finansowe, szkody reputacyjne i koszty techniczne przywracania działania.

Mechanika i sposoby przeprowadzania ataków DDoS

Skuteczna obrona zaczyna się od zrozumienia pełnego łańcucha ataku. Fazy typowego ataku DDoS są następujące:

  • rekonesans – identyfikacja celów, mapowanie usług, pomiar przepustowości;
  • budowa botnetu – infekowanie urządzeń (w tym IoT), ustanowienie komunikacji C2;
  • przygotowanie wektorów – dobór technik (np. wolumetryczne, L3/4, L7), testy i synchronizacja;
  • egzekucja i adaptacja – wyzwolenie fali ruchu, rotacja wektorów, krótkie serie hit‑and‑run.

Współczesne kampanie potrafią osiągać dziesiątki lub setki Tb/s, a krótkie, skrajnie intensywne piki trwające sekundy utrudniają szybkie reagowanie.

Ważne techniki to m.in. IP spoofing (fałszowanie źródła pakietów) oraz ataki refleksyjne z amplifikacją (np. przez DNS/NTP), które zwielokrotniają ruch kierowany na ofiarę.

Rodzaje i kategoryzacja ataków DDoS

Najczęściej wyróżnia się trzy główne kategorie ataków, zależnie od warstwy i wektora:

  • ataki wolumetryczne – przeciążają łącza masą bezużytecznego ruchu;
  • ataki protokołowe – wykorzystują słabości w TCP/UDP/ICMP i stanach połączeń;
  • ataki w warstwie aplikacji (L7) – imitują legalny ruch do konkretnych usług i endpointów.

Ataki wolumetryczne

Ich celem jest „zalanie” łącza lub urządzeń brzegowych, zanim ruch dotrze do aplikacji. Najczęściej spotykane wektory w tej kategorii to:

  • UDP flood – wysyłanie masy pakietów UDP, które konsumują zasoby sieciowe celu;
  • ICMP flood – lawina żądań echo (ping), prowadząca do przeciążenia;
  • DNS amplification – małe zapytanie, ogromna odpowiedź z serwerów DNS na sfałszowany adres ofiary;
  • NTP amplification – wykorzystanie monlist na starych serwerach NTP do zwielokrotnienia ruchu.

Amplifikacja potrafi przekroczyć 100× oryginalny wolumen pakietów, radykalnie zwiększając siłę ataku przy niewielkim koszcie dla napastnika.

Ataki protokołowe

Skupiają się na stanie i mechanice protokołów sieciowych. Klasyczny SYN flood wyczerpuje pulę półotwartych połączeń TCP przez zalew pakietów SYN ze sfałszowanych IP. Do tej grupy zalicza się też historyczny Ping of Death (przekroczony MTU i fragmentacja), na który wciąż mogą być podatne starsze urządzenia i IoT.

Ataki w warstwie aplikacji

Najtrudniejsze do wykrycia, bo przypominają legalne zapytania. Kluczowe wektory to:

  • HTTP flood – masowe żądania GET/POST wyczerpujące zasoby serwera www;
  • Slowloris – długie, fragmentaryczne żądania utrzymujące setki połączeń przy minimalnym paśmie;
  • fragmentacja HTTP – dzielenie żądań na wiele pakietów TCP, co myli mechanizmy ochronne;
  • SIP flood – przeciążanie usług VoIP i infrastruktury komunikacyjnej;
  • XDoS – skrajnie wolne transfery (np. bajt co kilka minut), które „zajmują” wątki serwera.

Wpływ i konsekwencje ataków DDoS

Ataki DDoS przekładają się bezpośrednio na straty finansowe, przestoje operacyjne i utratę zaufania klientów. W e‑commerce każda minuta przerwy to realna utrata sprzedaży (w Polsce 44% sklepów doświadcza przestojów, a 42% klientów rezygnuje po jednym złym doświadczeniu).

Najważniejsze skutki biznesowe prezentują się następująco:

  • straty finansowe – od tysięcy do milionów złotych w zależności od skali i branży;
  • koszty techniczne – narzędzia, modernizacje, usługi ekspertów, dodatkowe zasoby;
  • długoterminowe szkody reputacyjne – spadek lojalności i trudniejsza akwizycja klientów;
  • ryzyka prawne i regulacyjne – kary za niewywiązanie się z SLA, możliwe sankcje (np. RODO).

Sektor finansowy, administracja i infrastruktura krytyczna są szczególnie narażone – incydenty w tych obszarach mogą mieć skutki dla bezpieczeństwa i zdrowia publicznego.

Strategie obrony i techniki łagodzenia skutków

Skuteczna ochrona to wielowarstwowe podejście – łączenie monitoringu, filtracji, dystrybucji ruchu, skalowania i polityk aplikacyjnych. Żadne pojedyncze narzędzie nie daje 100% ochrony, dlatego strategia musi być kompleksowa i szyta na miarę ryzyka.

Monitorowanie i detektowanie ataków

Ciągłe monitorowanie ruchu i wczesne wykrywanie anomalii to podstawa. Klasyczne IDS korzystają z sygnatur, a nowoczesne platformy z uczenia maszynowego i AI do wykrywania nieznanych wzorców.

Baseline normalnego ruchu (natężenia, pory dnia, usługi) pozwala szybko odróżnić anomalię od ruchu sezonowego. Rozwiązania takie jak Sycope skracają czas detekcji z godzin do minut, co jest kluczowe przy taktykach hit‑and‑run.

Analiza geograficzna i feedy o zagrożeniach pomagają wykrywać podejrzane źródła i znane botnety.

Filtrowanie i blokowanie ruchu

Po identyfikacji ataku działają szybkie mechanizmy blokowania: reguły firewalli, listy reputacyjne, a w ostateczności blackhole routing (z pełną świadomością utraty dostępności).

Rate limiting ogranicza liczbę żądań per IP/zasób w jednostce czasu. Nowoczesne limity są adaptacyjne i uwzględniają baseline, dzięki czemu rzadziej utrudniają dostęp legalnym użytkownikom.

Sieci dostarczania treści (CDN) i dystrybucja ruchu

CDN rozprasza ruch na globalną sieć węzłów, filtruje żądania „u źródła” i serwuje treści z najbliższej lokalizacji. Cloudflare i Akamai dysponują infrastrukturą zdolną obsłużyć gigantyczne wolumeny.

Przepustowość sieci Cloudflare to 449 Tb/s – 23× więcej niż największy dotąd zarejestrowany atak DDoS. Dzięki temu CDN znacząco zmniejsza wpływ ataku i przyspiesza ładowanie stron.

Równoważenie obciążenia (load balancing)

Load balancing rozkłada ruch na wiele serwerów i regionów. Automatyczne, dynamiczne skalowanie instancji pozwala absorbować nagłe skoki, także te wywołane atakiem.

Zapora aplikacji sieciowej (WAF)

WAF działa na poziomie aplikacji (HTTP/HTTPS), rozpoznaje i blokuje wzorce ataków L7, egzekwuje rate limiting i polityki. Polityki mogą łączyć negative security (blokuj znane złe) z allowlist (zezwalaj tylko na znane dobre).

Elastyczność reguł WAF jest kluczowa – w trakcie ataku administratorzy mogą natychmiast zmienić polityki i odciąć wektor nadużyć.

Inżynieria ruchu i skalowanie łącza

Wielu dostawców (multi‑ISP), dynamiczny routing i redundancja łączy zwiększają odporność. To złożone rozwiązania, które warto realizować z doświadczonym dostawcą hostingu lub operatorem.

Samo „dosypywanie” przepustowości nie wystarczy – współczesne ataki przekraczają możliwości pojedynczych łącz i urządzeń brzegowych.

Narzędzia i usługi ochrony DDoS

Na rynku dostępne są rozwiązania on‑premises, chmurowe oraz hybrydowe. Poniżej porównanie najpopularniejszych usług ochronnych:

Usługa Zakres ochrony Model usługi Szacunkowa cena Atuty
Cloudflare L3/L4/L7 CDN + WAF + DDoS od 0 USD (plan Free), płatne od ok. 20 USD/mies. globalna sieć 330+ lokalizacji, automatyczna mitigacja w ~3 s, 449 Tb/s przepustowości
AWS Shield L3/L4 (Standard), L3/L4/L7 (Advanced) natywna ochrona w AWS Standard: 0 USD; Advanced: ok. 3000 USD/mies. DDoS Response Team, ochrona kosztowa, integracja z AWS (ALB, CloudFront, Route 53)
Akamai Prolexic wszystkie porty i protokoły usługa w pełni zarządzana wycena indywidualna mitigacja na krawędzi, usługi towarzyszące (Edge DNS, App & API Protector)
Imperva Incapsula L3/L4/L7 chmura + WAF ok. 30–50 USD/mies. (małe serwisy) automatyczna ochrona przed zero‑day, szybkie wdrożenia

Aspekty prawne i odpowiedzialność

Ataki DDoS są przestępstwem – w Polsce grożą za nie surowe kary karne i cywilne.

Odpowiedzialność karna w Polsce

Art. 268a Kodeksu karnego penalizuje niszczenie/utrudnianie przetwarzania danych i zakłócanie systemów – do 3 lat pozbawienia wolności, a przy znacznej szkodzie majątkowej do 5 lat. Szantaż groźbą DDoS kwalifikowany jest dodatkowo jako groźba i wymuszenie, co podnosi wymiar kary.

Odpowiedzialność cywilna

Sprawcy mogą zostać pozwani o naprawienie szkody (utracone korzyści, koszty techniczne, szkody reputacyjne). Wysokość roszczeń bywa bardzo duża przy przestojach krytycznych usług.

Rola organów ścigania

Policja i wyspecjalizowane jednostki ds. cyberprzestępczości rozwijają narzędzia i współpracę międzynarodową, lecz anonimowość i rozproszenie ataków nadal utrudniają identyfikację sprawców.

Historia i znaczące ataki DDoS

Analiza dużych incydentów pokazuje, jak szybko ewoluują wektory ataków i skala zagrożeń.

Operacja Stophaus (2013)

Organizacja antyspamowa Spamhaus została zaatakowana ruchem ~300 Gb/s po konflikcie z CyberBunker. Po włączeniu ochrony Cloudflare atak rozszerzono także na jego infrastrukturę; spowolnienia odczuwały całe segmenty internetu.

Botnet Mirai (2016)

Mirai infekował urządzenia IoT z domyślnymi hasłami. Atak na OVH osiągnął ~1 Tb/s, a uderzenie w Dyn spowodowało niedostępność setek tysięcy serwisów w USA i Europie.

Mitigacja Akamai (2022)

Akamai zablokowała serię 75 ataków w 30 dni, z pikiem ponad 853 Gb/s, łącząc wektory TCP‑SYN, UDP, ICMP i inne – przykład rosnącego wyrafinowania kampanii.

Rekord mocy (2025)

Cloudflare powstrzymała atak o mocy 22,2 Tb/s i 10,6 mld pakietów/s trwający ~40 sekund. To niemal dwukrotne pobicie poprzedniego rekordu i sygnał, że taktyki hit‑and‑run będą się nasilać.

Planowanie obrony i gotowość organizacyjna

Technologia to połowa sukcesu – druga to procedury, ludzie i regularne ćwiczenia.

Opracowanie planu reagowania

Skuteczny plan reagowania na DDoS powinien zawierać co najmniej następujące elementy:

  • role i odpowiedzialności – jasny podział zadań w IT, SecOps, zarządzie i komunikacji;
  • procedury eskalacji – progi uruchomienia, ścieżki decyzyjne, matryce RACI;
  • kontakty krytyczne – dostawcy (ISP, CDN, hosting), klienci VIP, organy ścigania;
  • runbooki techniczne – gotowe playbooki zmian w WAF/CDN/DNS, listy kontrolne;
  • komunikacja kryzysowa – szablony komunikatów i kanały alternatywne.

Regularne ćwiczenia symulacyjne ujawniają luki w procedurach i skracają czas reakcji w realnym incydencie.

Ciągłość biznesu i odtwarzanie po awarii

Business Continuity i Disaster Recovery powinny uwzględniać wieloregionowe wdrożenia, przełączenia awaryjne, rezerwowe kanały komunikacji i zduplikowane systemy w różnych lokalizacjach.

Edukacja i świadomość pracownicza

Szkolenia zespołów z zasad twardnienia systemów, higieny haseł, zarządzania IoT i procedur raportowania podejrzanych zdarzeń znacząco ograniczają powierzchnię ataku.