Ochrona przed DDoS - kompletny przewodnik po obronie przed atakami wolumetrycznymi

Czym jest atak DDoS

Distributed Denial of Service (DDoS) to atak, w którym wielu napastników (zwykle botnet zainfekowanych urządzeń) jednocześnie zalewa cel ruchem sieciowym, aby uniemożliwić dostęp legalnym użytkownikom. W odróżnieniu od ataku DoS (z jednego źródła), DDoS jest trudniejszy do zablokowania, ponieważ ruch pochodzi z tysięcy lub milionów adresów IP.

Ataki DDoS są jednym z najczęstszych zagrożeń dla infrastruktury internetowej. Rekordowe ataki przekraczały 3.8 Tbps (Cloudflare, październik 2024) i 71 mln pps.

Typy ataków DDoS

1. Ataki wolumetryczne (Volumetric)

Wysycają pasmo sieci ofiary. Typowe techniki:

• UDP Flood - zalewanie losowymi pakietami UDP
• ICMP/Ping Flood - zalewanie pakietami echo
• Amplification - wykorzystanie wzmocnienia (DNS, NTP, memcached — nawet 51 000x wzmocnienie)
• Reflection - wysyłanie sfałszowanych zapytań z adresem ofiary, zalewanie odpowiedziami

2. Ataki protokołowe (Protocol)

Wykorzystują słabości protokołów warstwy 3/4:

• SYN Flood - niedokończone połączenia TCP, wyczerpanie tabeli stanu
• Smurf Attack - ICMP broadcast z zewnątrz
• Fragmented Packet - wyczerpywanie zasobów na defragmentację
• Slowloris - długotrwałe otwarte połączenia HTTP

3. Ataki aplikacyjne (Application / L7)

Najbardziej wyrafinowane — imitują legalny ruch użytkowników:

• HTTP Flood - masowe zapytania GET/POST do endpointów
• Low and Slow - powolne wypełnianie bufora aplikacyjnego
• API Abuse - atak na specyficzne drogie endpointy (wyszukiwanie, raporty)

Warstwy obrony przed DDoS

1. Detekcja

• Monitoring ruchu i baseline (NetFlow, sFlow)
• Automatyczna detekcja anomalii (Arbor, Radware, Cloudflare)
• Threat intelligence feeds

2. Mitygacja na brzegu sieci

• Scrubbing centers - dedykowane centra filtrujące ruch (Akamai Prolexic, Cloudflare Magic Transit, AWS Shield Advanced)
• Anycast - rozproszenie ruchu na wiele lokalizacji, naturalnie absorbująca wolumetryczne ataki
• BGP Blackholing / RTBH - z ostatecznością, nullroute atakowanego prefiksu

3. Warstwa aplikacyjna

• WAF (Web Application Firewall) - filtrowanie HTTP/S na poziomie aplikacji
• Rate Limiting - ograniczenie liczby zapytań per IP / sesja / API key
• Bot Management - CAPTCHA, JS challenges, fingerprinting (Cloudflare Turnstile, Akamai Bot Manager)
• CDN - cache’owanie statycznych zasobów, absorpcja ruchu na brzegu

4. Wzmacnianie infrastruktury

• SYN cookies, TCP backlog tuning
• Load balancer z DDoS protection
• Redundancja łączy i dostawców internetu
• Failover i disaster recovery plans

Standardy i regulacje

• NIS2 (UE) - obowiązek odporności na cyberataki dla podmiotów krytycznych (obowiązuje od 17.10.2024)
• DORA (Digital Operational Resilience Act) - sektor finansowy w UE
• ISO 27001 - kontrole A.13.1 (bezpieczeństwo sieci), A.17 (ciągłość działania)
• NIST CSF - funkcja “Respond” obejmuje plany reakcji na DDoS
• MITRE ATT&CK - techniki T1498 (Network Denial of Service), T1499 (Endpoint Denial of Service)

Plan reakcji na atak DDoS (playbook)

1. Wykrycie - alerty z monitoringu, potwierdzenie że to atak (nie legalny skok ruchu)
2. Eskalacja - aktywacja CSIRT, kontakt z dostawcą scrubbing
3. Mitygacja - włączenie filtrów, ACL, rate limiting, przekierowanie ruchu
4. Komunikacja - status page, klienci, media (jeśli publiczna usługa)
5. Analiza - logi, kampania atakującego, IoC (Indicators of Compromise)
6. Post-mortem - aktualizacja playbooka, wnioski dla następnego razu

Szkolenia bezpieczeństwa sieci w EITT

Oferujemy szkolenia z testów penetracyjnych sieci, Kali Linux i zaawansowanej obrony infrastruktury.

FAQ

Ile kosztuje ochrona przed DDoS?

• Darmowa podstawowa ochrona - Cloudflare Free, AWS Shield Standard (rozsądne dla małych serwisów)
• Poziom enterprise - od 2000 USD/miesiąc (Cloudflare Business, AWS Shield Advanced)
• Dedykowane scrubbing - 10 000 - 100 000 USD/miesiąc w zależności od przepustowości

Czy mój firewall wystarczy do obrony przed DDoS?

Nie w przypadku ataków wolumetrycznych. Firewall ma ograniczoną przepustowość (np. 10 Gbps), a ataki wolumetryczne osiągają setki Gbps lub Tbps — wysycają łącze przed firewallem. Konieczna jest obrona na brzegu sieci (u dostawcy internetu lub w dedykowanym scrubbing).

Jakie są największe dostawcy ochrony DDoS?

• Cloudflare - najpopularniejsza obrona, anycast network
• Akamai Prolexic - dedykowane scrubbing dla enterprise
• AWS Shield Advanced - dla aplikacji w AWS
• Radware / Arbor Networks / F5 - on-premise i hybrydowe rozwiązania
• Azure DDoS Protection - dla aplikacji w Azure

Jak rozpoznać że jestem pod atakiem DDoS?

Sygnały:

• Nagły skok ruchu (szczególnie z nietypowych regionów lub IP)
• Pogorszenie wydajności aplikacji / timeouty
• Wysycenie łącza / zasobów serwera (CPU, RAM, sockets)
• Wzrost 5xx HTTP response codes
• Nietypowe wzorce w logach (te same user-agents, te same zapytania)

Monitoring z baseline i alertami jest kluczowy do szybkiej detekcji.

Czy atak DDoS to przestępstwo?

Tak — w Polsce art. 268a KK (zakłócanie pracy systemu informatycznego) do 3 lat więzienia. W UE i USA podobnie. Botnet jako narzędzie ataku kwalifikuje się też jako tworzenie/posiadanie szkodliwego oprogramowania.