DDoS útok je druh kybernetického útoku, který se snaží zahlcením cílového serveru nebo sítě znemožnit jejich správné fungování. Toto se děje tak, že útočník odesílá velké množství požadavků na server nebo síť naráz, což jim brání v zpracování legitimních požadavků od pravých uživatelů. V důsledku toho se server nebo síť stane nedostupným pro tyto uživatele.
Rozdíl mezi DoS a DDoS útokem je v tom, že při DDoS útoku se používá více počítačů (serverů) naráz – například botnet.
Historie DDoS útoků
První známý DDoS útok se stal v roce 1996 a cílem byl server University of Minnesota. Útočník použil zranitelnost v operacím systému, aby se připojil k několika počítačům a odeslal na server velké množství požadavků, což způsobilo jeho zahlcení a následnou nedostupnost.
Společnost Panix, třetí nejstarší poskytovatel internetových služeb na světě, se stala terčem jednoho z prvních DoS útoku. Dne 6. září 1996 se společnost Panix stala terčem útoku typu SYN flood, který na několik dní vyřadil její služby, než dodavatelé hardwaru, zejména společnost Cisco, vymysleli vhodnou obranu.
Další první ukázku útoku DoS provedl Khan C. Smith v roce 1997 během akce DEF CON, kdy na více než hodinu přerušil přístup k internetu na Las Vegas Strip. Zveřejnění vzorového kódu během této akce vedlo v následujícím roce k online útoku na společnosti Sprint, EarthLink, E-Trade a další velké korporace.
V září 2017 zažil Google Cloud útok o síle 2,54 Tb/s ve špičce, což by do té doby byl nejsilnější DDoS útok. Google Threat Threat Analysis Group (TAG) uvedli, že útok pocházel z Číny a byl veden ze sítě čtyř čínských poskytovatelů internetových služeb. Damian Menscher, Reliability Engineer Google Cloud, uvedl, že špička 2,54 Tb/s byla „vyvrcholením šestiměsíční kampaně“, která využívala různé metody útoků na serverovou infrastrukturu společnosti Google.
1. března 2018 byl GitHub zasažen útokem o síle 1,35 Tb/s ve špičce, který trval 15 – 20 minut. Útok zvládli přežít. Během 10 minut automaticky požádal GitHub o pomoc svou službu pro odvrácení DDoS, Akamai Prolexic. Prolexic převzal roli prostředníka, směroval veškerý provoz přicházející do GitHubu a odcházející z něj a posílal data přes svá filtrační centra, aby vyřadil a zablokoval škodlivé pakety. Po osmi minutách útočníci ustoupili a útok ustal.
Dne 5. března 2018 se nejmenovaný zákazník amerického poskytovatele služeb Arbor Networks stal obětí útoku, který dosáhl objemu přenesených dat přibližně 1,7 Tb/s ve špičce.
V únoru 2020 zaznamenala společnost Amazon Web Services (AWS) útok o objemu 2,3 Tb/s.
5. dubna 2021 byla cílem nejsilnějšího útoku v ČR společnost WEDOS. Útok jim zahltil všechny tři trasy (3x 100 Gbps). Jejich senzory dokázaly ve špičce naměřit 164,3 Gb/s. Ten samí den na ně někdo poslal ve špičce 98,1 milionů paketů za vteřinu (77,1 milionu paketů šlo přes jednu trasu a 21 milionů paketů přes druhou.).
Ze 3. na 4. března 2022 se opět stal WEDOS cílem silného útoku. Opět byly zahlceny na krátkou dobu všechny tři trasy (3x 100 Gbps). S novými senzory naměřili nový český rekord 190,2 Gb/s. V ten okamžik šlo z českého NIXu zhruba 20 Gb/s v 5 minových průměrech a a řada lokálních ISP kolabovala. Útok údajně nezpůsobil výpadek, ale jen zpomalení ze zahraničí a problémy lokálním poskytovatelům internetu. Útok trval několik hodin.
24. října 2022 byl cílem DDoS útoku český T-Mobile. Útok způsobil globální výpadek zhruba na 12 minut, nešlo telefonovat, posílat SMS ani používat internet. Odhadovaná síla útoku ve špičce byla 200 Gb/s, což byl zhruba dvojnásobek běžného provozu.
Jak se DDoS útok projeví
The United States Computer Emergency Readiness Team (US-CERT) definoval příznaky DDoS útoku následovně:
- neobvykle pomalý výkon sítě (otevírání souborů nebo přístup k webovým stránkám),
- nedostupnost určité webové stránky nebo
- nemožnost přístupu k jakékoli webové stránce.
Fakticky při DDoS útoku dochází k zahlcené serveru anebo sítě cíle. Server buď stíhá odpovídat na požadavky opožděně, částečně (to co nestíhá dávat do fronty zahazuje) anebo vůbec (útočník může docílit, že je nutné server restartovat).
Zahlcená síť může být přímo u cíle anebo někde po cestě. Což se může projevit zpomalením anebo částečnou, čí úplnou nedostupností.
Běžně se pří masivním útoku používá metoda, kdy se „vypne“ například zahraniční konektivita. Cílový server tak nemusí být dostupná ze zahraničí.
Příklady DDoS útoků
Je celá řada DDoS útoků, která se liší jakým způsobem se útočí anebo jaká se používá zranitelnost.
Útoky na aplikační vrstvě
DDoS útoky na aplikační vrstvě jsou druhem DDoS útoku, který se zaměřuje na aplikační vrstvu v síťové architektuře. Aplikační vrstva je nejvyšší vrstva v síťové architektuře a je odpovědná za interakci mezi aplikacemi a síťovým prostředím. Útočník využívá chyby nebo zranitelnosti v aplikacích, které jsou na této vrstvě spuštěné, aby provedl útok a způsobil jejich selhání nebo zpomalení. Tento druh útoku může být velmi sofistikovaný a účinný, protože se zaměřuje na kritickou část síťového prostředí.
Útoky také mohou být vedeny hrubou silou, kde se prostě pokusí útočník nasimulovat dostatečně velký počet požadavků, aby server nestíhal všem odpovídat, případně byl pomalý.
Tyto útoky se hůře detekují, protože mohou vypadat jako legitimní provoz.
Zaplavení přes ICMP (ICMP flood)
Útočník odesílá velké množství požadavků na protokol ICMP (Internet Control Message Protocol) na cílový server nebo síť. ICMP je protokol, který se používá k odesílání a přijímání zpráv o stavu a chybách v síti, a obvykle se používá k diagnostice a řešení problémů se sítí. Útočník využívá chyby nebo zranitelnosti v implementaci ICMP na cílovém serveru nebo síti, aby odeslal velké množství požadavků ICMP, které způsobí zahlcení serveru nebo sítě a brání jim v zpracování legitimních požadavků. Tímto způsobem může útočník způsobit selhání nebo zpomalení cílového serveru nebo sítě.
V minulosti se pro tento druh útoku využívala nějaká chyba například:
Smurf Attack spočívá v chybné konfiguraci síťových zařízení, která umožňují odesílání paketů všem počítačovým hostitelům v určité síti prostřednictvím broadcast adresy sítě, nikoli konkrétnímu počítači. Útočník odešle velké množství paketů IP s podvrženou zdrojovou adresou tak, aby se jevila jako adresa oběti. Většina zařízení v síti na to ve výchozím nastavení reaguje odesláním odpovědi na zdrojovou adresu IP. Pokud je počet zařízení v síti, která přijímají tyto pakety a odpovídají na ně, velmi vysoký, počítač oběti bude zaplaven provozem. Tím se počítač oběti přetíží a během takového útoku může být dokonce nepoužitelný.
Ping flood je založen na odesílání ohromného množství paketů ping, obvykle pomocí příkazu ping z hostitelů typu Unix.Jeho spuštění je velmi jednoduché, hlavním požadavkem je přístup k větší šířce pásma než oběť.
Ping of death je založen na odeslání chybného paketu ping oběti, což vede ke zhroucení systému na zranitelném systému.
Útok BlackNurse je příkladem útoku využívajícího požadované pakety ICMP Destination Port Unreachable.
SYN flood
K SYN flood dochází, když hostitel odešle velké množství paketů TCP/SYN, často s podvrženou adresou odesílatele. Každý z těchto paketů je zpracováván jako žádost o připojení, což způsobí, že server vytvoří napůl otevřené připojení, odešle zpět paket TCP/SYN-ACK a čeká na paket v odpovědi z adresy odesílatele. Protože je však adresa odesílatele podvržená, odpověď nikdy nepřijde. Tato polootevřená spojení vyčerpají dostupná spojení, která může server vytvořit, a brání mu v odpovědi na legitimní požadavky až do ukončení útoku.