Technická dokumentace

Fenomén DDoS

Komplexní rozbor distribuovaného odmítnutí služby: od základních mechanismů až po pokročilé metody síťové obrany.

01 Anatomie a životní cyklus

DDoS (Distributed Denial of Service) není pouhou chybou v systému, ale cíleným využitím limitů digitální infrastruktury. Zatímco klasický DoS útok pochází z jednoho zdroje, DDoS využívá distribuovanou architekturu, typicky tvořenou tzv. botnetem.

C&C (Command & Control)

Útočník neřídí každý stroj přímo. Využívá C&C servery k rozesílání instrukcí tisícům infikovaných uzlů, které následně synchronizovaně zaútočí.

Amplifikace (Zesílení)

Pokročilé útoky využívají veřejné služby (např. DNS, Memcached) k tomu, aby malý dotaz vygeneroval obrovskou odpověď směřující na oběť.

02 Klasifikace dle vrstev OSI

Vrstvy 3 a 4 (Síťová a Transportní)

Tyto útoky cílí na šířku pásma a kapacitu zpracování paketů. Patří sem:

  • SYN Flood: Zneužívá "třícestný handshake" TCP protokolu tím, že zahltí server nedokončenými spojeními.
  • UDP Flood: Odesílání velkého množství UDP paketů na náhodné porty, což nutí server neustále kontrolovat aplikace a odesílat ICMP odpovědi.
  • ICMP (Ping) Flood: Přetížení linky pomocí požadavků na ozvěnu.

Vrstva 7 (Aplikační)

Nejsofistikovanější útoky, které napodobují lidské chování. Jsou těžko detekovatelné, protože vypadají jako legitimní provoz.

  • HTTP GET/POST Flood: Útočník simuluje uživatele, kteří neustále obnovují náročnou stránku nebo odesílají formuláře.
  • Slowloris: Drží spojení se serverem otevřená co nejdéle odesíláním částečných HTTP požadavků, čímž vyčerpá pool vláken serveru.

Pokročilé strategie obrany

BGP Flowspec

Umožňuje propagovat pravidla pro filtrování provozu přímo do sítě poskytovatele internetu (ISP). Tím se útok zastaví na úrovni páteřní sítě, nikoliv až u cílového serveru.

Anycast Routing

Metoda, kde jedna IP adresa existuje na více místech po celém světě. Útok je tak automaticky geograficky rozptýlen mezi stovky serverů, čímž se jeho síla v každém bodě radikálně sníží.

Behaviorální analýza a ML

Moderní systémy (Scrubbing Centers) nepoužívají jen statické podpisy, ale učí se profil běžného uživatele. Odchylky v RTT (Round Trip Time) nebo anomálie v hlavičkách paketů vedou k okamžitému odklonění provozu k hloubkové inspekci.

03 Důsledky a dopady

Útoky DDoS nejsou jen technickou nepříjemností. Jejich primárním cílem je často ekonomická likvidace nebo zakrytí jiného, hlubšího průniku do sítě (tzv. "smoke screening").

  • Přímé finanční ztráty: Výpadek e-shopu v řádu hodin může znamenat miliony v ušlém zisku.
  • Poškození reputace: Pokud bankovní nebo zdravotnický systém nefunguje, uživatelé ztrácejí důvěru v bezpečnost instituce.
  • Náklady na obnovu: Zapojení specialistů na kyberbezpečnost a nákup dodatečného hardware/software po incidentu.