Ataki DDoS należą do najczęstszych i najszybciej rosnących zagrożeń w cyberbezpieczeństwie. Polegają na przeciążeniu sieci, serwerów lub aplikacji tak, aby usługa stała się niedostępna dla realnych użytkowników. Skala problemu dynamicznie rośnie – w 2024 roku odnotowano rekordową liczbę incydentów, a liczba ataków o wolumenie przekraczającym 1 Tbps wzrosła kilkanaście razy w ujęciu kwartalnym.
Ataki DDoS dzielą się głównie na dwa typy. Ataki warstw L3/L4 koncentrują się na wyczerpaniu przepustowości i zasobów infrastruktury (np. TCP SYN Flood, ACK Flood, ICMP Flood). Ataki warstwy aplikacyjnej (L7) są bardziej precyzyjne i trudniejsze do wykrycia, ponieważ generują ruch przypominający legalne żądania użytkowników, obciążając serwery WWW i usługi DNS (np. HTTP Flood, DNS Water Torture, DNS Amplification).
Przykłady z rynku pokazują, że współczesne kampanie DDoS osiągają ekstremalną skalę – od wielowektorowych ataków wolumetrycznych rzędu kilku terabitów na sekundę po aplikacyjne kampanie generujące setki milionów żądań HTTP na sekundę. Skuteczna obrona wymaga dziś rozproszonej infrastruktury, zaawansowanej analizy ruchu i wielowarstwowych mechanizmów ochrony, które pozwalają utrzymać dostępność usług nawet podczas rekordowych ataków.
Czym charakteryzują się ataki DDoS? Przegląd rodzajów i przykłady z rynku
Ataki DDoS (Distributed Denial of Service) stanowią jedno z najpoważniejszych i najczęściej występujących zagrożeń w krajobrazie cyberbezpieczeństwa. Ich celem jest przeciążenie zasobów serwera, sieci lub aplikacji poprzez zalewanie ich ogromną ilością fałszywego lub niechcianego ruchu, co w efekcie prowadzi do niedostępności usługi dla realnych użytkowników.
W aktualnym świecie, gdzie każda sekunda przestoju może oznaczać gigantyczne straty finansowe i wizerunkowe, problematyka ta narasta, stając się codziennym wyzwaniem dla firm i organizacji na całym świecie.
W 2024 roku odnotowano rekordową aktywność DDoS. Tylko w czwartym kwartale zneutralizowano 6,9 miliona ataków, - to oznacza wzrost o 83% w porównaniu z analogicznym okresem poprzedniego roku!
Warto tutaj również wspomnieć o wzroście liczby ataków o hiperwolumetrycznej charakterystyce. W IV kwartale 2024 roku odnotowano ich ponad 420, a ich wolumen przekroczył 1 Tbps. Liczba ataków przekraczających 1 Tbps wzrosła aż o 1885% kwartał do kwartału (!!)
W tym artykule przyjrzę się bliżej, jak działają ataki DDoS, koncentrując się na ich różnych rodzajach.
Rodzaje Ataków Distributed Denial of Service (DDoS)
Ataki Warstwy Sieciowej / Transportowej (L3/L4 DDoS Attack)
Ataki te celują w warstwy sieciową (L3) i transportową (L4), dążąc do wyczerpania przepustowości łącza lub zasobów obliczeniowych.
TCP SYN FLOOD
Atak TCP SYN Flood polega na masowym wysyłaniu do serwera pakietów SYN, które inicjują połączenie TCP (Transmission Control Protocol – sposób komunikacji między dwoma komputerami w sieci). Haker zwykle nie kończy trójfazowego procesu ustanawiania sesji, pozostawiając serwer w stanie oczekiwania na odpowiedź, która nigdy nie nadejdzie. W efekcie zasoby serwera, takie jak pamięć i tablice połączeń, stopniowo się wyczerpują. Gdy liczba półotwartych połączeń osiągnie limit, serwer przestaje reagować na realnych użytkowników. Atak ten jest jednym z najpopularniejszych i najprostszych do przeprowadzenia.
TCP ACK FLOOD
W ataku TCP ACK Flood atakujący zalewa serwer ogromną liczbą pakietów ACK, które służą do potwierdzania odebrania danych w połączeniu TCP. Serwer traktuje każdy pakiet jako potencjalnie ważny element istniejącej lub nieistniejącej sesji i musi poświęcić zasoby na jego obsługę. Powoduje to nadmierne obciążenie zarówno warstwy sieciowej, jak i transportowej. Przy dużej intensywności ruchu serwer może nie być w stanie prawidłowo przetwarzać prawdziwych żądań. Atak ACK Flood jest często stosowany do przeciążania infrastruktury, szczególnie urządzeń pośredniczących, takich jak firewalle czy load balancery.
TCP FRAGMENT FLOOD:
W ataku TCP Fragment Flood atakujący wysyła duże ilości pofragmentowanych pakietów TCP, które muszą zostać złożone przez serwer docelowy. Proces rekonstrukcji pakietów obciąża zasoby systemowe, szczególnie pamięć i procesor. Wzrost liczby fragmentów może doprowadzić do przekroczenia limitów buforów, co zakłóca normalne działanie serwisu. Do tego zdrowy ruch użytkowników może zostać opóźniony lub niedopuszczony. Atak tego typu jest często stosowany w celu obejścia polityk bezpieczeństwa i zapór opierających się na analizie pełnych pakietów.
PING OF DEATH
Ping of Death polega na wysyłaniu do serwera nadmiernie dużych pakietów ICMP (Internet Control Message Protocol – protokół sieciowy służący do przesyłania komunikatów o błędach i statusie sieci), które po złożeniu przekraczają maksymalny rozmiar dozwolony przez protokół IP. Historycznie takie pakiety mogły powodować błędy przepełnienia buforów w systemach operacyjnych. W efekcie serwer może się zawiesić lub zrestartować. Współczesne systemy są odporne na klasyczną wersję ataku, ale jego idea pozostaje przykładem, jak proste pakiety mogą wpływać na stabilność infrastruktury. Publikowane raporty przez kluczowych producentów systemów Anty-DDOS pokazują, że taki atak nadal (choć w mniejszym stopniu) jest generowany do środowisk IT ze starszą infrastrukturą.
ICMP FLOOD
Atak ICMP Flood polega na generowaniu ogromnej liczby pakietów ICMP, zwykle typu Echo Request („ping”), w kierunku celu. Serwer lub router musi odpowiadać na zapytania, co powoduje szybkie zużycie zasobów procesora i przepustowości łącza. Przy dużej intensywności ruchu zdrowe pakiety nie są w stanie przebić się przez nadmiar fałszywych żądań. W efekcie usługa staje się niedostępna dla użytkowników. Jest to jeden z najprostszych, ale wciąż skutecznych ataków wolumetrycznych.
Ataki warstwy aplikacyjnej (L7)
Ataki L7 koncentrują się na warstwie aplikacji, wykorzystując zasoby serwera aplikacyjnego. Według analiz, ataki te stanowiły nieznacznie większą część ogólnego wolumenu incydentów (51%) w 2024 roku.
HTTP FLOOD
HTTP Flood polega na masowym wysyłaniu prawidłowo wyglądających żądań HTTP, takich jak GET lub POST, aby przeciążyć serwer WWW. Ponieważ ruch przypomina normalne zapytania użytkowników, jest trudny do wykrycia za pomocą prostych filtrów. Serwer musi przetworzyć każde żądanie, co obciąża warstwę aplikacyjną bardziej niż w przypadku prostych ataków sieciowych. Przy dużej liczbie zapytań zasoby serwera – CPU, pamięć czy tablica sesji – zaczynają się wyczerpywać. Skutkuje to brakiem dostępności dla faktycznych użytkowników.
HTTP PIPELINING ATTACK
Atak HTTP Pipelining opiera się na nadużyciu funkcji pipeliningu, która pozwala klientowi wysłać kilka żądań HTTP bez oczekiwania na odpowiedź. Napastnik generuje długie serie takich zapytań, co powoduje nadmierne obciążenie serwera i jego kolejek przetwarzania. Serwer może zatrzymać się, próbując obsłużyć niekończące się sekwencje żądań. W efekcie legalne zapytania są blokowane lub znacząco opóźnione. Atak jest trudny do wykrycia, ponieważ żądania formalnie są poprawne.
DNS WATER TORTURE (NXDOMAIN DDoS Attack)
DNS Water Torture polega na zalewaniu serwerów DNS (Domain Name System) dużą liczbą zapytań o nieistniejące domeny. Serwer musi sprawdzić każde zapytanie, a następnie zwrócić odpowiedź NXDomain, co obciąża jego zasoby. Jeśli atak jest skierowany na serwer nadrzędny, może wpływać na dostępność całej domeny. Duża liczba nieprawidłowych zapytań utrudnia obsługę realnego ruchu DNS. W rezultacie użytkownicy mogą doświadczać problemów z niedostępnością usług.
DNS AMPLIFICATION
W ataku DNS Amplification napastnik wykorzystuje otwarte serwery DNS, wysyłając do nich zapytania z fałszywym adresem źródłowym ofiary. Ofiara zostaje zalana dużą ilością odpowiedzi na zapytania, które nigdy nie były przez nią inicjowane. Ponieważ ruch pochodzi z wielu serwerów DNS, atak ma charakter rozproszony i trudny do zablokowania. Jest to jeden z najczęściej wykorzystywanych ataków wolumetrycznych ze względu na wysoką efektywność i prostotę wykonania.
Przykłady największych ataków DDoS zarejestrowanych przez Cloudflare
Atak 7,3 Tbps – największy wolumetryczny DDoS obsłużony przez Cloudflare
Na początku 2025 roku Cloudflare opisał jeden z największych ataków DDoS w historii swojej infrastruktury. W ciągu zaledwie 45 sekund na adres IP jednego z klientów (dużego dostawcy usług hostingowych) spłynęło aż 37,4 terabajta złośliwego ruchu, a szczytowy wolumen przekroczył 7,3 Tbps! Atak obejmował dziesiątki tysięcy portów docelowych i ponad sto tysięcy unikalnych adresów źródłowych.
Większość ruchu stanowił klasyczny UDP flood, jednak kampania była wielowektorowa, z elementami m.in. NTP reflection czy QOTD. Dzięki temu, że ruch przejęła infrastruktura Cloudflare Magic Transit, atak został w pełni odfiltrowany zanim dotarł do serwera klienta, bez żadnego przestoju po stronie usług.
Atak aplikacyjny o rekordowej intensywności
Na blogu Cloudflare możemy znaleźć także szczegóły ataku opartego na technice HTTP/2 Rapid Reset. W trakcie kampanii zaobserwowano ponad 201 milionów żądań HTTP na sekundę. To pokazuje, że ataki warstwy aplikacyjnej bywały często bardziej wyrafinowane niż klasyczne DDoS L3/L4. Nie wymagają one ogromnego botnetu, lecz sprytnego wykorzystania słabości protokołu http. Cloudflare zidentyfikowało wzorzec, zablokowało technikę i natychmiast wprowadziło usprawnienia w swoich systemach wykrywania.
Cloudflare, dzięki rozproszonej infrastrukturze jest jednym z niewielu dostawców, którzy są w stanie zagwarantować dostępność usług nawet w obliczu rekordowych ataków. Jeśli chcesz sprawdzić, jak skutecznie zabezpieczyć swoją organizację przed atakami DDoS – skontaktuj się z nami.
Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.
Autor tekstu:
