Atak DoS(ang. Denial-of-service), zwany również atakiem typu „odmowa usługi”, to cyberatak, który uniemożliwia dostęp do danej usługi (aplikacji, witryny, serwisu) jej rzeczywistym użytkownikom. Hakerzy zalewają serwer usługi dużą ilością złośliwych zapytań lub przekierowują do niego obciążający ruch sieciowy. Zamierzonym efektem jest brak dostępności usługi, co prowadzi do:

• strat materialnych – do czasu uporania się z problemem firma nie może realizować usług, a dodatkowe koszty generują czynności związane z odparciem ataku DoS oraz naprawy po incydencie,


• strat wizerunkowych – klienci mogą odwrócić się od dostawcy, który nie potrafi zapewnić dobrej dostępności swoich usług i jest podatny na cyberataki.

Formy ataków DoS

Pierwszy przypadek ataku DoS pojawił się w 1996 roku i został przeprowadzony na firmę Panix, jednego z największych wówczas dostawców usług internetowych. W ciągu kilku dni firmy, które zajmowały się w tamtym czasie cyberbezpieczeństwem, opracowały narzędzia potrzebne do odparcia ataku (ogromny wkład w to miała firma Cisco). Od tamtego momentu pojawiły się najróżniejsze ataki DoS – wśród najpopularniejszych można wyróżnić:

• SYN Flood wykorzystuje pewną słabość protokołu TCP, który stanowi tzw. trzyfazowy proces uzgadniania połączenia. W trakcie ataku komputer wysyła sygnał SYN do serwera usługi, na co ten odpowiada gotowością do nawiązania połączenia – do tego jednak nie dochodzi. Zapytanie pozostaje więc w oczekiwaniu, a w tym czasie namnażają się kolejne tego typu zdarzenia. Atak DoS na firmę Panix był przeprowadzony właśnie w ten sposób.


• HTTP Flood polega na wysyłaniu żądań HTTP GET/POST, pozornie w celu uzyskania dostępu do statycznej zawartości lub dynamicznie generowanych zasobów aplikacji/witryny. Żądania wykorzystywane przez hakerów mają za zadanie wygenerować jak największe obciążenie serwerów, dlatego wybierane są te z nich, które dążą do przydzielenia maksymalnych zasobów.
  Ataki przeprowadzane tą metodą są wyjątkowo trudne do wykrycia, ponieważ wykorzystują naturalny ruch URL o szybkości wysyłania żądań poniżej progu wykrywalności standardowych systemów. Nie używają przy tym zniekształconych pakietów danych i symulują zwyczajny ruch w witrynie czy aplikacji. Do ochrony HTTP Flood wykorzystuje się zaawansowane mechanizmy, które profilują ruch i sprawdzają reputację adresów wysyłających żądania.


• UDP Flood wykorzystuje charakterystykę bezpołączeniowego protokołu UDP. Hakerzy wysyłają dużą ilość pakietów danych na losowe porty serwera, na co ten odpowiada pakietami zwrotnymi ICMP. Kolejne wysyłane zapytania i odpowiedzi ICMP obciążają serwer aż do momentu, w którym nie jest on już w stanie przetworzyć nowego ruchu, a usługa jest niedostępna.

Obecnie klasyczny atak DoS jest wykonywany stosunkowo rzadko, za to często można spotkać się z jego pochodną – atakiem DDoS.

DDoS (ang. Distributed Denial of Service) to odmiana ataku DoS. Polega na zaangażowaniu do ataku wielu komputerów, co czyni go skuteczniejszym i prowadzi do jeszcze większego obciążenia serwerów. W tym celu często wykorzystuje się rozległe sieci połączonych ze sobą komputerów zombie (tzw. botnet), których właściciele nie muszą nawet wiedzieć o swoim pośrednim „uczestnictwie” w ataku.

Formy ataków DDoS

• ICMP Flood (nazywany też Ping Flood) polega na zalaniu serwera pakietami ICMP (zazwyczaj ICMP Echo Request). Serwer może odpowiadać za każdym razem pakietem ICMP Echo Reply, co przy dużej częstotliwości żądań prowadzi do szybkiego przeciążenia serwera. Metoda ta wykorzystuje przewagę atakującego nad atakowanym w kwestii przepustowości łącza.
  Szczególnym rodzajem tego ataku jest popularny niegdyś atak Ping of Death, który polega na wysłaniu do serwera pakietu ping o rozmiarze przekraczającym 65 535 bajtów. W niektórych systemach operacyjnych powoduje to awarię i zatrzymanie usługi.


• Atak LOIC (ang. Low Orbit Ion Canon) – LOIC to proste w obsłudze oprogramowanie open source, które służy do przeprowadzania ataków DoS i DDoS przy wykorzystaniu wielu popularnych technik. Z uwagi na niski poziom skomplikowania jest powszechnie stosowane przez amatorów, w tym grupy aktywistyczne czy hakerów motywowanych politycznie. Powstała nawet wersja JS LOIC stworzona w języku JavaScript, która nie wymaga instalowania oprogramowania na komputerze.

Zasadniczą różnicą pomiędzy atakami DoS a DDoS jest liczba systemów biorących udział w całej operacji. DoS wykorzystuje jeden system do zaatakowania serwera, podczas gdy DDoS wykorzystuje całą sieć, mogącą liczyć nawet kilka tysięcy komputerów. Atak DDoS z reguły przebiega także znacznie szybciej.

Dzięki zastosowaniu rozproszenia atak DDoS jest zdecydowanie trudniejszy do przerwania. Złośliwe pakiety nadchodzą z wielu różnych adresów, fizycznych lokalizacji i urządzeń. W związku z tym systemy bezpieczeństwa nie są w stanie szybko odseparować złośliwego ruchu od prawidłowego.

Co pewne, to że ataki z rodziny DoS grożą w zasadzie każdej firmie i organizacji, która udostępnia publicznie jakąkolwiek aplikację czy witrynę. Teoretycznie przed atakami DoS o niewielkim wolumenie mogą chronić nowoczesne zapory sieciowe, jednak większość tego rodzaju rozwiązań nie gwarantuje ochrony warstwy aplikacyjnej. Ponadto konfiguracja zapory skupiona na wykrywaniu ruchu z ataku typu DoS znacząco obniża ogólną wydajność sieci.

Ataki DoS i DDoS pozostają kluczowym wyzwaniem dla bezpieczeństwa sieciowego, dlatego chcąc skutecznie chronić systemy, firmy muszą stosować zaawansowane technologie takie, jak profilowanie ruchu i analiza reputacji adresów IP. Niezbędna jest także infrastruktura o wysokiej przepustowości, która może obsługiwać nawet najbardziej intensywne ataki. Przyszłość obrony przed DoS i DDoS to dalszy rozwój tych technologii oraz stałe doskonalenie procedur bezpieczeństwa.

Do obrony przed tego rodzaju zdarzeniami konieczne są bardzo wydajne platformy ze stworzonymi w tym celu filtrami do detekcji i odsiewania złośliwego ruchu. Taką usługą jest Netia DDoS Protection. Ochrona jest realizowana dzięki wysokodostępnej platformie o jednej z największych wydajności w Polsce – przy wsparciu zespołów Security Operations Center oraz Nadzoru Sieci (NOC), czyli specjalistów o dużej wiedzy i doświadczeniu w odpieraniu tego rodzaju zagrożeń.

Osoby, które chcą zabezpieczyć swoją firmę przed groźnymi atakami DoS/DDoS, mogą skontaktować się z naszym konsultantem, który opowie o naszych usługach oraz przedstawi konkretną propozycję.