Bilet otwarty 
+373 79 600002 
Telegram Live Chat 
F.A.Q 
Polski
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Indonesia 
中文 (中国) 
BezpieczeństwoAtaki DDoS: Typy, warstwy modelu OSI i jak chronić swoją infrastrukturę
Ataki typu Distributed Denial of Service (DDoS) pozostają jedną z najbardziej destrukcyjnych i kosztownych zagrożeń dla biznesów online, aplikacji internetowych i infrastruktury hostingowej. Niezależnie od tego, czy zarządzasz małym sklepem e-commerce, czy serwerami na poziomie przedsiębiorstwa, zrozumienie sposobu działania ataków DDoS — i sposobu ich mapowania na określone warstwy modelu OSI — stanowi podstawę każdej poważnej strategii obrony.
W tym kompleksowym przewodniku omawiamy każdy główny typ ataku DDoS, wyjaśniamy, którą warstwę OSI każdy z nich atakuje, opisujemy rzeczywisty wpływ na Twoją firmę i przedstawiamy sprawdzone strategie łagodzenia, aby utrzymać Twoje usługi online.
Co to jest atak DDoS?
Atak Distributed Denial of Service (DDoS) to skoordynowana, złośliwa próba przytłoczenia docelowego serwera, sieci lub usługi ogromną ilością ruchu lub wyczerpujących zasoby żądań — uniemożliwiająca mu odpowiadanie na żądania użytkowników.
W przeciwieństwie do prostego ataku DoS przeprowadzanego z jednej maszyny, ataki DDoS wykorzystują botnety: sieci tysięcy, a nawet milionów zainfekowanych urządzeń (komputery, urządzenia IoT, serwery), które jednocześnie zalewają cel. Rozproszony charakter sprawia, że te ataki są znacznie trudniejsze do zablokowania i znacznie bardziej potężne.
Ostatecznym celem jest proste: wyczerpanie zasobów celu — przepustowości, CPU, pamięci lub pojemności połączeń — powodując przestoje, degradację wydajności i przerwę w usługach.
Model OSI: Dlaczego ma znaczenie dla obrony przed DDoS
Model OSI (Open Systems Interconnection) to ramy koncepcyjne, które dzielą komunikację sieciową na siedem odrębnych warstw, z których każda odpowiada za określoną funkcję. Ataki DDoS są celowo zaprojektowane do wykorzystania luk w określonych warstwach, dlatego zrozumienie modelu jest niezbędne do diagnozowania i obrony przed nimi.
| Warstwa OSI | Nazwa | Funkcja |
|---|---|---|
| Warstwa 1 | Fizyczna | Transmisja sprzętowa surowych danych |
| Warstwa 2 | Łącze danych | Transfer danych między węzłami |
| Warstwa 3 | Sieć | Routing i adresowanie IP |
| Warstwa 4 | Transport | Komunikacja end-to-end (TCP/UDP) |
| Warstwa 5 | Sesja | Zarządzanie sesją |
| Warstwa 6 | Prezentacja | Formatowanie danych i szyfrowanie |
| Warstwa 7 | Aplikacja | Protokoły dostępne dla użytkownika (HTTP, DNS, itp.) |
Ataki DDoS atakują przede wszystkim warstwy 3, 4 i 7, każda wymagająca innego podejścia do wykrywania i łagodzenia.
Typy ataków DDoS wg warstwy OSI
1. Ataki oparte na wolumenie — warstwa 3 (warstwa sieciowa)
Ataki oparte na wolumenie są najprostsze i często największe pod względem surowego wolumenu ruchu. Ich głównym celem jest nasycenie dostępnej przepustowości celu lub infrastruktury sieciowej łączącej go z Internetem. Rozmiar ataku jest zwykle mierzony w gigabitach na sekundę (Gbps) lub pakietach na sekundę (PPS).
#### Zalew ICMP (Ping Flood)
Atakujący wysyła ogromną liczbę pakietów ICMP Echo Request (ping) do celu. Serwer ofiary jest zmuszony do przetworzenia każdego żądania i wysłania odpowiadającej odpowiedzi, zużywając zarówno przepustowość przychodzącą i wychodzącą, jak i cykle CPU. Gdy wolumin przekroczy pojemność serwera, cały ruch uzasadniony jest całkowicie wyeliminowany.
Charakterystyka: Proste do wykonania, często używane jako zasłona dla bardziej zaawansowanych jednoczesnych ataków.
#### Zalew UDP
W zalewu UDP atakujący wysyła duże ilości pakietów User Datagram Protocol (UDP) na losowe porty na hoście docelowym. Ponieważ UDP jest bezpołączeniowy i bezstanowy, serwer docelowy musi:
- Sprawdzić, czy jakakolwiek aplikacja nasłuchuje na porcie docelowym.
- Odpowiedzieć pakietem ICMP „Destination Unreachable”, jeśli żadna aplikacja nie zostanie znaleziona.
Ten proces powtarzany miliony razy na sekundę szybko wyczerpuje zasoby serwera i dostępną przepustowość.
#### Ataki amplifikacji (amplifikacja DNS/NTP)
Szczególnie niebezpieczny podtyp ataków volumetrycznych warstwy 3, ataki amplifikacji wykorzystują publicznie dostępne serwery (resolvery DNS, serwery NTP, instancje memcached) do zwielokrotnienia ruchu ataku. Atakujący fałszuje adres IP ofiary i wysyła małe żądania do tych serwerów, które odpowiadają odpowiedziami 10x do 100x większymi — wszystkie skierowane na ofiarę.
2. Ataki protokołu — warstwa 4 (warstwa transportu)
Ataki protokołu wykorzystują słabości w samych protokołach komunikacji TCP/IP, zamiast po prostu zalewać przepustowość. Mają na celu wyczerpanie zasobów po stronie serwera, takich jak tabele stanu połączeń, tabele sesji zapory sieciowej i pojemność modułu równoważenia obciążenia. Rozmiar ataku jest mierzony w pakietach na sekundę (PPS).
#### Zalew SYN
Zalew SYN jest jedną z najbardziej znanych i szeroko stosowanych technik DDoS. Wykorzystuje trójstopniowe uzgadnianie TCP:
- Klient wysyła pakiet SYN w celu zainicjowania połączenia.
- Serwer odpowiada SYN-ACK i przydzielając zasoby podczas oczekiwania na ostateczny ACK.
- W zalewu SYN atakujący wysyła tysiące pakietów SYN — często z fałszowanymi źródłowymi adresami IP — ale nigdy nie kończy uzgadniania.
Tabela połączeń serwera zapełnia się półotwartymi połączeniami, uniemożliwiając mu akceptowanie nowych uzasadnionych połączeń. Jest to wysoce efektywny atak nawet przy stosunkowo niskich wolumenach ruchu.
#### Ping of Death
Atak Ping of Death polega na wysłaniu zniekształconych lub zbyt dużych pakietów do celu. Specyfikacja IPv4 ogranicza rozmiar pakietu do 65 535 bajtów; gdy zbyt duży pakiet jest fragmentowany i ponownie montowany, może spowodować przepełnienie bufora, awarie systemu lub ponowne uruchomienie na systemach podatnych na ataki. Chociaż nowoczesne systemy operacyjne zostały w dużej mierze zalatane przed klasycznym Ping of Death, warianty nadal się pojawiają.
#### Zalew ACK
W zalewu ACK atakujący wysyła dużą ilość pakietów TCP ACK do celu. Ponieważ serwer nie ma rekordu odpowiadających pakietów SYN, musi przetworzyć każdy z nich, aby określić, że jest nieprawidłowy — zużywając CPU i pamięć w procesie.
3. Ataki na warstwę aplikacji — warstwa 7 (warstwa aplikacji)
Ataki na warstwę aplikacji są najbardziej zaawansowane i najtrudniejsze do wykrycia, ponieważ ściśle naśladują uzasadnione zachowanie użytkownika. Zamiast przytłaczać przepustowość lub wyczerpywać tabele połączeń, atakują zasoby obliczeniowe określonych aplikacji — serwery internetowe, bazy danych, API i systemy logowania. Rozmiar ataku jest mierzony w żądaniach na sekundę (RPS).
#### Zalew HTTP
Zalew HTTP wysyła ogromną liczbę pozornie uzasadnionych żądań HTTP GET lub POST do serwera internetowego. Ponieważ każde żądanie wygląda prawidłowo, proste blokowanie oparte na IP jest nieskuteczne. Serwer musi przetworzyć każde żądanie — wysyłając zapytania do baz danych, renderując strony, wykonując skrypty — aż do całkowitego przytłoczenia i niemożności obsługi rzeczywistych użytkowników.
Zalewu GET zazwyczaj atakują strony wymagające dużych zasobów (wyniki wyszukiwania, listy produktów).
Zalewu POST atakują formularze i punkty końcowe logowania, zmuszając serwer do przetworzenia dużych ilości przesłanych danych.
#### Slowloris
Slowloris to wyjątkowo ukryty atak, który wymaga bardzo małej przepustowości. Działa poprzez:
- Otwieranie dużej liczby połączeń z docelowym serwerem internetowym.
- Wysyłanie częściowych, niekompletnych nagłówków żądań HTTP — wystarczająco, aby utrzymać każde połączenie przy życiu.
- Okresowe wysyłanie dodatkowych linii nagłówka, aby zapobiec przekroczeniu limitu czasu.
Serwer utrzymuje każde połączenie otwarte czekając na ukończenie żądania, stopniowo wyczerpując maksymalną pulę połączeń. Po zapełnieniu puli nie można zaakceptować nowych uzasadnionych połączeń — skutecznie wyłączając serwer z sieci przy użyciu minimalnych zasobów atakującego.
#### Zalew zapytań DNS
Atakując infrastrukturę DNS na warstwie 7, atakujący wysyłają ogromne ilości żądań wyszukiwania DNS dla nieistniejących lub losowych nazw domen. Serwer DNS musi przetworzyć każde zapytanie, zużywając CPU i pamięć, aż nie będzie już w stanie rozwiązywać uzasadnionych żądań — skutecznie odłączając cel od Internetu.
#### Wyczerpanie SSL/TLS
Te ataki wykorzystują koszt obliczeniowy uzgadniania SSL/TLS. Nawiązanie szyfrowanego połączenia wymaga znacznych zasobów CPU po stronie serwera. Inicjując tysiące uzgadniań SSL na sekundę bez ich ukończenia, atakujący mogą przytłoczyć nawet dobrze wyposażone serwery.
Rzeczywisty wpływ ataków DDoS
Zrozumienie mechaniki technicznej to tylko połowa obrazu. Konsekwencje biznesowe udanego ataku DDoS mogą być poważne i długotrwałe:
Przestoje usług i utrata przychodów
Każda minuta, w której Twoja witryna lub aplikacja jest offline, przekłada się bezpośrednio na utratę przychodów. W przypadku platform e-commerce, produktów SaaS i usług online nawet kilka godzin przestoju może kosztować tysiące lub dziesiątki tysięcy dolarów — nie licząc pośrednich kosztów utraty klientów.
Zwiększone koszty operacyjne
Awaryjne reagowanie na incydenty, dodatkowe zasilanie przepustowością, usługi specjalistyczne łagodzące skutki i nadgodziny dla personelu IT szybko się sumują podczas i po ataku DDoS.
Uszkodzenie reputacji
Klienci i partnerzy zauważają, gdy usługi ulegają awarii. Powtarzające się lub przedłużające się przestoje podważają zaufanie, szkodzą reputacji marki i mogą trwale kierować użytkowników do konkurentów. W przypadku firm w regulowanych branżach przestoje mogą również powodować naruszenia zgodności i związane z nimi kary.
Rozproszenie bezpieczeństwa (ataki zasłonowe)
Niektóre ataki DDoS są celowo zaprojektowane jako rozproszenia — zajmując zespoły bezpieczeństwa, podczas gdy atakujący jednocześnie wykonują naruszenia danych, wdrażanie oprogramowania ransomware lub inne włamania poprzez niemonitorowane wektory.
Strategie łagodzenia DDoS: praktyczny przewodnik
Efektywna obrona przed DDoS wymaga warstwowego, proaktywnego podejścia, które rozwiązuje zagrożenia na każdym poziomie OSI. Żadne pojedyncze rozwiązanie nie jest wystarczające samo w sobie.
1. Wybierz infrastrukturę zbudowaną na odporność
Twoja podstawa hostingowa ma ogromne znaczenie. Wybór dostawcy, który oferuje infrastrukturę świadomą DDoS z łączami sieciowymi o dużej pojemności, filtrowaniem na poziomie sprzętu i nadmiarową łącznością, jest pierwszą linią obrony.
Jeśli prowadzisz aplikacje o znaczeniu krytycznym dla biznesu, rozważ uaktualnienie do planu Hosting VPS lub rozwiązania Serwery dedykowane, które zapewniają dedykowane zasoby, większą kontrolę nad konfiguracją sieci i możliwość wdrażania niestandardowych reguł zapory — wszystkie krytyczne zalety podczas ataku.
2. Wdrożyć filtrowanie ruchu i zapory sieciowe
Wdrożyć zapory stanowe i systemy wykrywania/zapobiegania włamaniom (IDS/IPS) w celu inspekcji przychodzącego ruchu i automatycznego odrzucania pakietów pasujących do znanych sygnatur ataku. Skonfiguruj reguły, aby:
- Blokować ruch z znanych złośliwych zakresów IP i ASN.
- Odrzucać zniekształcone pakiety i nieprawidłowe stany protokołu.
- Ograniczyć ruch ICMP i UDP do uzasadnionych przypadków użycia.
- Egzekwować ścisłą walidację stanu TCP w celu zwalczania zalewów SYN.
3. Zastosuj ograniczenie szybkości
Ograniczenie szybkości kontroluje, ile żądań jeden adres IP lub połączenie może wykonać w określonym przedziale czasowym. Jest to szczególnie efektywne przeciwko atakom warstwy 7, takim jak zalewu HTTP i zalewu zapytań DNS. Wdrożyć ograniczenie szybkości na wielu poziomach:
- Poziom serwera internetowego (NGINX, Apache)
- Poziom zapory aplikacji (reguły WAF)
- Poziom CDN/edge (Cloudflare, Akamai)
4. Wdrożyć zaporę aplikacji internetowej (WAF)
WAF działa na warstwie 7 i może rozróżniać między uzasadnionymi użytkownikami a ruchem ataku na podstawie analizy behawioralnej, wzorców żądań i oceny reputacji. Jest szczególnie efektywna przeciwko zalewom HTTP, Slowloris i specyficznym dla aplikacji exploitom.
5. Użyj rozpowszechniania sieci Anycast
Routing Anycast rozprowadza przychodzący ruch na wiele geograficznie rozproszonych centrów danych. Zamiast tego, aby cały ruch ataku trafiał na jeden serwer, jest rozprowadzany w całej sieci — rozcieńczając jego wpływ i czyniąc ataki volumetryczne znacznie mniej efektywnymi.
6. Wdrożyć nadmiarowość i równoważenie obciążenia
Rozprowadzenie aplikacji na wiele serwerów i regionów geograficznych przy użyciu modułów równoważenia obciążenia zapewnia, że nawet jeśli jeden węzeł jest przytłoczony, inne nadal obsługują uzasadnionych użytkowników. Ta architektura poprawia również wydajność i dostępność w normalnych warunkach.
7. Wykorzystaj specjalistyczne usługi ochrony DDoS
W przypadku firm stojących w obliczu poważnych lub trwałych zagrożeń DDoS, dedykowane usługi łagodzenia DDoS (takie jak Cloudflare Magic Transit, Radware lub Imperva) zapewniają zawsze włączone czyszczenie ruchu — usuwanie złośliwego ruchu zanim kiedykolwiek dotrze do Twojej infrastruktury.
8. Zabezpiecz infrastrukturę DNS
Ponieważ DNS jest częstym celem DDoS, upewnij się, że Twój dostawca DNS oferuje infrastrukturę odporną na DDoS z routingiem anycast i ograniczeniem szybkości. Rozważ użycie DNSSEC w celu zapobiegania fałszowaniu DNS i atakom na zatrucie pamięci podręcznej, które mogą pogorszyć szkody DDoS.
9. Utrzymuj ważne i prawidłowo skonfigurowane certyfikaty SSL
Wygasłe lub błędnie skonfigurowane certyfikaty SSL mogą stworzyć luki, które atakujący wykorzystują. Utrzymywanie ważnych Certyfikaty SSL zapewnia efektywną obsługę szyfrowanych połączeń i zmniejsza ekspozycję na ataki wyczerpania SSL.
10. Opracuj i przetestuj plan reagowania na incydenty
Posiadanie udokumentowanego, przetestowanego planu reagowania na DDoS dramatycznie skraca czas łagodzenia ataku. Twój plan powinien zawierać:
- Jasne ścieżki eskalacji i listy kontaktów.
- Wstępnie skonfigurowane szablony reguł zapory dla typowych typów ataków.
- Relacje z dostawcami upstream w celu awaryjnego null-routingu lub czyszczenia ruchu.
- Procedury przeglądu po incydencie w celu poprawy obrony.
Podsumowanie ataku DDoS: warstwy OSI w skrócie
| Typ ataku | Warstwa OSI | Zasób docelowy | Jednostka pomiaru |
|---|---|---|---|
| Zalew ICMP | Warstwa 3 — Sieć | Przepustowość | Gbps |
| Zalew UDP | Warstwa 3 — Sieć | Przepustowość / CPU | Gbps / PPS |
| Amplifikacja DNS/NTP | Warstwa 3 — Sieć | Przepustowość | Gbps |
| Zalew SYN | Warstwa 4 — Transport | Tabele połączeń | PPS |
| Zalew ACK | Warstwa 4 — Transport | CPU / Tabele stanu | PPS |
| Ping of Death | Warstwa 4 — Transport | Stabilność systemu | PPS |
| Zalew HTTP | Warstwa 7 — Aplikacja | CPU serwera internetowego | RPS |
| Slowloris |