Jak ochránit web před DDoS útoky?

V článku se dozvíte, co jsou DDoS útoky, koho se týkají a jak souvisejí s dalšími kybernetickými hrozbami. A samozřejmě se podíváme, jaká je nejlepší ochrana proti hackerům, kteří se pokoušejí o DDoS.

Co je DDoS útok?

Zkratka DDoS znamená Distributed Denial of Service, tedy „distribuované odepření služby“. Jde o typ kybernetického útoku, při kterém jsou server či webová stránka záměrně zahlcené obrovským množstvím požadavků tak, aby nebyly schopny všechny zpracovávat. Jednoduše řečeno, aby služba spadla/vypověděla funkčnost v důsledku přehlcení. Tím se znemožní přístup pro legitimní uživatele, kteří chtějí server/web používat.

Ve zkratce „DDoS“ je zásadní slovo „distribuovaný“. To znamená, že útok není vedený z jednoho zařízení nebo z jedné adresy. Pak by samozřejmě stačilo onoho identifikovatelného útočníka zablokovat a bylo po problému.

Pro lepší představu si můžeme vypůjčit jakoukoliv jinou službu z reálného života, třeba restauraci nebo banku či cokoliv jiného. Za běžného provozu přicházejí zákazníci a restaurace/banka je schopna obsloužit všechny bez většího zpoždění. Při DDoS útoku ale někdo vyšle tisíce nebo miliony lidí, kteří jen zdržují a o nákup pizzy/založení účtu nemají ve skutečnosti zájem. Služba pak nemá kapacitu věnovat se skutečným zákazníkům a ani je při příchodu nedokáže odlišit od těch nastrčených.

Moderní DDoS útoky mohou dosahovat extrémních objemů. Běžně stovky gigabitů za sekundu, dokonce i přes terabit za sekundu. Není výjimkou, že útok trvá několik hodin nebo dní a má sílu, která by běžný server vyřadila během několika sekund.

Na cílový server při DDoS útoku přichází obrovské množství datových požadavků z tisíců až milionů různých zařízení, která se mohou odlišovat jak lokalitou, tak svým typem (mobilní telefony, počítače, ale třeba i chytré ledničky). Tato zařízení často nepatří přímo útočníkovi, ale běžným uživatelům, kteří nemají o jejich zneužití tušení. Jsou součástí tzv. botnetu; sítě zpravidla pomocí malwaru infikovaných zařízeních, které útočník ovládá na dálku. Domluva velkého množství lidí, kteří vědomě útočí na stejný cíl, je spíše výjimečná situace a obvykle buďto velmi amatérská nebo spojená se specifickými názorovými komunitami (např. hacktivisté typu Anonymous).

Rozdíl mezi DDoS a jinými kybernetickými hrozbami

DDoS útoky jsou poměrně samostatnou skupinou kybernetických hrozeb. Samozřejmě ale nejsou jedinou a dokonce s ostatními typy kyberútoků dokáží velmi úzce spolupracovat. Jak již bylo zmíněno výše, pro svou činnost často využívají malwarem infikované zařízení běžných uživatelů.

Malware a DDoS útoky

Malware je obecný pojem pro škodlivý software; tedy programy, které byly vytvořeny s cílem způsobit nefunkčnost zařízení nebo získat neoprávněný přístup k zařízení. Právě druhá možnost je používaná pro zahlcování při DDoS útocích.

Existuje mnoho typů malwaru. Podle jejich chování můžeme rozlišit několik největších skupin. Mezi největší patří:

• Počítačový vir: potřebuje nějaký soubor jako svého „hostitele“. Počítač „nakazí“ otevřením onoho „infikovaného“ souboru. Například po stažení z internetu, z e-mailové přílohy nebo přes flash disk. Virus se umí následně sám šířit kopírováním svého vlastního kódu do jiných souborů. Nepředává se ale do nezávislého zařízení.
• Počítačový červ: nepotřebuje hostitelský soubor a ani interakci uživatele. Dokáže automaticky zasílat své kopie na jiné počítače pomocí síťové komunikace.
• Trojský kůň: tváří se jako legitimní a mnohdy užitečný software, ale obsahuje v sobě skrytý škodlivý kód. Po napadení počítače neinfikuje soubory ani se nešíří po síti. Spoléhá se na dobrovolnou a nevědomou instalaci od uživatelů.

Všechny tyto škodlivé programy mohou mít různou funkci: krást data, umožňovat vzdálenou kontrolu, odstraňovat, šifrovat nebo přepisovat soubory, poškodit funkčnost zařízení, instalovat další malware nebo vytvořit „zadní vrátka“ (backdoor) k jeho instalaci. Podle funkce můžeme rozlišit další typy. Mezi největší patří:

• Wiper: typ destruktivního malwaru, který ničí soubory a data, čímž je činí nepřístupnými a nepoužitelnými.
• Ransomware: zašifruje soubory nebo uzamkne přístup k zařízení a požaduje výkupné (ransom) za obnovení přístupu, někdy i za to, že nebudou data zveřejněná.
• Adware: zobrazuje nevyžádané reklamy. Může být méně nebezpečný než jiné typy, ale často zpomaluje zařízení až ho téměř kompletně zaspamuje do nepoužitelné formy.
• Spyware: špehuje uživatele a údaje posílá svému „vlastníkovi“. Sběr dat může zahrnovat historii prohlížení, stisky kláves, hesla, přihlašovací údaje nebo čísla platebních karet.
• Man-in-the-middle: podobně jako spyware cílí na data. Útočník tajně zachytává a případně upravuje komunikaci mezi dvěma stranami, aniž by o tom tyto strany věděly.
• RAT (Remote Access Trojan): umožní útočníkovi kontrolu nad infikovaným zařízením. Dokáže například přistupovat k souborům, ovládat myš i klávesnici, zapnout webkameru i mikrofon a samozřejmě provádět DDoS útoky.
• Rootkit: maskuje přítomnost a zjistitelnost dalšího škodlivého softwaru. Často je součástí malwaru používaného pro DDoS útoky.

Samozřejmě je možné, aby měl malware hned několik funkcí naráz.

Další kybernetické hrozby:

Nejen programy mohou škodit. Existují také závadné kódy, které se šíří přes webové stránky.

• SQL injection: útočník vloží škodlivý kód do webového formuláře (například do vyhledávacího pole nebo přihlašovacího okna), který se následně vykoná v databázi.
• XSS/Cross-Site Scripting: útočník vloží do webové aplikace škodlivý kód (obvykle JavaScript), který se pak zobrazuje na webu. Tento kód škodí návštěvníkům stránek, přes jejichž prohlížeč se spustí.

Samozřejmě velkým bodem zranitelnosti jsou samotní uživatelé a chyby, kterých se nevědomky dopouštějí. Kromě primitivních chyb jako napsání si hesla k zařízení či rovnou jeho prozrazení kamarádovi se mohou lidé stát obětí i promyšlených útoků a podvodů (např. vydávání se za instituci či různé manipulační techniky a sociální inženýrství).

Na koho cílí DDoS útoky?

DDoS útok může cílit na prakticky jakoukoliv veřejně dostupnou internetovou službu. Nezáleží na tom, jestli jde o globálního technologického giganta, státní web, nebo malý e-shop či osobní blog.

Cílem DDoS útoku je poškodit vaši infrastrukturu. Útočník takto může jednat z důvodu vlastního zisku nebo čistě jen s motivací ublížit napadené straně bez svého vlastního obohacení.

Čistě finančním profitem jsou DDoS útoky, které se pokoušejí vydírat cílové organizace. Útočníci chtějí po dané společnosti zaplatit (či udělat cokoliv jiného), aby DDoS přerušili. Dalším důvodem pro zisk může být poškození konkurence a získání vlastní obchodní výhody. I když DDoS vyřadí cizí web či e-shop jen dočasně, výpadek mívá značný dopad zejména v důležitých momentech, jako je představení nového produktu či velké slevové akce typu Black Friday. Kromě finančního obratu má nedostupnost služby rovněž negativní vliv na důvěryhodnost.

Velmi často za DDoS útokem stojí názorový nesouhlas s obsahem webové služby. Tyto útoky mohou být vedené na státní instituce, média, firmy ale i jednotlivci, kteří jsou v očích útočníků problematičtí. Cílem je získat pozornost a mediální prostor, poškodit image či prostě jen daný obsah dostat z internetu a co nejvíce uškodit.

Kromě názorů může být útok z averze také založen na špatných osobních vztazích; ať už těmi osobními (např. bývalý partner/partnerka po rozchodu) nebo pracovními (např. propuštěný zaměstnanec).

Výjimkou v DDoS útocích nejsou ani pokusy „pro zábavu“, demonstrace vlastní síly a konflikty na úrovni států a tajných služeb v rámci hybridní války, špionáže nebo sabotáže.

V některých případech může DDoS útok sloužit jen pro odvedení pozornosti při jiném pokusu o průnik do systému.

Tradiční ochrana proti kybernetickým hrozbám

Klasické zabezpečení proti kybernetickým hrozbám je sice základ, který byste rozhodně neměli podceňovat, avšak nemá plný potenciál ochránit web před DDoS útokem. Pojďme se podívat na limity tradičních IT zabezpečení.

Antivirový program

Antivirus hledá a likviduje škodlivý software. Funguje dobře proti hrozbám, jako jsou počítačové červy, viry nebo trojské koně.

DDoS útok ale není žádný software v našem počítači či telefonu; je to externí bombardování serveru nebo služby požadavky zvenčí. Antivirus tedy prakticky nemá co hledat, z jeho pohledu žádný „škůdce“ v zařízení není.

Jako cíl DDoS útoku vás neochrání, ale dokáže zamezit (nechtěné) instalaci malwaru, přes který by někdo mohl vaše zařízení k DDoS zneužít.

Pravidelné aktualizace

Udržovat software aktuální je základní bezpečnostní zásada. Aktualizace opravují chyby a záplatují zranitelnosti, kterých by mohli využít hackeři.

DDoS útok však nevyužívá chyby, ale limity pro zpracování požadavků. Takže aktuálnost stejně jako v případě antiviru pomůže zabránit zneužití vašeho počítače, ale nijak nerozpoznává nežádoucí přístup a nedokáže vyřešit zahlcení.

Firewall

Firewall monitoruje síťový provoz a řídí, kdo a co smí do sítě. Dokáže odfiltrovat vysloveně podezřelé přístupy.

Avšak pokud útočník provádí DDoS ze zařízení běžných uživatelů se standardními IP adresami, nevyhodnocuje vždy firewall tyto přístupy jako hrozbu. Jeho druhou slabinou je pak stejně jako u samotného webu nebo serveru snadná přetížitelnost. Má omezený výkon a sám může při vysoké zátěži spadnout.

Blokace

Zablokování konkrétní IP adresy nebo i konkrétního státu je funkční proti pár škůdcům, avšak pokud je DDoS útok vedený z tisíců až milionů zařízeních z celého světa, není jejich postupné ruční zablokovávání reálně proveditelné; a s automatizací podle jednoduchých pravidel nepočítejte, jelikož zneužitá zařízení běžných uživatelů internetu nejsou ničím odlišitelná od skutečných návštěvníků.

Komplexní ochrana proti DDoS útokům WEDOS.Protection

Služba WEDOS.Protection se přímo specializuje na ochranu proti DDoS a zahrnuje hned několik různých nástrojů a možností, jak ochránit web před DDoS útokem. Samy o sobě jsou tyto nástroje efektivní a ve vzájemné spolupráci dosahují ještě lepšího výsledku.

WEDOS.Protection využívá strojového učení a umělé inteligence, která dokáže zpracovávat a vyhodnocovat velké množství dat pro rozlišení legitimního přístupu a nežádoucího zahlcování. Všímá si například ne/pravidelných vzorců či náhlých výkyvů a používá behaviorální analýzu pro rozlišení reálných uživatelů od robotů a automatizovaných útoků. K tomu navíc také může pomoci nasazením CAPTCHA a výzvy v JavaScriptu.

Tato anti-DDoS služba filtruje již známé botnety a lokace, které jsou spojené s útoky. Vestavěný rate limiting dokáže omezit počet požadavků na určitou IP adresu. To pomáhá zmírnit přetížení a zabraňuje útočníkovi vysílat extrémní množství požadavků z jednoho zdroje.

Kromě nástrojů pro identifikaci DDoS má WEDOS.Protection také čistící centra. Do nich přesměruje provoz a odfiltruje nežádoucí aktivitu od regulérní, kterou až následně pustí na server. Cloudové služby absorbují útoky, ještě než vůbec stihnou k serveru proniknout. Pro vyrovnání zátěže dokáže WEDOS.Protection rozdělit provoz mezi více serverů ve své globální infrastruktuře, aby nedošlo k jejich přetížení (tzv. služba anycast).

Recenze WEDOS.Protection – co dalšího umí?

Součástí ochrany proti hackerům od Wedos je také WAF (Web Application Firewall), který funguje na principu monitorování, filtrování a analýzy provozu mezi webovou aplikací a jejími uživateli. Obsahuje komplexní a stále aktualizovanou knihovnu pravidel, aby pokrývala klasické a nové hrozby. Navíc s WEDOS Protection můžete pro WAF stanovit i svá vlastní pravidla a přizpůsobit je svým potřebám.

WEDOS Protection podporuje protokoly HTTPS a HTTP/3 pro rychlé a bezpečné připojení a IPv6 i IPv4 pro spojení s moderní i starší síťovou infrastrukturou. Nabízí také SSL certifikáty zdarma. Samozřejmostí je zálohování, díky kterému si můžete svá data rychle obnovit. Nechybí ani oznámení o případných bezpečnostních incidentech v reálném čase.

Další praktickou funkcí je skrývání skutečné adresy serverů. Znalost jejich skutečné IP adresy z nich totiž činí snadnější cíl díky možnosti zaměřit se na infrastrukturu. Pro skrytí IP adresy Wedos využívá reverzní proxy servery jako zprostředkovatele mezi koncovým uživatelem a webovým serverem, CDN pro doručování obsahu z uživatelům nejbližšího serveru, překlad síťových adres (NAT) pro skrytí interních IP adresy či maskování DNS a dynamické DNS.

Co se týká spolehlivosti, WEDOS Protection dokáže pro nejnáročnější zákazníky ve svých prémiových službách zajistit dostupnost 100 % přes Anycast (přesměrování na jiný dostupný server v případě výpadku jednoho). Nemusíte se tak bát u kritické infrastruktury výpadku zrovna v nejméně vhodném okamžiku.

Ačkoliv primárním účelem služby je samozřejmě bezpečný a svižný provoz, má WEDOS Protection právě díky těmto vlastnostem pozitivní vliv i na SEO. Zobrazování vašeho webu výše ve výsledcích Google, který (kromě mnoha jiných faktorů) právě rychle načítající služby s dobrou ochranou upřednostňuje.

Dobré zabezpečení je jednou stránkou věci, ale zároveň nikdo nechce, aby hlídací služba byla příliš citlivá a vytvářela zbytečně mnoho planých poplachů. Umělá inteligence WEDOS Protection se proto učí nejen chování útočníků, ale i normálních uživatelů, které by automat mohl chybně vyhodnotit.

Samozřejmostí je plná kompatibilita se směrnicemi EU/GDPR/NIS2.

Instalace WEDOS.Protection

WEDOS.Protection nevyžaduje změnu hostingu ani žádné migrování dat. Aktivace této služby je snadná a zvládne ji i úplný začátečník. Spuštění je hotové přibližně za 5 minut. Služba začne být aktivní ihned bez dlouhého čekání.

Pro používání je nejprve zapotřebí se registrovat u Wedos nebo se přihlásit k již existujícímu účtu. Přístup k přihlášení pak najdete na webové stránce Wedosu nebo přímo na adrese client.wedos.global.

Po přihlášení bude prvním krokem přidání domény. K němu se dostanete intuitivní cestou „WEDOS Protection (WP) > domény > přidat doménu“. Následně se objeví volba pro nastavení DNS. V tomto kroku stačí zvolit „WEDOS NS“. DNS záznamy vaší domény se automaticky konfigurují a vy již nemusíte nic jiného řešit. Používání WEDOS NS je ideální pro většinu uživatelů a váš web tak bude využívat servery DNS Wedosu. Ovšem pokud byste chtěli používat jiné servery DNS, i tato možnost existuje s podmínkou provozu na vlastní zodpovědnost.

V instalaci se prakticky není možné ztratit, stejně tak jako v uživatelském prostředí. Pokud byste však narazili na problém, má WEDOS.Protection samozřejmě uživatelskou podporu, která vám ho pomůže vyřešit. Nechybí ani databáze často kladených otázek i podrobně zpracovaných návodů a informací na webu.

Cena WEDOS.Protection

Základní ochrana webu od Wedos je dostupná zdarma ve formě wordpressového pluginu. Ten vám umožní využívat výhody rozsáhlé sítě Wedosu pro rozložení zátěže a přesměrování uživatelů na odpovídající blízký a nevytížený server. Tím výrazně urychlí chod webových stránek.

Po instalaci získá web automaticky přístup k moderním bezpečnostním standardům, jako jsou IPv6 a HTTP/3. A to dokonce i v případě, že je váš webhosting nepodporuje. Součástí free programu WEDOS.Protection je pak také cloudový WAF (Web Application Firewall).

Pokročilou ochranu webu přímo před DDoS útoky pak nabízejí placené programy. Samozřejmě se zvyšujícím se tarifem se zlepšují i funkce a také se zvyšují možnosti individuálního nastavení. Z pěti cenových nabídek si vybere každý:

Základní balíček „Start“ začíná jen na 1 €/měsíc. Nabízí okamžité blokování podezřelých požadavků z různých IP adres, analýzu aktivit, rozdělení provozu mezi více center, omezení počtu požadavků, využívání čistících center, základní blacklist/whitelisting, skrytí serveru před útočníky a mnoho dalšího. Na rozdíl od dražších programů však nemá zákaznickou podporu, chytrou ochranu API, historii protokolů, podrobné analýzy a nepodporuje subdomény. Pro všechny tyto možnosti budete již potřebovat Advanced program za 13 €/měsíc

Již profi řešení Expert za 100 €/měsíc má třeba pokročilou konfigurace CDN cache, HTTPS s vlastním certifikátem či WebSockets. Ultimate za 1 200 €/měsíc nabídne například vlastní vyhrazené lokality nebo záruku 100% dostupnosti včetně zcela individuálního nastavení. Hodí se pro nejnáročnější webové projekty; například pro banky, vlády a korporace.

Alternativy k WEDOS.Protection

Na trhu samozřejmě existují i další řešení ochrany proti DDoS útokům. Mezi nejznámější patří Cloudflare, který nabízí základní ochranu zdarma, ale pokročilé funkce a vyšší limity jsou dostupné až v placených verzích začínajících na 20 USD měsíčně. Pro větší weby může být zajímavá služba Akamai, která je však primárně zaměřena na enterprise klienty s odpovídajícími cenami. Sucuri představuje solidní volbu zejména pro WordPress stránky, jeho Firewall s CDN začíná na 9,99 USD měsíčně, kompletní Security Platform pak stojí od 229 USD ročně.

Pro české a slovenské provozovatele webů představuje WEDOS.Protection výhodu v podobě lokální podpory v češtině, jednoduchého nastavení bez nutnosti technických znalostí a především velmi příznivé ceny začínající již na 1 € měsíčně. Zatímco mezinárodní služby často vyžadují platbu kartou v cizí měně, u Wedosu můžete platit běžným bankovním převodem v eurech. Díky serverům umístěným v České republice navíc WEDOS.Protection zajišťuje rychlou odezvu pro místní návštěvníky vašeho webu.