Ataki DDoS i DoS: czym są? Podobieństwa i różnice

DDoS i DoS to jedne z najczęściej ujawniających się zagrożeń w cyberprzestrzeni. Odpowiadają za dużą część ataków na systemy komputerowe czy sieci internetowe. Wywołują destrukcyjne skutki, które dotykają użytkowników prywatnych i firmy, a nawet organy administracji publicznej. Dlatego warto sprawdzić, czym charakteryzują się te zjawiska, a także jakie zbieżności oraz odmienności można dostrzec między DDoS a DoS. Taka wiedza pozwoli lepiej radzić sobie z nimi.

DDoS to skrót od distributed denial of service. W dosłownym tłumaczeniu oznacza „rozproszoną odmowę usługi”. Jest rozszerzeniem skrótu DoS, który dotyczy denial of service, czyli „odmowy usługi”.

Oba typy ataków mają wspólne korzenie. Hakerzy najpierw zaczęli stosować ataki DoS – w latach 90. XX w. polegały one na wykorzystywaniu luk w zabezpieczeniach sieciowych, za pośrednictwem których, przy wykorzystaniu pojedynczych węzłów, do systemów komputerowych kierowano spreparowane pakiety danych. Wraz z intensywnym rozwojem Internetu i coraz lepszą jego ochroną przed hakerami, na początku XXI w. zmienił się sposób działania cyberprzestępców – zaczęli oni wysyłać żądania na serwery, aby doprowadzić do ich przeciążenia.

Charakterystyczne było wówczas to, że istniały dostępne w sieci programy, które umożliwiały realizację ataków DDoS. Pierwszym był LOIC, a więc Low Orbit Ion Cannon, który w 2012 r. został zastąpiony przez HOIC (High Orbit Ion Cannon). Wystarczyło wpisać adres URL ofiary, a programy automatycznie wysyłały żądania – nawet 0,5 mln jednocześnie.

Ataki DoS były jednak coraz mniej skuteczne. Decydowało o tym:

• ich źródło – pojedynczy adres IP można było łatwo zablokować, a sprawca, działający z danego urządzenia, mógł zostać szybko wykryty,
• nieefektywność dla sprawców – ataki najczęściej wymagały łącza internetowego o większym paśmie niż łącze ofiary.

Dlatego pojawiło się zagrożenie pod postacią DDoS. Angażuje ono więcej zasobów i jest bardziej skomplikowane niż DoS, a za jego pomocą hakerzy mogą szybciej osiągnąć własne cele.

DDoS oraz DoS nie powinno się rozpatrywać oddzielnie, gdyż oba zjawiska mają podobny charakter i przebieg, a także zmierzają do osiągnięcia analogicznych celów. Można jednak wskazać wiele różnic między nimi – dotyczą one przede wszystkim tego, kto bierze udział w atakach oraz jaki jest ich zasięg.

Podobieństwa między atakami DDoS i DoS

Rozpatrując, co to jest DDoS i czy ma jakieś wspólne cechy z DoS, należy zwrócić uwagę na charakter ataku. W obu przypadkach jest identyczny, gdyż polega na kierowaniu do określonego systemu czy usługi ogromnej liczby żądań, co powoduje przeciążenie serwera i zablokowanie użytkownikom dostępu, na przykład do strony WWW.

Mechanizm jest podobny – osoba atakująca wysyła liczne zapytania w krótkim przedziale czasowym. Serwer każde z nich musi analizować i odpowiedzieć na nie, jednak w pewnym momencie nie jest w stanie tego zrobić. Skutkiem jest zakłócenie jego funkcjonowania.

Ataki DDoS, tak jak DoS, mogą być skierowane przeciwko różnym podmiotom. Dotyczy to użytkowników prywatnych, jak również małych i dużych firm, dostawców Internetu czy organizacji rządowych i pozarządowych. Ataki obejmują najczęściej:

• pojedyncze adresy IP,
• systemy komputerowe,
• witryny, na przykład e-sklepów, oraz portale internetowe,
• aplikacje i usługi sieciowe, w tym bankowe, brokerskie, aukcyjne, gamingowe,
• strony rządowe.

Pod tym kątem nie ma różnic między obydwoma typami cyberataków, choć obecnie częściej spotyka się DDoS, głównie wówczas, gdy masowe zapytania są wysyłane do dużych serwisów internetowych. Na ataki są szczególnie narażone warstwy komunikacji cyfrowej w modelu OSI, w tym sieciowa, transportu czy sesji.

Analizując zbieżności między DDoS a DoS, należy wskazać jeszcze na:

• wykorzystywanie przez hakerów urządzeń należących do innych użytkowników, które zostały zainfekowane złośliwym oprogramowaniem, na przykład koniem trojańskim,
• objawy ataków – brak odpowiedzi ze strony routera czy serwera, spowolniona praca komputera, niedostępność strony WWW dla użytkowników, niemożność wykonania żadnych działań w Internecie,
• metody ochrony – stałe aktualizowanie systemu operacyjnego i oprogramowania, filtrowanie pakietów danych, maskowanie adresu IP, używanie VPN, czyli wirtualnej sieci prywatnej, a także korzystanie z usług firm oferujących przekierowanie podejrzanego ruchu na zewnętrzny serwer,
• skutki – utrata dostępu do komputera i sieci, co uniemożliwia zdalną naukę czy pracę, straty finansowe i wizerunkowe przedsiębiorstw.

Bez względu na to, czy dotknął nas atak DoS, czy DDoS, sposoby działania są podobne. Po zauważeniu niepokojących objawów warto uruchomić oprogramowanie antywirusowe i usunąć niebezpieczne pliki, a jeśli nie przyniesie to skutku, należy sformatować system operacyjny.

DoS a DDoS – różnice

Główna odmienność między tymi dwoma rodzajami cyberataków dotyczy liczby komputerów, które blokują działanie systemu czy aplikacji – DoS jest dokonywany z jednego urządzenia, natomiast w DDoS bierze udział równocześnie wiele maszyn, nawet do kilku tysięcy. Komputery, laptopy, a nawet urządzenia mobilne (smartfony, tablety) tworzą armię zombie (inaczej botnet), która jest zarządzana przez hakera i w krótkim czasie potrafi wysycić zasoby nawet bardzo wydajnego systemu informatycznego.

Dzięki dużej skali ataku i uczestnictwie wielu węzłów, DDoS, w przeciwieństwie do DoS, jest znacznie trudniej wykryć. Rozpoznanie hakera utrudnia fakt, że ataki najczęściej są realizowane w oparciu o zdecentralizowaną wymianę plików peer-to-peer, gdzie każdy bot może być zarówno klientem, jak i centrum dowodzenia. Urządzenia zainfekowane złośliwym oprogramowaniem są wykorzystywane do dalszego rozsyłania wirusa i włączania w skład botnetu kolejnych sprzętów. Sprawca może działać na uboczu, skupiając się jedynie na wydawaniu instrukcji – nawet wówczas może posłużyć się innym komputerem.

DDoS to atak, który, gdy zostanie podjęty, jest niełatwo zwalczyć. Wpływa na to niemożność:

• zidentyfikowania urządzenia, którym haker posłużył się w celu zainfekowania innych urządzeń,
• blokowania wielu setek czy tysięcy adresów IP, z których wysyłane są żądania.

Odpowiedniej reakcji nie ułatwia też to, że wielu użytkowników, których maszyny tworzą armię zombie, nie zdaje sobie sprawy z uczestnictwa w nielegalnym procederze. Nie podejmują oni żadnych działań zaradczych, co wpływa na to, że botnet działa bez przeszkód, wysyłając kolejne ilości spamu.

W tym zakresie nie ma zasadniczych różnic między DDoS a DoS. Oba typy ataków najczęściej zmierzają do:

• otrzymania okupu w zamian za odblokowanie dostępu do systemu informatycznego czy usługi sieciowej,
• dezorganizacji struktur państwowych w celu wymuszenia na władzach podjęcia określonej decyzji bądź zaniechania jakiegoś działania – przykładem były akcje podjęte przez hakerów w styczniu 2012 r. w związku z chęcią podpisania przez Polskę układu ACTA,
• wyrażenia protestu, który dotyczy istotnej kwestii społeczno-gospodarczej – między innymi ataki w sierpniu 2019 r. w Hongkongu przeciwko nowelizacji prawa ekstradycyjnego; takie działania są określane jako haktywizm,
• uzyskania wglądu do tajemnic przedsiębiorstwa czy instytucji państwowej,
• odwrócenia uwagi ofiary od innych cyberataków dokonywanych w tym samym czasie.

Ataki DoS i DDoS są podejmowane również w charakterze odwetu za działania skierowane przeciwko hakerom. Szerokim echem odbiła się na przykład akcja podjęta przez grupę Anonymous w związku z zamknięciem serwisu Megaupload w 2012 r., który oskarżono o łamanie praw autorskich oraz pranie brudnych pieniędzy.

Sprawdź więcej informacji na temat rodzajów i celów ataków DDoS.

Każdy atak typu denial of service to ogromne zagrożenie dla użytkowników Internetu. Dlatego należy skutecznie się przed nim chronić. Poza działaniami, które można zrealizować samodzielnie (regularne aktualizacje aplikacji, filtrowanie danych), warto zapoznać się z ofertą firm świadczących usługi oczyszczania ruchu. Dzięki nim każdy cyberatak może być szybko wykryty i zneutralizowany.