Může mě VPN ochránit před DDoS?

Osobní VPN chrání you před DDoSed, pokud vaše skutečná IP není odhalena. Nechrání službu, kterou provozujete. Pro ochranu služeb potřebujete službu CDN nebo scrubbing. Pro hráče, kteří mají obavy z útoků ve stylu „swatting“, je schovávání se za IP poskytovatele VPN tím správným vzorem.

Jak dlouho obvykle trvají DDoS útoky?

Minuty až dny. Střední útok v roce 2025 je pod 10 minut – dost dlouho na to, aby narušil, ale dostatečně krátký na to, aby byl jeho spuštění levný. Trvalé útoky (hodiny až dny) obvykle znamenají motivované útočníky s hlubšími kapsami – vyděračské kampaně, geopolitické operace nebo neobvykle trvalé soupeření.

Jaký je rozdíl mezi DoS a DDoS?

DoS (Denial of Service) je z jednoho zdroje; DDoS je od mnoha. Jednozdrojové útoky jsou triviálně blokovatelné IP filtrem; distribuované útoky potřebují obranu proti pohlcení šířky pásma. Téměř každý moderní útok typu denial-of-service je DDoS; starší termín DoS je většinou historický.

Jsou DDoS útoky nelegální?

Ano v téměř každé jurisdikci. Zákon USA o počítačovém podvodu a zneužívání, zákon Spojeného království o zneužití počítačů a podobné zákony v EU označují neoprávněné narušení služby za trestný čin. Mezinárodní spolupráce proti stresovým službám vedla v mnoha zemích k zatčení. Navzdory tomu je připisování obtížné a mnoho útočníků operuje z jurisdikcí, které nesledují.

Proč poskytovatelé internetových služeb nefiltrují podvržený provoz u zdroje?

Mohli by nasazením BCP38 / filtrování vstupu, a většina to dělá pro nové sítě. Starší sítě a někteří menší ISP stále umožňují falešným zdrojovým adresám opustit jejich síť, což umožňuje zesílení útoků. Iniciativa Mutually Agreed Norms for Routing Security (MANRS) tlačí na přijetí, ale přetrvává dlouhý konec tolerantních sítí.

Vysvětlení útoků DDoS: Jak povodně ničí stránky a proč je těžké je zastavit

Útok typu Distributed Denial-of-Service se snaží učinit službu nedostupnou tím, že ji zahltí provozem z mnoha zdrojů najednou. Ekonomika je hluboce asymetrická – pár tisíc dolarů pronajatých od stresující služby může zničit web, jehož provoz stojí miliony. Obrana proti nim je jednou z nejaktivnějších oblastí síťového inženýrství.

Celé tělo článku je uvedeno níže v angličtině.

A Distributed Denial-of-Service (DDoS) útok zaplaví cíl větším provozem, než dokáže zvládnout, čímž vyčerpá šířku pásma, CPU nebo kapacitu aplikace. Protože provoz pochází z mnoha zdrojů (často desítky tisíc napadených zařízení fungujících jako botnet nebo zesílení prostřednictvím nesprávně nakonfigurovaných serverů), filtrování v cíli nefunguje – útok musí být absorbován nebo vyčištěn proti proudu. (Vrstva 3/4) útoky — zaplaví síť nezpracovanými pakety, aby se nasytila šířka pásma. Povodně UDP, povodně ICMP, povodně SYN. Často založené na zesílení: malý požadavek na špatně nakonfigurovaný server vytvoří velkou odpověď na podvrženou zdrojovou IP (oběť). Slowloris udržuje tisíce TCP spojení otevřených, aniž by je dokončil; Útoky na opětovné vyjednávání SSL si vynucují nákladné operace s kryptoměnami.

Útoky na aplikační vrstvě (vrstva 7) — vypadají jako legitimní uživatelský provoz, ale jsou navrženy tak, aby vyčerpaly aplikační zdroje. Záplavy HTTP, drahé vyhledávací dotazy, opakované požadavky na dynamické koncové body, které vynechávají mezipaměť.

Volumetrické útoky přinášejí nejhlasitější zprávy (třída Tb/s), ale útoky na aplikační vrstvě jsou často škodlivější, protože je obtížnější je filtrovat, aniž by ovlivnily skutečné uživatele. útoky se spoléhají na amplification: útočník odešle malý požadavek UDP s podvrženou zdrojovou IP (adresou oběti) na server, který vrátí mnohem větší odpověď. Oběť obdrží obří odpověď a netuší, odkud pochází původní žádost. Faktory zesílení:

DNS — 50–100× zesílení s odezvami EDNS0 a DNSSEC
NTP monlist – až 500× (starší server je stále opraven, ale stále je opraven, existují)
memcached — historicky až 50 000× v roce 2018; většinou opraveno nyní
CLDAP — přibližně 50×
SSDP/UPnP — přibližně 30×

Největší veřejně zveřejněné útoky na DDoS a všechny výše uvedené útoky na botami 3 Tbps. Největší v roce 2025 zlomil 5 Tbps.

Botnets: odkud pochází provoz

Za většinou velkých útoků: botnet kompromitovaných zařízení. Zařízení internetu věcí (bezpečnostní kamery, routery, chytré televize, DVR) jsou snadným cílem, protože se dodávají s výchozími přihlašovacími údaji a jen zřídka dostávají bezpečnostní aktualizace. Botnet Mirai (2016) kompromitoval statisíce IoT zařízení a byl použit při slavných útocích Krebs a OVH. Zdrojový kód Mirai byl veřejně prozrazen a desítky derivátů stále fungují.

Moderní botnety také zahrnují kompromitované cloudové servery, virtuální stroje získané pomocí odcizených kreditních karet a rezidenční proxy (mobilní IP služby, které jsou efektivně pronajatými botnety). kapacita ze služeb „zavaděč“ nebo „natahovač“. Marketing tvrdí, že jsou pro legitimní zátěžové testování; v praxi většina zákazníků útočí na stránky jiných lidí. Mezinárodní vymáhání práva odstranilo několik velkých stresorů, ale během několika měsíců je nahradí nové. Nabídka je příliš levná a poptávka příliš stálá na to, aby zmizela.

Jak funguje ochrana DDoS

Obrana jednoho webu proti útokům o rychlosti více Tb/s je nemožná — žádný normální web nemá takovou šířku pásma. Obrana spočívá v umístění ochrany před web u poskytovatele s mnohem větší kapacitou:

BGP přesměrování / blackholing — stáhnout trasy k cílové IP, čímž se zruší veškerý provoz. Užitečné jako poslední možnost, ale oběť zcela odpojí.
Scrubovací centra — Cloudflare, Akamai, AWS Shield, Imperva a další udržují velká zařízení, kde je příchozí provoz filtrován. Legitimní provoz je přesměrován do zdroje; útočný provoz je vynechán.
Rate limiting — na hranici CDN omezení počtu požadavků na IP, aby se zabránilo zaplavení aplikační vrstvy.
JavaScriptové výzvy — představují krátkou výpočetní výzvu, kterou skutečné prohlížeče dokončí neviditelně, ale většina robotů can't.
CAPTCHA záložní — v případě podezřelého provozu požádejte o ověření člověkem.

Velcí poskytovatelé CDN/WAF dokážou absorbovat útoky v podstatě jakékoli velikosti, která byla viděna ve volné přírodě – kapacita sítě Cloudflare 0 Tbps přesahuje 30 2026.

Co můžete dělat jako malý provozovatel webu

Sedět za CDN s ochranou DDoS — Bezplatná vrstva Cloudflare pokrývá základní ochranu malých webů; placené úrovně a další poskytovatelé (Akamai, Fastly) zvládají více.
Skryjte svůj původ IP — povolte provoz pouze z rozsahů IP sítě CDN; odmítněte přímá spojení.
Použijte rozumnou politiku omezení sazeb — mnoho bezplatných úrovní CDN nabízí základní omezení sazeb.
Buďte trpěliví během útoku — obrana se spustí, útočníkům dojdou peníze nebo se budou nudit. pokračuje
2024–2026 zaznamenal nové kategorie útoků: útoky HTTP/2 „Rapid Reset“ využívající slabiny protokolu, útoky vrstvy 7 generované umělou inteligencí k napodobování lidského chování a hypervolumetrické útoky vrstvy 3 poskytované prostřednictvím unesených cloudových virtuálních počítačů. Ochránci reagovali chytřejším filtrováním chování, hardwarově akcelerovaným zmírňováním a užší spoluprací mezi poskytovateli. Čistý trend: malé útoky jsou levnější než kdy jindy, ale dobře chráněné weby se také obnovují rychleji než kdy dříve.

Často kladené otázky

Může mě VPN ochránit před DDoS?: Osobní VPN chrání <em>you</em> před DDoSed, pokud vaše skutečná IP není odhalena. Nechrání službu, kterou provozujete. Pro ochranu služeb potřebujete službu CDN nebo scrubbing. Pro hráče, kteří mají obavy z útoků ve stylu „swatting“, je schovávání se za IP poskytovatele VPN tím správným vzorem.
Jak dlouho obvykle trvají DDoS útoky?: Minuty až dny. Střední útok v roce 2025 je pod 10 minut – dost dlouho na to, aby narušil, ale dostatečně krátký na to, aby byl jeho spuštění levný. Trvalé útoky (hodiny až dny) obvykle znamenají motivované útočníky s hlubšími kapsami – vyděračské kampaně, geopolitické operace nebo neobvykle trvalé soupeření.
Jaký je rozdíl mezi DoS a DDoS?: DoS (Denial of Service) je z jednoho zdroje; DDoS je od mnoha. Jednozdrojové útoky jsou triviálně blokovatelné IP filtrem; distribuované útoky potřebují obranu proti pohlcení šířky pásma. Téměř každý moderní útok typu denial-of-service je DDoS; starší termín DoS je většinou historický.
Jsou DDoS útoky nelegální?: Ano v téměř každé jurisdikci. Zákon USA o počítačovém podvodu a zneužívání, zákon Spojeného království o zneužití počítačů a podobné zákony v EU označují neoprávněné narušení služby za trestný čin. Mezinárodní spolupráce proti stresovým službám vedla v mnoha zemích k zatčení. Navzdory tomu je připisování obtížné a mnoho útočníků operuje z jurisdikcí, které nesledují.
Proč poskytovatelé internetových služeb nefiltrují podvržený provoz u zdroje?: Mohli by nasazením BCP38 / filtrování vstupu, a většina to dělá pro nové sítě. Starší sítě a někteří menší ISP stále umožňují falešným zdrojovým adresám opustit jejich síť, což umožňuje zesílení útoků. Iniciativa Mutually Agreed Norms for Routing Security (MANRS) tlačí na přijetí, ale přetrvává dlouhý konec tolerantních sítí.