Co je DDoS útok a proč je tak nebezpečný
DDoS znamená Distributed Denial of Service, tedy distribuované odepření služby. Cílem není ukrást data, ale vyčerpat kapacitu webu, serveru, aplikace nebo síťové infrastruktury tak, aby se legitimní uživatelé nedostali ke službě. Na rozdíl od klasického DoS útoku přichází provoz z mnoha zařízení současně, takže je mnohem těžší ho zablokovat jediným pravidlem.
V praxi útočník často využívá botnet – síť kompromitovaných zařízení, kterým se říká „zombie“ počítače. Podle reportů bezpečnostních firem mohou největší útoky dosahovat stovek milionů až jednotek terabitů za sekundu. To už není problém jen pro malé weby, ale i pro velké portály, cloudové služby nebo herní platformy.
Pro majitele webu je důležité pochopit jednoduchý princip: DDoS neútočí na obsah, ale na dostupnost. A dostupnost je pro e-shop, média i SaaS často stejně důležitá jako bezpečnost dat.
Jak DDoS útok technicky funguje
Útočník nejprve získá kontrolu nad velkým množstvím zařízení. Může jít o infikované počítače, servery, ale i chytré kamery, routery nebo IoT zařízení. Tyto stroje potom v jeden okamžik posílají požadavky na cílový web. Server musí každý požadavek vyhodnotit, přidělit mu zdroje a odpovědět. Když je požadavků příliš mnoho, vyčerpá se:
- síťová kapacita – linka je zaplněná provozem,
- CPU a paměť serveru – systém nestíhá zpracovávat spojení,
- aplikace nebo databáze – web padá na dotazy, session nebo login flow,
- edge infrastruktura – CDN, WAF nebo load balancer je přetížený.
Důležité je, že DDoS má více vrstev. Není to jen „hodně trafficu“. Útok může cílit na samotnou síť, na transportní vrstvu nebo na aplikační logiku. Proto je potřeba obrana na více úrovních.
Nejčastější typy DDoS útoků
Volumetrické útoky se snaží vyčerpat šířku pásma. Typicky zaplní linku obrovským objemem dat. Patří sem například UDP flood nebo DNS amplification. U těchto útoků se často mluví o objemech v desítkách až stovkách Gb/s.
Protokolové útoky cílí na slabiny v síťových protokolech. Klasickým příkladem je SYN flood, kdy útočník zahltí server velkým množstvím neuzavřených TCP handshake spojení.
Aplikační útoky jsou nejzáludnější. Nevypadají jako masivní provoz, ale napadají drahé operace webu – vyhledávání, přihlášení, checkout, API endpointy nebo generování dynamického obsahu. Někdy stačí i relativně malý objem požadavků, pokud každý request spotřebuje hodně zdrojů.
Jak poznat, že váš web čelí útoku
První varovný signál bývá náhlý propad dostupnosti nebo extrémní zpomalení. V Google Analytics 4 uvidíte pokles návštěvnosti, ale skutečně užitečná data jsou spíš v serverových logách, monitoringu a v Google Search Console, pokud výpadek trvá déle. Sledujte zejména:
- prudký nárůst requestů z jedné země, ASN nebo IP rozsahů,
- opakované požadavky na stejnou URL v krátkých intervalech,
- neobvykle vysoký počet 499, 502, 503 a 504 chyb,
- zvýšené využití CPU, RAM nebo saturaci síťového rozhraní,
- náhlý růst bot trafficu v nástrojích jako Cloudflare, Fastly nebo AWS WAF.
U e-shopů bývá typické, že útok směřuje na přihlašování, košík nebo vyhledávání. U mediálních webů zase na homepage a RSS feedy. U API služeb bývají cílem konkrétní endpointy, které jsou výpočetně náročné.
Praktický tip: nastavte si monitoring dostupnosti přes UptimeRobot, Pingdom, Better Stack nebo Datadog. Pokud máte vlastní infrastrukturu, doplňte metriky z Prometheus + Grafana a sledujte i edge logy z CDN.
Jak se proti DDoS bránit v praxi
Základní obrana nezačíná až při útoku, ale už při návrhu webu. Nejefektivnější je kombinace několika vrstev:
- CDN a Anycast síť – rozkládá provoz globálně a pohltí část útoku na edge vrstvě.
- WAF – filtruje podezřelé requesty a aplikační útoky.
- Rate limiting – omezuje počet požadavků na IP, session nebo token.
- Bot management – rozlišuje lidi od automatizovaných skriptů.
- Load balancing – rozděluje zátěž mezi více serverů.
- Auto-scaling – v cloudu přidává kapacitu při špičkách.
Pokud provozujete WordPress, minimem je kvalitní hosting, CDN typu Cloudflare nebo Fastly, omezení XML-RPC, ochrana administrace přes 2FA a bezpečnostní pluginy jako Wordfence nebo Sucuri. U WooCommerce je navíc vhodné chránit checkout, login a API endpointy.
U moderních aplikací v Next.js nebo jiném frameworku je zásadní oddělit statický obsah od dynamiky. Čím více obsahu doručíte přes CDN a cache, tím menší dopad bude mít útok na origin server. U API je vhodné zavést JWT rate limiting, ochranu proti brute force a přísné limity na nákladné dotazy.
Velmi důležitá je i správná konfigurace DNS. DNS služby s DDoS ochranou, jako je Cloudflare DNS, Route 53 nebo Akamai, pomáhají snížit riziko, že útočník vyřadí web už na úrovni překladu domény.
Co dělat během útoku a jak minimalizovat škody
Pokud útok právě probíhá, rozhodují minuty. Postup by měl být předem připravený v incident response plánu. Nejprve potvrďte, zda jde skutečně o DDoS, nebo o interní problém, například chybný deploy či výpadek databáze. Potom:
- aktivujte ochranu u CDN/WAF a přepněte na „under attack“ režim, pokud ho poskytovatel nabízí,
- blokujte nebo omezujte zjevně škodlivé ASN, země nebo IP rozsahy, pokud to dává smysl,
- zapněte přísnější rate limiting na problematické endpointy,
- dočasně vypněte náročné funkce, jako je fulltext vyhledávání nebo exporty,
- zajistěte komunikaci se zákazníky přes status page, sociální sítě nebo e-mail.
U větších firem je vhodné mít domluvenou spolupráci s poskytovatelem ochrany proti DDoS ještě před incidentem. Poskytovatelé jako Cloudflare, Akamai, Imperva, Radware nebo specializovaní hostingoví partneři umí přesměrovat provoz přes scrubbing centra, kde se škodlivý traffic vyčistí dřív, než dorazí k vám.
Po útoku si uložte logy, časovou osu a metriky. Zjistěte, co přesně bylo cílem, jak dlouho útok trval, jaké vrstvy byly zasaženy a zda ochrana fungovala. Tato data jsou klíčová pro další ladění i pro komunikaci s hostingem nebo policií.
Jak snížit riziko do budoucna
Nejlepší obrana proti DDoS je kombinace techniky, procesů a pravidelného testování. Doporučuji udělat alespoň jednou za půl roku kontrolu odolnosti: otestovat CDN, WAF, limitace, failover, zálohy konfigurace i kontakty na support. U kritických webů má smysl provést i kontrolovaný stress test s bezpečnostním partnerem, nikoli na produkci bez dohody.
Pro firmy s vysokou závislostí na dostupnosti je rozumné mít:
- redundantní infrastrukturu ve více regionech,
- automatizované zálohy a obnovu konfigurace,
- jasný incident response playbook,
- kontakty na hosting, CDN a bezpečnostní tým,
- pravidelný audit logů a nastavené alerty v reálném čase.
DDoS útok je především test odolnosti vašeho webu. Kdo má připravenou architekturu, monitoring a reakční plán, zvládne i velký útok bez zásadního dopadu na byznys. Kdo spoléhá jen na to, že „nás si nikdo nevšimne“, bývá první, kdo během pár minut zmizí z internetu.
