Ataki DDoS. Czym są, historia i rekordowy incydent z Microsoft Azure

Ataki DDoS należą dziś do najbardziej powszechnych, skutecznych i jednocześnie trudnych do zatrzymania form cyberagresji. Są wykorzystywane przez cyberprzestępców, aktorów państwowych, haktywistów i szantażystów. Wraz z rozwojem IoT i automatyzacją ataków rośnie ich skala i częstotliwość. Rekordowy atak na Azure pokazał, że pojedynczy incydent może wygenerować więcej ruchu niż możliwości wielu operatorów telekomunikacyjnych. By zrozumieć znaczenie tego wydarzenia, trzeba wyjaśnić, czym są ataki DDoS, jak działają i jak zmieniały się przez ostatnie dekady.

Czym są ataki DDoS i na czym polegają?

DDoS, czyli z angielskiego Distributed Denial of Service, to atak polegający na blokowaniu dostępu do usługi przez wygenerowanie tak dużej ilości ruchu, że system przestaje odpowiadać na legalne żądania użytkowników. Kluczowym elementem jest rozproszenie (ang. distributed) – ruch nie pochodzi z jednego źródła, ale z setek tysięcy lub nawet milionów urządzeń rozsianych po całym świecie. Wielokrotnie pisaliśmy na naszym blogu o tego typu atakach na różne strony i usługi. Więcej znajdziesz TUTAJ.

W praktyce wygląda to jak sztucznie wywołany ruch. Serwer działa, ale nie jest w stanie obsłużyć lawiny połączeń. Użytkownik widzi wolne ładowanie strony, błędy, a ostatecznie całkowity brak dostępu.

Żeby taki atak przeprowadzić, hakerzy korzystają najczęściej z botnetów, czyli sieci przejętych urządzeń – komputerów, routerów, a nawet sprzętu IoT. Wszystkie te urządzenia, często niezabezpieczone lub posiadające domyślne hasła, na polecenie z zewnątrz (ang. command & control) wysyłają skoordynowany ruch w stronę wybranego celu.

Sprzęt IoT to urządzenia, które potrafią łączyć się z internetem i wymieniać dane, żeby działać mądrzej (z ang. smart) lub automatycznie. Mogą to być np. czujniki, inteligentne żarówki, zegarki czy kamery. Dzięki połączeniu z siecią potrafią współpracować z innymi urządzeniami.

Historia ataków: od eksperymentów do cyberwojen

Lata 90. narodziny problemu

Pierwsze znane ataki oparte na przeciążaniu systemów pojawiły się w połowie lat 90. Najbardziej znanym z nich był „Ping of Death”, który potrafił zawiesić system jedną ramką ICMP. W 1999 roku powstały pierwsze narzędzia pozwalające na tworzenie prymitywnych botnetów.

Lata 2000 – ataki Mafiaboy i wejście DDoS na scenę globalną

W 2000 r. 15-letni haker znany jako Mafiaboy przeprowadził serię ataków na Yahoo, CNN, Amazon i eBay. Po raz pierwszy DDoS sparaliżował największe platformy internetowe, a świat zobaczył, że rozproszony atak jest w stanie zatrząść globalnymi markami w sieci.

W 2002 roku doszło do ataku na serwery root DNS. DDoS uderzył w rdzeń internetu, trwał  godzinę i pokazał, że zagrożenie dotyczy nie tylko pojedynczych witryn, lecz potencjalnie całej globalnej infrastruktury.

DNS (ang. Domain Name System) to system, który tłumaczy i łączy nazwy stron internetowych, takie jak google.com czy cyberrescue.info z adresami IP, które są wykorzystywane do komunikacji w sieci. Każda domena ma swój adres IP, w przypadku cyberrescue.info jest to 85.128.54.50. Nazwy domen są ułatwieniem dla ludzi, którzy mogą łatwiej zapamiętać adresy witryn zamiast wielu adresów IP.

Serwery root DNS to najwyższy poziom hierarchii systemu domenowego (DNS) jest to fundament działania całego internetu. To one wskazują, gdzie znajdują się serwery odpowiedzialne za domeny najwyższego poziomu, takie jak .com, .pl czy .org. Każde zapytanie DNS, które nie może zostać rozwiązane lokalnie, trafia do jednego z rootów. Na świecie istnieje tylko 13 serwerów root, obsługiwane są jednak przez setki fizycznych serwerów rozsianych po całym świecie. Gdyby zostały poważnie zakłócone, mogłoby to spowolnić lub zakłócić działanie znacznej części internetu.

Rosyjska agresja przeciwko Estonii i Gruzji

W 2007 roku Estonia stała się pierwszym państwem, które doświadczyło masowych ataków DDoS jako narzędzia presji politycznej. Po sporze o przeniesienie radzieckiego pomnika kraj został sparaliżowany falą skoordynowanych ataków na banki, media, strony rządowe i telekomunikację. To wydarzenie pokazało, że cyberatak może zaburzyć funkcjonowanie całego państwa i stało się punktem rozpoczęcia dyskusji nad pojęciem „cyberwojny”.

Rok później podobne ataki uderzyły w Gruzję, towarzysząc działaniom militarnym na północy kraju. Atakujący czasowo wyłączali strony rządowe i informacyjne, utrudniając komunikację i koordynację działań państwa. Oba wydarzenia pokazały, że DDoS stał się elementem współczesnych operacji geopolitycznych – prostym, tanim, ale trudnym do przypisania i skutecznym w destabilizacji kluczowych usług. Więcej o historii ataków hakerskich możesz przeczytać w naszym artykule TUTAJ.

2016 – Mirai i przełom IoT

Botnet Mirai, ujawniony w 2016 roku był przełomem w świecie cyberataków, ponieważ po raz pierwszy na tak dużą skalę wykorzystano urządzenia IoT – kamery, routery, itp. Mirai skanował internet w poszukiwaniu urządzeń z domyślnymi hasłami lub bez aktualizacji oprogramowania, po czym przejmował nad nimi kontrolę i włączał je do swojej sieci botów. W efekcie powstała armia licząca setki tysięcy urządzeń, zdolna wygenerować niespotykany wcześniej ruch. W ataku udział brały również przejęte urządzenia z terytorium Polski. Więcej o ataku można przeczytać w raporcie TUTAJ.

Była to seria ataków, w tym na dostawcę DNS Dyn, który osiągnął około 1 Tbps i unieruchomił takie serwisy jak Twitter, Netflix, Spotify czy Reddit. Mirai pokazał, że urządzenia IoT stały się nowym źródłem mocy obliczeniowej dla cyberprzestępców – często słabo zabezpieczonym, tanim i masowym. Od tego momentu botnety oparte na IoT są już standardem w świecie DDoSów, a problem niezabezpieczonego sprzętu domowego i przemysłowego jest nowym globalnym wyzwaniem bezpieczeństwa.

Eksplozja mocy i automatyzacja

Od roku 2018 ataki DDoS weszły na nowy poziom złożoności i skali. Przełomem było odkrycie techniki Memcached amplification, która pozwalała osiągać ogromne wolumeny ruchu bez użycia klasycznych botnetów. W 2018 r. atakujący zasypali GitHub ruchem sięgającym 1,35 Tbps, wygenerowanym wyłącznie przez odbicia z podatnych serwerów Memcached. Był to dowód, że do rekordowego ataku wystarczy jeden źle zabezpieczony protokół. 

Memcached amplification to technika DDoS, w której atakujący wzmacnia atak, wykorzystując podatne i bardzo szybkie serwery Memcached. Memcached działa na protokole UDP, który umożliwia odbieranie i wysyłanie danych bez weryfikacji nadawcy. Gdy taki serwer jest publicznie dostępny (co nie powinno się zdarzyć), atakujący może wysłać do niego zapytanie ze sfałszowanym adresem IP ofiary. Serwer odpowiada w tej sytuacji dużym i znacznie większym pakietem oraz wysyła go bezpośrednio do celu.

Rekordowy atak na Microsoft Azure

W ostatnich dniach platforma Microsoft Azure poinformowała, że 24 października 2025 r. wykryła i skutecznie powstrzymała rekordowy atak typu DDoS o rekordowej skali – 15,72 terabitów na sekundę oraz blisko 3,64 miliarda pakietów na sekundę.

Uderzenie pochodziło z botnetu Aisuru, opartego na zmodyfikowanej wersji Mirai i wykorzystującego ponad 700 tys. urządzeń IoT. Atakujący przeprowadzili wielowektorowy, precyzyjnie skoordynowany atak wymierzony w pojedynczy punkt końcowy w Australii. Mimo ogromnej skali system Azure przechwycił i przefiltrował cały ruch w czasie rzeczywistym, dzięki czemu użytkownicy nie odnotowali zakłóceń.

Obrona była skuteczna dzięki Azure DDoS Protection, który automatycznie wykrył anomalie i uruchomił mechanizmy blokowania oraz równoważenia ruchu. Microsoft pokazał, że globalne usługi chmurowe mogą obsługiwać ruch porównywalny ze skalą dużych operatorów telekomunikacyjnych.

Ostatecznie incydent pokazał dwie rzeczy. Po pierwsze to, że możliwości sprawców rosną szybciej niż kiedykolwiek, a botnety IoT nadal są główną siłą napędową współczesnych ataków. Po drugie, że odpowiednio przygotowana infrastruktura potrafi skutecznie neutralizować nawet rekordowe uderzenia. Atak na Azure pokazuje, że bezpieczeństwo wymaga nowego podejścia i ciągłej gotowości na rosnące zagrożenia.

Cele ataków DDoS

Ataki DDoS mają różne cele, ale najczęściej służą do zakłócenia działania usług, wywołania strat finansowych lub wymuszenia okupu. Częstą motywacją jest szantaż, gdzie cyberprzestępcy grożą paraliżem serwisu, jeśli ofiara nie zapłaci (tzw. ransom DDoS). Przykładem takiej kampanii były działania grup Armada Collective, Fancy Bear (APT28) i innych, które od 2015 roku żądały od firm okupu za „ochronę” przed atakiem. Wiele przedsiębiorstw, m.in. w USA, Nowej Zelandii i Europie, doświadczyło wówczas realnych ataków po odmowie zapłaty. Głośnym celem stała się wtedy nowozelandzka giełda NZX, którą ataki wielokrotnie wyłączały z działania.

Drugim częstym celem jest działanie polityczne lub sabotaż. W wielu konfliktach międzynarodowych DDoS służy jako narzędzie destabilizacji i uderza w media, instytucje państwowe czy banki. Przykładem są wyżej opisane ataki na Estonię w 2007 roku oraz  Gruzję w 2008.

DDoS bywa także wykorzystywany jako zasłona dymna. Podczas, gdy ofiara walczy z przeciążonymi systemami, atakujący mogą prowadzić równoległe operacje, jak kradzież danych czy przejęcie serwerów. Przykładem takiej strategii były ataki na niektóre instytucje finansowe w USA, gdzie utrudnienie dostępu maskowało próby infiltracji sieci. W każdym przypadku cel jest ten sam – wywołanie chaosu, strat i utrudnienie normalnego funkcjonowania organizacji. DDoS sam nie wykrada ani nie szyfruje danych, ale może ukrywać inne działania cyberprzestępców.

Ideologiczne, polityczne lub społeczne motywacje mogą również skłaniać grupy do przeprowadzania ataków – to właśnie haktywizm. Haktywiści nie dążą do zysku, ale chcą nagłaśniać wybrane sprawy – od walki z cenzurą po protest wobec działań państw.

Podsumowanie

Ataki DDoS stają się coraz bardziej złożone, zautomatyzowane i prowadzone na większą skalę. Od pierwszych eksperymentów w latach 90. po rekordowe ataki liczone w terabitach na sekundę. DDoS stały się nie tylko bronią hakerów, ale też narzędziem przestępczym, militarnym i politycznym.

Zagrożenia będą ewoluować, a dostawcy usług i twórcy serwisów muszą nadążać z ich zabezpieczaniem.