Ataki sieciowe
Wysoki
ZarządCISOIT

DDoS — atak blokujący dostępność

DDoS Attack

DDoS blokuje dostępność usług przez zalew ruchu. Ataki na Polskę wzrosły o 144% w 2025. Poznaj typy ataków i jak chronić firmę 24/7.

4 min czytaniaPrzykład: Fale ataków DDoS grupy NoName057(16) na polskie banki, porty i strony administracji publicznej — cykliczne kampanie od 2023 roku (CERT Polska)
Udostępnij
BEZ OCHRONYNoName057(16) — hacktywizmtysiące zainfekowanych urządzeńzalew ruchu (DDoS)Serwer firmySerwer przeciążonystrona niedostępnaUSŁUGA NIEDOSTĘPNAZ OCHRONĄ ANTY-DDoSten sam botnetOchrona anty-DDoS(scrubbing)Zły ruch odfiltrowanySerwer firmyPrawdziwy użytkownikPrawdziwi użytkownicy obsłużeniUSŁUGA DZIAŁADDoS zalewa serwer ruchem, aż usługa pada. Ochrona anty-DDoS odfiltrowuje zły ruch i utrzymuje dostępność.seciq.pl

Kluczowe wnioski

  • DDoS uderza w dostępność, nie w dane — usługa lub strona przestaje działać pod zalewem sztucznego ruchu
  • Ataki DDoS na Polskę wzrosły o 144% w 2025 roku (dane resortu cyfryzacji)
  • Grupy prorosyjskie (NoName057(16), KillNet) regularnie atakują polskie banki, administrację, porty i logistykę — motywem jest dyzrupcja, nie okup
  • Obrona: scrubbing anty-DDoS, CDN, rate limiting, WAF i monitoring SOC 24/7 z gotowym planem reagowania

Czym jest DDoS?

DDoS (Distributed Denial of Service, rozproszona odmowa usługi) to atak, którego celem nie jest kradzież ani zniszczenie danych, lecz odebranie dostępności. Atakujący zalewa serwer, aplikację lub łącze taką ilością sztucznego ruchu, że przestają one obsługiwać prawdziwych użytkowników. Strona się nie ładuje, system bankowości elektronicznej nie odpowiada, portal usług publicznych staje się nieosiągalny.

To rozróżnienie jest kluczowe dla zarządu. Przy ransomware czy wycieku pytanie brzmi „co nam wykradziono". Przy DDoS pytanie brzmi „jak długo jesteśmy niedostępni i ile to kosztuje". Nie ma okupu do zapłacenia i nie ma danych do odzyskania — jest przestój, utracone transakcje i nadszarpnięte zaufanie klientów.

Słowo „rozproszona" opisuje mechanikę: ruch nie płynie z jednego komputera, lecz z tysięcy przejętych urządzeń (botnetu) rozsianych po świecie. Dzięki temu atak jest trudniejszy do zablokowania niż zwykłe odcięcie jednego adresu IP.

Jak działa atak?

Atak DDoS wykorzystuje botnet — sieć zainfekowanych komputerów, serwerów i urządzeń IoT (kamer, routerów), które na sygnał operatora jednocześnie kierują ruch w stronę celu. Wyróżniamy dwa główne typy:

  • Atak wolumetryczny (L3/L4) — zalewa łącze ofiary ogromną ilością pakietów, aby wyczerpać przepustowość. Mierzony w gigabitach lub terabitach na sekundę. Cel: zapchać rurę, zanim ruch dotrze do serwera.
  • Atak aplikacyjny (L7) — pozornie legalne zapytania HTTP wyczerpują zasoby serwera (procesor, pamięć, połączenia do bazy). Znacznie mniejszy wolumen, ale trudniejszy do odróżnienia od prawdziwego ruchu. Cel: wyczerpać moc obliczeniową, a nie pasmo.

Typowy przebieg kampanii hacktywistycznej wygląda następująco:

  1. Wybór celu — grupa ogłasza go publicznie na kanale Telegram, często wokół wydarzenia politycznego
  2. Mobilizacja — wolontariusze i botnet kierują ruch pod wskazany adres
  3. Fala ataku — usługa traci dostępność na minuty lub godziny
  4. Rozgłos — grupa publikuje zrzuty ekranu niedostępnych stron jako „dowód" skuteczności

W odróżnieniu od ransomware, gdzie liczy się cichy rekonesans, DDoS jest jawny i głośny — sam rozgłos jest celem.

Kogo dotyczy w Polsce?

Polska jest jednym z najczęściej atakowanych krajów w regionie. Według danych resortu cyfryzacji liczba ataków DDoS na polskie podmioty wzrosła o 144% w 2025 roku. Barometr Cyberbezpieczeństwa KPMG 2026 wskazuje, że 96% firm w Polsce doświadczyło co najmniej jednego incydentu — a DDoS jest jednym z najczęstszych.

Za falami ataków stoją głównie grupy prorosyjskie:

  • NoName057(16) — najaktywniejsza grupa, cyklicznie atakująca polskie banki, strony administracji i sektor transportowy
  • KillNet oraz Cyber Army of Russia — kampanie skoordynowane z wydarzeniami politycznymi

Najbardziej narażone sektory w Polsce:

  • Banki i sektor finansowy — niedostępność bankowości elektronicznej ma natychmiastowy wymiar wizerunkowy
  • Administracja publiczna — portale rządowe i samorządowe jako cel symboliczny
  • Porty, transport i logistyka — infrastruktura o znaczeniu strategicznym
  • Energetyka i infrastruktura krytyczna — podmioty objęte NIS2/KSC 2.0

Motywem jest hacktywizm i dyzrupcja polityczna, nie zysk finansowy. Dla zaatakowanej organizacji skutek jest jednak realny: przestój usługi, utrata przychodów i konieczność zgłoszenia incydentu regulatorowi.

Jak się chronić?

Ochrona przed DDoS opiera się na filtrowaniu ruchu, zanim dotrze do infrastruktury, oraz na gotowości operacyjnej. Kluczowe warstwy:

  1. Usługa anty-DDoS (scrubbing) — ruch przechodzi przez centrum czyszczące, które odsiewa pakiety atakujące i przepuszcza tylko legalne zapytania
  2. CDN i rozproszenie ruchu — sieć dostarczania treści absorbuje wolumen i ukrywa adres serwera źródłowego
  3. Rate limiting — ograniczanie liczby zapytań z pojedynczego źródła w jednostce czasu
  4. WAF (Web Application Firewall) — kluczowy przeciw atakom aplikacyjnym L7, odróżnia botnet od prawdziwych użytkowników
  5. Plan reagowania — przetestowany scenariusz: kto kontaktuje dostawcę scrubbingu, jak przełączamy ruch, kto informuje klientów i regulatora
  6. Monitoring 24/7 — wczesne wykrycie anomalii ruchu pozwala uruchomić obronę, zanim usługa padnie

Sam sprzęt nie wystarczy. Ataki przychodzą falami, często w nocy i w weekendy — dlatego liczy się czas reakcji, a nie tylko posiadane narzędzia.

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje ruch sieciowy 24/7 i wykrywa anomalie wolumetryczne oraz aplikacyjne, zanim przełożą się na przestój
  • Reagowanie na incydent — nasi operatorzy koordynują uruchomienie scrubbingu i przełączenie ruchu według gotowego playbooka DDoS
  • Konfiguracja warstw obronnych — wsparcie przy wdrożeniu WAF, rate limiting i CDN dopasowanych do Twojej infrastruktury
  • Zgodność NIS2 — pomoc w prawidłowym zgłoszeniu incydentu wpływającego na dostępność usługi kluczowej w wymaganym terminie
  • Operatorzy znają Twoją firmę — to nie anonimowy L1, lecz zespół rozumiejący, które Twoje usługi są krytyczne

Dostępność buduje się przed atakiem, nie w jego trakcie. Umów rozmowę o ochronie przed DDoS.

Źródła

DDoSDostępnośćHacktywizmNoName057NIS2
FAQ

Najczęściej zadawane pytania

Czym różni się DDoS od włamania i kradzieży danych?
DDoS uderza w dostępność, a nie w poufność. Atakujący nie kradnie danych ani nie szyfruje systemów — zalewa je sztucznym ruchem tak, aby przestały odpowiadać legalnym użytkownikom. Skutkiem jest przestój, nie wyciek. Dlatego obrona opiera się na filtrowaniu ruchu, a nie na odzyskiwaniu danych.
Kto stoi za atakami DDoS na polskie firmy i instytucje?
W Polsce dominują grupy prorosyjskie o charakterze hacktywistycznym: NoName057(16), KillNet oraz Cyber Army of Russia. Ich celem jest dyzrupcja polityczna i rozgłos, a nie okup. Atakują cyklicznie banki, administrację publiczną, porty, transport i logistykę, zwykle wokół wydarzeń politycznych.
Czy DDoS podlega obowiązkowi zgłoszenia pod NIS2?
Tak. Jeśli atak DDoS zakłóci dostępność usługi kluczowej lub ważnej, podmiot objęty NIS2/KSC 2.0 ma obowiązek zgłoszenia incydentu do właściwego CSIRT — wczesne ostrzeżenie w ciągu 24 godzin. Dostępność jest jednym z chronionych atrybutów, więc przestój usługi liczy się jako incydent podlegający raportowaniu.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Bezpłatna konsultacja · 15 min · bez zobowiązań