DDoS — atak blokujący dostępność
DDoS Attack
DDoS blokuje dostępność usług przez zalew ruchu. Ataki na Polskę wzrosły o 144% w 2025. Poznaj typy ataków i jak chronić firmę 24/7.
MITRE ATT&CK
Taktyka
Impact(TA0040)Technika
Network Denial of Service(T1498)Kluczowe wnioski
- ◆DDoS uderza w dostępność, nie w dane — usługa lub strona przestaje działać pod zalewem sztucznego ruchu
- ◆Ataki DDoS na Polskę wzrosły o 144% w 2025 roku (dane resortu cyfryzacji)
- ◆Grupy prorosyjskie (NoName057(16), KillNet) regularnie atakują polskie banki, administrację, porty i logistykę — motywem jest dyzrupcja, nie okup
- ◆Obrona: scrubbing anty-DDoS, CDN, rate limiting, WAF i monitoring SOC 24/7 z gotowym planem reagowania
Czym jest DDoS?
DDoS (Distributed Denial of Service, rozproszona odmowa usługi) to atak, którego celem nie jest kradzież ani zniszczenie danych, lecz odebranie dostępności. Atakujący zalewa serwer, aplikację lub łącze taką ilością sztucznego ruchu, że przestają one obsługiwać prawdziwych użytkowników. Strona się nie ładuje, system bankowości elektronicznej nie odpowiada, portal usług publicznych staje się nieosiągalny.
To rozróżnienie jest kluczowe dla zarządu. Przy ransomware czy wycieku pytanie brzmi „co nam wykradziono". Przy DDoS pytanie brzmi „jak długo jesteśmy niedostępni i ile to kosztuje". Nie ma okupu do zapłacenia i nie ma danych do odzyskania — jest przestój, utracone transakcje i nadszarpnięte zaufanie klientów.
Słowo „rozproszona" opisuje mechanikę: ruch nie płynie z jednego komputera, lecz z tysięcy przejętych urządzeń (botnetu) rozsianych po świecie. Dzięki temu atak jest trudniejszy do zablokowania niż zwykłe odcięcie jednego adresu IP.
Jak działa atak?
Atak DDoS wykorzystuje botnet — sieć zainfekowanych komputerów, serwerów i urządzeń IoT (kamer, routerów), które na sygnał operatora jednocześnie kierują ruch w stronę celu. Wyróżniamy dwa główne typy:
- Atak wolumetryczny (L3/L4) — zalewa łącze ofiary ogromną ilością pakietów, aby wyczerpać przepustowość. Mierzony w gigabitach lub terabitach na sekundę. Cel: zapchać rurę, zanim ruch dotrze do serwera.
- Atak aplikacyjny (L7) — pozornie legalne zapytania HTTP wyczerpują zasoby serwera (procesor, pamięć, połączenia do bazy). Znacznie mniejszy wolumen, ale trudniejszy do odróżnienia od prawdziwego ruchu. Cel: wyczerpać moc obliczeniową, a nie pasmo.
Typowy przebieg kampanii hacktywistycznej wygląda następująco:
- Wybór celu — grupa ogłasza go publicznie na kanale Telegram, często wokół wydarzenia politycznego
- Mobilizacja — wolontariusze i botnet kierują ruch pod wskazany adres
- Fala ataku — usługa traci dostępność na minuty lub godziny
- Rozgłos — grupa publikuje zrzuty ekranu niedostępnych stron jako „dowód" skuteczności
W odróżnieniu od ransomware, gdzie liczy się cichy rekonesans, DDoS jest jawny i głośny — sam rozgłos jest celem.
Kogo dotyczy w Polsce?
Polska jest jednym z najczęściej atakowanych krajów w regionie. Według danych resortu cyfryzacji liczba ataków DDoS na polskie podmioty wzrosła o 144% w 2025 roku. Barometr Cyberbezpieczeństwa KPMG 2026 wskazuje, że 96% firm w Polsce doświadczyło co najmniej jednego incydentu — a DDoS jest jednym z najczęstszych.
Za falami ataków stoją głównie grupy prorosyjskie:
- NoName057(16) — najaktywniejsza grupa, cyklicznie atakująca polskie banki, strony administracji i sektor transportowy
- KillNet oraz Cyber Army of Russia — kampanie skoordynowane z wydarzeniami politycznymi
Najbardziej narażone sektory w Polsce:
- Banki i sektor finansowy — niedostępność bankowości elektronicznej ma natychmiastowy wymiar wizerunkowy
- Administracja publiczna — portale rządowe i samorządowe jako cel symboliczny
- Porty, transport i logistyka — infrastruktura o znaczeniu strategicznym
- Energetyka i infrastruktura krytyczna — podmioty objęte NIS2/KSC 2.0
Motywem jest hacktywizm i dyzrupcja polityczna, nie zysk finansowy. Dla zaatakowanej organizacji skutek jest jednak realny: przestój usługi, utrata przychodów i konieczność zgłoszenia incydentu regulatorowi.
Jak się chronić?
Ochrona przed DDoS opiera się na filtrowaniu ruchu, zanim dotrze do infrastruktury, oraz na gotowości operacyjnej. Kluczowe warstwy:
- Usługa anty-DDoS (scrubbing) — ruch przechodzi przez centrum czyszczące, które odsiewa pakiety atakujące i przepuszcza tylko legalne zapytania
- CDN i rozproszenie ruchu — sieć dostarczania treści absorbuje wolumen i ukrywa adres serwera źródłowego
- Rate limiting — ograniczanie liczby zapytań z pojedynczego źródła w jednostce czasu
- WAF (Web Application Firewall) — kluczowy przeciw atakom aplikacyjnym L7, odróżnia botnet od prawdziwych użytkowników
- Plan reagowania — przetestowany scenariusz: kto kontaktuje dostawcę scrubbingu, jak przełączamy ruch, kto informuje klientów i regulatora
- Monitoring 24/7 — wczesne wykrycie anomalii ruchu pozwala uruchomić obronę, zanim usługa padnie
Sam sprzęt nie wystarczy. Ataki przychodzą falami, często w nocy i w weekendy — dlatego liczy się czas reakcji, a nie tylko posiadane narzędzia.
Jak SecIQ pomaga?
- SecIQ SOC monitoruje ruch sieciowy 24/7 i wykrywa anomalie wolumetryczne oraz aplikacyjne, zanim przełożą się na przestój
- Reagowanie na incydent — nasi operatorzy koordynują uruchomienie scrubbingu i przełączenie ruchu według gotowego playbooka DDoS
- Konfiguracja warstw obronnych — wsparcie przy wdrożeniu WAF, rate limiting i CDN dopasowanych do Twojej infrastruktury
- Zgodność NIS2 — pomoc w prawidłowym zgłoszeniu incydentu wpływającego na dostępność usługi kluczowej w wymaganym terminie
- Operatorzy znają Twoją firmę — to nie anonimowy L1, lecz zespół rozumiejący, które Twoje usługi są krytyczne
Dostępność buduje się przed atakiem, nie w jego trakcie. Umów rozmowę o ochronie przed DDoS.
Źródła
- CERT Polska — raporty o aktywności grup DDoS i kampaniach prorosyjskich w Polsce
- CISA — Understanding and Responding to DDoS Attacks — wytyczne dotyczące obrony przed atakami odmowy usługi
- KPMG — Barometr Cyberbezpieczeństwa 2026 — dane o skali incydentów w polskich firmach
Najczęściej zadawane pytania
Czym różni się DDoS od włamania i kradzieży danych?
Kto stoi za atakami DDoS na polskie firmy i instytucje?
Czy DDoS podlega obowiązkowi zgłoszenia pod NIS2?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.
Powiązane ataki
Chroń swoją organizację
SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.
Bezpłatna konsultacja · 15 min · bez zobowiązań