Přejít k obsahu
(+381) 60 3535 720
Můj účet
BeoHosting
BeoHosting
Můj účetKontakt
(+381) 60 3535 720
 
Zabezpečení

Co je DDoS útok a jak se proti němu bránit

BeoHosting Team··9 min čtení čtení
Co je DDoS útok a jak se proti němu bránit

Co je DDoS útok?

DDoS (Distributed Denial of Service) útok je pokus znepřístupnit web nebo online službu tím, že je zahltí obrovským množstvím falešného provozu. Představte si tisíce lidí, kteří se ve stejnou chvíli snaží vejít do malého obchodu – skuteční zákazníci se dovnitř nedostanou, protože dveře jsou zablokované. Stejně tak DDoS útok zahltí váš server požadavky tak, že se na váš web nedostanou legitimní návštěvníci.

Klíčové je slovo „Distributed“ (distribuovaný) – útok nepřichází z jednoho zdroje, ale z tisíců nebo milionů kompromitovaných zařízení (botnetu) po celém světě. To ztěžuje blokování, protože nemůžete jednoduše zablokovat jedinou IP adresu.

Typy DDoS útoků

Objemové útoky (Layer 3/4)

Tyto útoky se snaží zahltit váš server nebo síťovou infrastrukturu obrovským objemem dat. Cílem je spotřebovat veškerou dostupnou kapacitu linky, aby legitimní provoz neprošel.

  • UDP Flood: Posílá obrovské množství UDP paketů na náhodné porty serveru. Server spotřebovává zdroje při pokusu zpracovat každý paket.
  • ICMP Flood (Ping Flood): Zahltí server pakety ICMP echo request. Jednoduchý, ale účinný u menších webů.
  • DNS Amplification: Využívá otevřené DNS servery k zesílení útoku – malý dotaz vygeneruje velkou odpověď odeslanou oběti.

Protokolové útoky (Layer 3/4)

Tyto útoky zneužívají slabiny síťových protokolů k vyčerpání zdrojů serveru nebo síťových prvků jako firewallů a load balancerů.

  • SYN Flood: Posílá obrovské množství TCP SYN požadavků, aniž by dokončil handshake. Server drží polootevřená spojení, která spotřebovávají paměť.
  • Ping of Death: Posílá poškozené nebo nadměrně velké pakety, které mohou shodit server.
  • Smurf Attack: Využívá broadcastové adresy k zesílení ICMP provozu směrem k oběti.

Aplikační útoky (Layer 7)

Nejsofistikovanější typ útoku zaměřený na webové aplikace. Tyto útoky napodobují legitimní provoz a je obtížné je odlišit od skutečných návštěvníků.

  • HTTP Flood: Posílá legitimní HTTP GET nebo POST požadavky v obrovských objemech. Každý požadavek vypadá normálně, ale dohromady server přetíží.
  • Slowloris: Otevírá k serveru mnoho spojení a drží je otevřená odesíláním neúplných požadavků. Server udržuje všechna spojení aktivní, dokud mu nedojdou zdroje.
  • Útoky cílené na konkrétní aplikaci: Míří na konkrétní funkce webu – vyhledávání, přihlášení, API endpointy – které vyžadují více serverových zdrojů ke zpracování.

Jak rozpoznat DDoS útok?

DDoS útoky se projevují několika příznaky, které byste měli rozpoznat co nejdříve:

  • Web je extrémně pomalý: Stránky se načítají mnohem pomaleji než obvykle nebo se nenačtou vůbec.
  • Server je nedostupný: Objevují se chyby 502 Bad Gateway, 503 Service Unavailable nebo timeout.
  • Neobvyklý nárůst provozu: Analytika ukazuje obrovský skok v návštěvnosti, který nelze vysvětlit běžnými důvody.
  • Vysoké vytížení CPU/RAM na serveru: Zdroje serveru jsou na 100 % bez zjevné příčiny.
  • Požadavky z neobvyklých lokalit: Pokud je váš web v češtině a najednou dostáváte tisíce návštěv z Číny nebo Brazílie, je to podezřelé.

Ochrana přes Cloudflare

Cloudflare je nejvýraznější služba pro ochranu před DDoS a je k dispozici i v bezplatném tarifu, který pokrývá základní ochranu. Jak funguje:

Jak Cloudflare chrání váš web

Cloudflare funguje jako prostředník mezi vaším webem a návštěvníky. Veškerý provoz prochází sítí Cloudflare s více než 300 datovými centry po celém světě. Škodlivý provoz je odfiltrován dříve, než dorazí na váš server.

  • Anycast síť: Rozloží útok mezi mnoho lokalit místo toho, aby veškerý provoz zasáhl jeden server.
  • WAF (Web Application Firewall): Filtruje škodlivé požadavky na aplikační vrstvě.
  • Rate Limiting: Omezuje počet požadavků z jedné IP v daném časovém okně.
  • Bot Management: Pomocí strojového učení odlišuje legitimní návštěvníky od botů.
  • Under Attack Mode: Speciální režim, který před přístupem zobrazí stránku s JavaScript challenge a blokuje většinu automatizovaných útoků.

Nastavení Cloudflare

  • Vytvořte si bezplatný účet na cloudflare.com.
  • Přidejte svou doménu a u registrátora změňte nameservery na nameservery Cloudflare.
  • Zapněte stav „Proxy“ (oranžový obláček) u všech DNS záznamů, které chcete chránit.
  • Nastavte režim SSL na „Full (strict)“ pro šifrování HTTPS.
  • Nastavte Security Level na „Medium“ nebo „High“ u citlivějších webů.

Ochrana na úrovni hostingu

Kvalitní poskytovatel hostingu je vaší první linií obrany proti DDoS. Na co si dát pozor:

  • Síťový firewall: Hardwarový firewall, který filtruje škodlivý provoz dříve, než dorazí na server.
  • DDoS mitigace: Automatická detekce a blokování DDoS na síťové úrovni.
  • Izolace účtů: Na sdíleném hostingu zajišťuje CloudLinux/CageFS, že útok na jeden účet neovlivní ostatní.
  • ModSecurity/WAF: Web Application Firewall na úrovni serveru, který chrání před útoky na Layer 7.
  • Rate limiting: Omezení počtu spojení na IP na úrovni webového serveru (LiteSpeed/Apache).

Dodatečná ochranná opatření

Na úrovni aplikace

  • CAPTCHA u formulářů: Brání automatickému odesílání formulářů. Google reCAPTCHA nebo hCaptcha jsou bezplatné možnosti.
  • Rate limiting přihlašování: Omezte počet pokusů o přihlášení (Wordfence pro WordPress, Fail2ban na serveru).
  • Cachování: Cachované stránky spotřebují na jeden požadavek mnohem méně zdrojů. Více se dozvíte v našem průvodci rychlostí webu, díky kterému je váš web odolnější vůči útokům.
  • Vypněte XML-RPC: Na webech WordPress je xmlrpc.php častým cílem útoků. Pokud ho nepoužíváte, vypněte ho.

Na úrovni serveru

  • Fail2ban: Automaticky blokuje IP adresy vykazující škodlivé chování (příliš mnoho neúspěšných přihlášení, příliš mnoho požadavků).
  • Pravidla iptables/nftables: Nastavte základní pravidla pro blokování zjevně škodlivého provozu.
  • TCP SYN cookies: Ochrana na úrovni kernelu proti útokům SYN Flood.
  • Limity spojení: Omezte maximální počet souběžných spojení na IP.

Co dělat během DDoS útoku?

  • Nepanikařte: Většina DDoS útoků trvá od pár minut po pár hodin. Déle než den trvají jen zřídka.
  • Aktivujte Cloudflare Under Attack Mode: Pokud používáte Cloudflare, zapněte tento režim okamžitě.
  • Kontaktujte poskytovatele hostingu: Informujte ho o útoku – může nasadit dodatečná opatření na síťové úrovni.
  • Analyzujte logy: Prohlédněte si access logy a identifikujte vzorce útoku (rozsahy IP, user-agenty, cílové URL).
  • Zdokumentujte útok: Zaznamenejte si čas začátku, dobu trvání, typ útoku a provedené kroky pro budoucí referenci.

Závěr

DDoS útoky jsou realitou moderního internetu a žádný web proti nim není zcela imunní. Se správnou ochranou – Cloudflare, kvalitní hosting, WAF a základní bezpečnostní postupy – však můžete výrazně snížit riziko a minimalizovat dopad útoku. Prevence je vždy levnější než léčba – nasaďte ochranu dřív, než ji budete potřebovat. Podívejte se také na našeho kompletního průvodce ochranou webu.

BeoHosting Team

10+ let zkušeností — Specialisté na webhosting a infrastrukturu

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Naposledy aktualizováno:

Související články

Jak ochránit web před DDoS útoky – kompletní návod

6. avgust 2025.

SSL certifikát: proč je povinný a jak ho nainstalovat

6. septembar 2025.

SSL certifikát a SEO – proč je HTTPS povinné

9. septembar 2025.
Zpět na blogVíce z kategorie: Zabezpečení