Czym jest atak DDoS i jak się przed nim chronić w 2025 roku

Co to jest atak DDoS i jak działa

Atak DDoS (ang. Distributed Denial of Service) to jedna z najgroźniejszych form cyberataku, polegająca na przeciążeniu infrastruktury sieciowej, serwera lub aplikacji za pomocą masowo generowanego ruchu. W praktyce oznacza to, że legalni użytkownicy nie mogą korzystać z usług, bo zasoby systemu zostają „zalane” sztucznie wygenerowanymi żądaniami. 

Mechanizm działania 

Najczęściej atakujący nie działa sam. Wykorzystuje tzw. botnet – sieć komputerów i urządzeń (np. routerów, kamer IP, drukarek czy urządzeń IoT), które zostały wcześniej zainfekowane złośliwym oprogramowaniem i mogą być zdalnie zarządzane przez atakującego. Każde z tych urządzeń wysyła stosunkowo niewielki strumień ruchu, ale skumulowany efekt tysięcy lub milionów takich źródeł sprawia, że serwer ofiary zostaje przeciążony i staje się niedostępny. 

Możemy wyróżnić kilka poziomów, na których DDoS wywołuje skutki: 

• Infrastruktura sieciowa – zapychanie łącza internetowego. 
• Warstwa systemowa – przeciążenie CPU, pamięci RAM, tablic połączeń. 
• Warstwa aplikacyjna – „normalnie wyglądające” zapytania HTTP/HTTPS, które w ogromnej liczbie powodują awarię aplikacji czy bazy danych. 

Ewolucja ataków 

Jeszcze kilkanaście lat temu DDoS oznaczał głównie proste zalewanie pakietami ICMP czy UDP. Dziś dominują ataki wielowektorowe, które łączą różne techniki jednocześnie, a także ataki ukierunkowane na warstwę aplikacyjną. Często są one trudne do odróżnienia od prawidłowego ruchu – np. mogą wyglądać jak zwykłe żądania użytkowników odwiedzających stronę. 

Raport Sycope podkreśla, że obecne ataki DDoS są coraz bardziej wyrafinowane, zautomatyzowane i trudniejsze do powstrzymania, bo wykorzystują m.in. mechanizmy amplifikacji (powiększania ruchu przy pomocy serwerów pośredniczących) oraz dynamiczne zmiany wektorów ataku (Sycope, cz.1). 

Skutki dla użytkowników 

Z perspektywy osoby korzystającej z danej usługi atak DDoS może oznaczać: 

• brak możliwości otwarcia strony internetowej, 
• błędy 503 lub komunikaty o przeciążeniu, 
• wydłużony czas reakcji systemu, 
• całkowitą niedostępność serwisu. 

Takie objawy są pierwszym sygnałem, że infrastruktura mogła stać się celem ataku.

Najczęstsze rodzaje ataków DDoS

Nie każdy atak DDoS wygląda tak samo. Różne techniki mają inne cele, wykorzystują odmienne podatności i wymagają zróżnicowanych metod obrony. Zrozumienie typów ataków jest kluczowe, bo pozwala przygotować się na nie w sposób świadomy i wielowarstwowy. 

Flooding – ataki wolumenowe (warstwy 3. i 4. modelu OSI) 

To najstarsza i nadal jedna z najczęstszych form DDoS. Polega na zalewaniu ofiary pakietami (np. TCP SYN, UDP czy ICMP) w takiej ilości, że łącze lub serwer nie nadążają z ich obsługą. 

• SYN Flood – wysyłanie ogromnej liczby żądań rozpoczęcia połączenia TCP, które nigdy nie są finalizowane. Serwer tworzy „półotwarte” sesje i szybko wyczerpuje swoje zasoby. 
• UDP Flood – atakujący wysyła pakiety UDP na losowe porty, zmuszając serwer do odpowiadania komunikatami ICMP „Port Unreachable”. 
• ICMP Flood (Ping Flood) – masowe wysyłanie żądań ICMP Echo, które zapychają łącze i obciążają urządzenia sieciowe. 

To właśnie ten typ ataków odpowiada za największe wolumeny ruchu (liczone w Tb/s) według raportów Cloudflare i Netscout za ostatnie lata. 

Amplification i Reflection – wzmacnianie ataku 

To bardziej wyrafinowana metoda, w której atakujący wykorzystuje serwery pośredniczące, by spotęgować siłę ataku. 

• Atakujący wysyła małe zapytanie do podatnego serwera (np. DNS, NTP, SSDP, Memcached), podszywając się pod adres IP ofiary. 
• Serwer odpowiada wielokrotnie większym pakietem, wysyłając go bezpośrednio do ofiary. 
• Rezultat: atakujący wkłada minimalny wysiłek, a ofiara otrzymuje gigantyczny ruch. 

Rekordowy atak na platformę GitHub w 2018 r. (1.35 Tb/s) był właśnie wynikiem amplifikacji przez serwery Memcached. 

Ataki aplikacyjne (warstwa 7. modelu OSI) 

Najgroźniejsze, bo najtrudniejsze do odróżnienia od normalnego ruchu. Zamiast prostych pakietów, generują prawidłowe zapytania HTTP/HTTPS, które jednak w ogromnej liczbie obciążają: 

• serwery aplikacyjne, 
• bazy danych, 
• API. 

Przykład: setki tysięcy zapytań „GET /” do strony głównej sklepu internetowego. Każde wygląda jak zwykłe wejście użytkownika, ale w skali powoduje awarię całej aplikacji. 

W tej kategorii mieszczą się też ataki „low & slow”, takie jak Slowloris, gdzie napastnik otwiera połączenia HTTP i utrzymuje je bardzo długo, wysyłając minimalną ilość danych, by utrzymać zajęcie zasobów serwera. 

Exploity i ataki na protokoły 

Czasami DDoS nie polega na wolumenie, lecz na wykorzystaniu luk w implementacji protokołów sieciowych. 

• Fragmentacja pakietów IP – wysyłanie niepełnych pakietów, które serwer musi łączyć, co zużywa zasoby. 
• Nietypowe flagi TCP – np. ataki Xmas Tree, wysyłające pakiety z nietypową kombinacją flag, które powodują błędy w obsłudze stosu TCP/IP. 

Choć mniej spektakularne wolumenowo, mogą być równie skuteczne, bo uderzają w słabe punkty infrastruktury. 

Ataki wielowektorowe 

Coraz częściej atakujący nie ograniczają się do jednej techniki. W ramach jednego ataku mogą łączyć: 

• flooding (zalewanie pakietami), 
• amplifikację (za pomocą np. DNS), 
• oraz warstwę aplikacyjną (HTTP flood). 

Takie połączenie sprawia, że obrona jest znacznie trudniejsza: podczas gdy firma blokuje jeden wektor, kolejne nadal paraliżują infrastrukturę. Według raportów Netscout, w 2022 r. ponad 70% dużych ataków miało charakter wielowektorowy. 

Czym różni się DDoS od DoS? 

Pojęcia DoS i DDoS bywają stosowane zamiennie, ale różnica między nimi jest zasadnicza. Choć oba mają ten sam cel – uniemożliwić działanie usługi internetowej – to różnią się skalą, sposobem przeprowadzenia i trudnością w obronie. 

DoS – Denial of Service 

Atak DoS to najprostsza forma ataku na dostępność usługi. Prowadzony jest zazwyczaj z jednego źródła, np. z komputera lub serwera kontrolowanego przez atakującego. W praktyce wygląda to tak: 

• pojedyncza maszyna wysyła ogromną liczbę zapytań do serwera, 
• serwer szybko się przeciąża i przestaje odpowiadać, 
• atak jest stosunkowo łatwy do wykrycia i zablokowania (np. poprzez odcięcie ruchu pochądzącego z konkretnego adresu IP). 

Analogią może być sytuacja, w której jedna osoba stoi przy kasie w sklepie i bez przerwy zadaje pytania sprzedawcy, uniemożliwiając obsługę innych klientów. 

DDoS – Distributed Denial of Service 

Atak DDoS to rozproszony atak na dostępność usługi, prowadzony z wielu źródeł jednocześnie. Najczęściej wykorzystywany jest botnet – sieć tysięcy zainfekowanych komputerów, routerów czy urządzeń IoT. 

• ruch przychodzi z różnych adresów IP, krajów i sieci, 
• skala ataku może być gigantyczna, często liczona w terabitach na sekundę, 
• odróżnienie „złego” ruchu od legalnych zapytań jest dużo trudniejsze. 

Analogią jest tłum ludzi szturmujących drzwi sklepu – nawet jeśli jeden klient zachowuje się normalnie, obsługa i tak nie jest w stanie obsłużyć całej masy osób naraz. 

Kluczowe różnice DoS vs DDoS 

Dlaczego ta różnica ma znaczenie? 

Znajomość różnicy jest istotna dla firm i administratorów, ponieważ strategie obrony przed DoS i DDoS są różne. 

• W przypadku DoS wystarczy zwykle szybka reakcja – blokada ruchu z jednego źródła. 
• W przypadku DDoS potrzebne są bardziej zaawansowane mechanizmy: analiza przepływów, filtrowanie, rozpraszanie ruchu, integracja z zewnętrznymi centrami scrubbingowymi. 

Dlaczego DDoS jest niebezpieczny – konsekwencje dla firm

Ataki DDoS należą do kategorii zagrożeń, które mają bezpośredni i natychmiastowy wpływ na działalność biznesową. W przeciwieństwie do wielu incydentów bezpieczeństwa, które przez długi czas mogą pozostawać niezauważone (np. kradzież danych), skutki DDoS widoczne są od razu: strona nie działa, aplikacja się zawiesza, klienci nie mogą zrealizować transakcji. 

Straty finansowe 

Koszt przestoju serwisów online liczony jest w tysiącach, a w niektórych branżach – w setkach tysięcy dolarów na minutę. Według raportu Netscout średni koszt godziny niedostępności systemu w sektorze finansowym czy e-commerce może sięgać nawet 300–500 tys. USD. Do tego dochodzą dodatkowe wydatki: 

• awaryjne wsparcie zewnętrznych dostawców, 
• nadgodziny i przerzucenie zasobów zespołu IT, 
• inwestycje w późniejsze wzmocnienie zabezpieczeń. 

Utrata reputacji i zaufania klientów 

Nawet jeśli atak trwa krótko, klienci zapamiętują problem. W branżach takich jak bankowość, handel online czy usługi SaaS, ciągła dostępność to fundament zaufania. 

• Jeżeli bankowość elektroniczna przestaje działać w godzinach szczytu, użytkownicy zaczynają kwestionować jej niezawodność. 
• Jeśli sklep internetowy jest niedostępny w Black Friday, klienci odchodzą do konkurencji i często już nie wracają. 

Badania pokazują, że ok. 40% użytkowników po doświadczeniu awarii woli skorzystać z usług konkurencji – nawet jeśli dotychczas byli lojalnymi klientami. 

Problemy operacyjne 

DDoS to również ogromne obciążenie dla zespołów IT i SOC/NOC. 

• Administratorzy muszą natychmiast reagować, co oznacza przerwanie innych projektów i działań strategicznych. 
• Często konieczne jest angażowanie dodatkowych specjalistów lub wsparcia zewnętrznego. 
• Ataki wielowektorowe mogą wymagać ciągłego dostosowywania reguł filtrów i monitoringu przez wiele godzin lub dni. 

To oznacza nie tylko koszty, ale też ryzyko błędów wynikających z pracy pod presją. 

Ryzyko prawne i regulacyjne 

W przypadku organizacji świadczących usługi kluczowe (np. energetyka, telekomunikacja, administracja publiczna), DDoS może oznaczać również konsekwencje regulacyjne. 

• Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa (KSC) oraz dyrektywą NIS2, operatorzy usług kluczowych mają obowiązek raportowania incydentów. 
• Niedopełnienie tych obowiązków grozi sankcjami finansowymi. 
• W branży finansowej awaria może być również traktowana jako naruszenie wymogów nadzorczych (np. KNF w Polsce). 

Wnioski dla biznesu 

DDoS nie jest już „problemem administratorów”. To realne zagrożenie dla wyników finansowych, reputacji marki i zgodności z regulacjami. Dlatego decyzje dotyczące ochrony przed tego typu atakami muszą zapadać na poziomie zarządu i CIO/CISO – a nie tylko działu IT.

Jak rozpoznać, że trwa atak DDoS

Jednym z największych wyzwań związanych z atakami DDoS jest to, że na pierwszy rzut oka mogą wyglądać jak zwykła awaria lub nagły wzrost popularności usługi. W praktyce jednak istnieje szereg charakterystycznych sygnałów, które pozwalają odróżnić atak od naturalnych fluktuacji ruchu. 

Typowe objawy techniczne 

1. Nagły i gwałtowny skok ruchu sieciowego – ruch przychodzący do serwerów lub aplikacji wzrasta w sposób nienaturalny, często w ciągu kilku minut. 
2. Błędy serwera i timeouty – użytkownicy widzą komunikaty o przeciążeniu (np. błąd 503 – Service Unavailable), aplikacje zwalniają lub całkowicie przestają odpowiadać. 
3. Wysokie wykorzystanie zasobów – nagły wzrost obciążenia CPU, pamięci RAM lub tablic połączeń TCP w serwerach. 
4. Nietypowe źródła zapytań – nagły napływ ruchu z regionów, które dotąd nie generowały znaczącego ruchu (np. egzotyczne kraje). 
5. Problemy z usługami zależnymi – np. bazy danych, DNS lub API zaczynają odpowiadać wolniej albo przestają działać. 

Różnica między atakiem a wzrostem popularności 

Wzrost liczby użytkowników (np. w czasie kampanii marketingowej czy promocji) również powoduje większe obciążenie, ale można go rozpoznać: 

• ruch pochodzi z przewidywalnych źródeł (np. kraj docelowy kampanii), 
• wzrost jest stopniowy, a nie nagły i skokowy, 
• struktura zapytań jest bardziej zróżnicowana, a nie powtarzalna. 

Z kolei atak DDoS często cechuje się: 

• jednolitością ruchu (np. powtarzalne żądania GET), 
• wieloma źródłami (botnet), 
• brakiem związku z wydarzeniami marketingowymi czy sezonowymi. 

Rola monitoringu i analizy ruchu 

Rozpoznanie ataku DDoS wymaga przede wszystkim odpowiedniego monitorowania sieci. Kluczowe narzędzia to: 

• NetFlow/IPFIX/sFlow – dane o przepływach sieciowych pozwalają zidentyfikować anomalię w ruchu. 
• Baseline – system porównuje aktualny ruch do typowego poziomu z przeszłości. Jeśli różnice są radykalne, generowany jest alert. 
• Systemy SIEM i NDR – wspomagają korelację zdarzeń, automatycznie wskazując potencjalny atak. 

Rozwiązania takie jak Sycope potrafią wykrywać anomalie w ruchu w czasie rzeczywistym, co znacznie skraca czas reakcji. 

Dlaczego szybkie rozpoznanie jest kluczowe? 

Im szybciej administratorzy zidentyfikują, że problemem nie jest awaria techniczna, lecz atak DDoS, tym szybciej mogą wdrożyć odpowiednie środki zapobiegawcze – od prostych filtrów ACL po zaawansowane mechanizmy scrubbingowe. Opóźnienie w rozpoznaniu oznacza dłuższy przestój i większe straty biznesowe. 

Jakie branże są najczęstszym celem ataków DDoS? 

Ataki DDoS mogą dotknąć każdą organizację posiadającą systemy i usługi online. Jednak z raportów branżowych wynika jasno, że pewne sektory są szczególnie narażone – głównie ze względu na swoją krytyczną rolę w gospodarce, dużą bazę klientów online lub znaczenie polityczne. 

Administracja publiczna i sektor rządowy 

Strony urzędowe, serwisy e-administracji i platformy komunikacyjne są często celem ataków motywowanych politycznie lub ideologicznie. 

• Przykład: ataki grupy NoName057(16) na serwisy polskiej administracji (m.in. ePUAP, port w Gdyni, NBP). 
• Motywacja: destabilizacja zaufania obywateli do instytucji państwa, pokazanie słabości systemów. 

Infrastruktura krytyczna 

Energetyka, transport, telekomunikacja czy wodociągi – to sektory, w których zakłócenia mogą mieć realne konsekwencje dla milionów ludzi. 

• Atak DDoS na systemy operatora energetycznego lub transportowego może spowodować nie tylko straty finansowe, ale i paraliż części usług krytycznych. 
• Zgodnie z raportami ENISA, infrastruktura krytyczna znajduje się na liście priorytetowych celów grup sponsorowanych przez państwa. 

Bankowość i sektor finansowy 

Banki i instytucje finansowe to jeden z najczęściej atakowanych sektorów: 

• systemy płatności online i bankowości elektronicznej są bezpośrednio zależne od ciągłej dostępności, 
• nawet krótkotrwały atak skutkuje ogromnymi stratami i spadkiem zaufania klientów.
  W Polsce celem takich ataków były m.in. NBP i banki komercyjne. 

Handel online i SaaS 

E-commerce i dostawcy usług SaaS to łakomy kąsek dla cyberprzestępców: 

• w okresach szczytowych (Black Friday, święta) atak może oznaczać milionowe straty w sprzedaży, 
• część ataków ma charakter szantażu („zapłać, inaczej zablokujemy Twój sklep”).
  Według raportów Cloudflare, sektor e-commerce znajduje się w globalnym TOP 3 najczęściej atakowanych branż. 

Media i operatorzy ISP 

Serwisy informacyjne i dostawcy internetu są atakowani nie tylko dla zysku, ale również z powodów politycznych czy wizerunkowych. 

• Przykład: ataki DDoS na portale informacyjne w Polsce i Europie po publikacjach dotyczących wojny w Ukrainie. 
• Operatorzy ISP często stają się celem ataków mających na celu testowanie ich zdolności obronnych. 

Dlaczego właśnie te branże? 

• Wysoka widoczność – ataki na sektor publiczny, media czy banki są nagłaśniane i widoczne społecznie. 
• Bezpośrednie straty finansowe – e-commerce, banki i SaaS generują przychody online, więc każdy przestój = realne straty. 
• Znaczenie strategiczne – administracja i infrastruktura krytyczna to elementy bezpieczeństwa państwa. 

Najgłośniejsze ataki DDoS ostatnich lat 

Ataki DDoS nie są już incydentami, które dzieją się „gdzieś daleko w internecie”. W latach 2020–2025 odnotowano szereg rekordowych i medialnych zdarzeń, które pokazały, że DDoS to broń zarówno cyberprzestępców, jak i grup hacktywistycznych czy sponsorowanych przez państwa. Poniżej zestawienie najważniejszych przypadków z ostatnich lat. 

2020 – Nowa Zelandia: paraliż giełdy NZX 

Latem 2020 roku Nowa Zelandia Stock Exchange (NZX) została sparaliżowana przez wielodniową falę ataków DDoS. Handel akcjami musiał być kilkukrotnie wstrzymywany, a rynek finansowy kraju pogrążył się w chaosie. Atak ten pokazał, że nawet kluczowe instytucje finansowe w państwach wysoko rozwiniętych mogą być bezradne wobec dobrze zaplanowanych kampanii DDoS. 

2021 – Rekordowe ataki na Cloudflare, Google i Amazon 

W 2021 roku kilku globalnych dostawców infrastruktury chmurowej – m.in. Cloudflare, Google i Amazon – poinformowało o zneutralizowaniu ataków o niespotykanej dotąd skali. 

• Cloudflare odnotował atak HTTP flood osiągający 17,2 miliona żądań na sekundę (RPS). 
• Google zarejestrowało wolumenowy atak UDP, który w szczycie sięgnął 2,54 Tb/s. 
• Amazon Web Services również potwierdził ataki przekraczające 2 Tb/s. 

To były pierwsze sygnały, że świat wchodzi w epokę ataków liczonych nie w gigabitach, lecz terabitach na sekundę. 

2022 – Yandex: największy atak aplikacyjny w historii 

W 2022 roku rosyjski gigant technologiczny Yandex poinformował o największym wówczas ataku aplikacyjnym – sięgającym ponad 20 milionów żądań na sekundę.
Za kampanią stał botnet Mēris, zbudowany z dziesiątek tysięcy podatnych urządzeń MikroTik. Atak ten pokazał, jak groźne mogą być masowo wykorzystywane luki w sprzęcie sieciowym. 

2022–2023 – Polska pod ostrzałem NoName057(16) 

Wraz z rosyjską inwazją na Ukrainę aktywne stały się prorosyjskie grupy hacktywistyczne. Jedną z najbardziej aktywnych jest NoName057(16), która prowadziła intensywne ataki na instytucje w Polsce: 

• NBP, 
• ePUAP, 
• Polskie Radio, 
• Port w Gdyni. 

Celem nie była kradzież danych, ale destabilizacja zaufania publicznego i zakłócenie funkcjonowania instytucji państwowych. 

2023 – Rekord Cloudflare: 201 mln RPS 

W sierpniu 2023 Cloudflare poinformował o odparciu największego w historii ataku HTTP/HTTPS. Rekordowy ruch osiągnął 201 milionów żądań na sekundę i był wymierzony m.in. w branżę gamingową oraz hazardową.
Był to moment przełomowy – warstwa aplikacyjna (L7) stała się dominującym polem walki w atakach DDoS. 

2025 – Rekordowy atak w Polsce (~1,3 Tb/s) 

W 2025 roku media branżowe poinformowały o największym do tej pory ataku DDoS w historii Polski, którego wolumen sięgnął 1,3 Tb/s. Choć szczegóły dotyczące celu nie zostały podane, wiadomo, że atak udało się zneutralizować dzięki operatorom telekomunikacyjnym i wyspecjalizowanym mechanizmom mitygacyjnym. To wydarzenie pokazało, że Polska znalazła się na mapie globalnych rekordów DDoS. 

Aktualizacja 25.09.2025 r.: 22 września 2025 roku, Cloudflare poinformował o zablokowaniu największego w historii ataku DDoS – jego szczytowe natężenie osiągnęło 22,2 Tbps oraz 10,6 miliarda pakietów na sekundę (Bpps). To dwukrotnie więcej niż jakikolwiek znany dotąd incydent w sieci.

Wnioski z ostatnich lat 

1. Skala ataków rośnie wykładniczo – od setek Gb/s do Tb/s i setek milionów RPS. 
2. Coraz częściej wykorzystywane są botnety oparte na urządzeniach IoT i sprzęcie sieciowym. 
3. Motywacje są zróżnicowane: finansowe, polityczne, ideologiczne. 
4. Polska – obok globalnych gigantów – stała się jednym z widocznych celów w cyberwojnie. 

Czy atak DDoS jest legalny? Co mówi prawo 

Ataki DDoS, choć technicznie mogą wyglądać jak „tylko” generowanie dużej ilości ruchu sieciowego, są w świetle prawa przestępstwem komputerowym. W Polsce – podobnie jak w większości krajów – ich przeprowadzanie, zlecanie czy nawet udostępnianie narzędzi do ich wykonywania jest nielegalne i zagrożone karą więzienia. 

Podstawa prawna w Polsce 

Najważniejszym przepisem regulującym ten obszar jest art. 268a Kodeksu karnego, który mówi: 

„Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.” 

Jeśli działanie spowoduje znaczną szkodę lub dotyczy infrastruktury krytycznej, kara może wynieść nawet do 5 lat pozbawienia wolności. 

Inne regulacje 

• Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) – nakłada na operatorów usług kluczowych i cyfrowych obowiązek zgłaszania incydentów bezpieczeństwa, w tym ataków DDoS. 
• Dyrektywa NIS2 (UE) – rozszerza odpowiedzialność firm za bezpieczeństwo cyfrowe i nakłada obowiązki raportowania poważnych incydentów. 
• Odpowiedzialność cywilna – firmy poszkodowane mogą dochodzić odszkodowania w procesie cywilnym. 

Przykłady działań organów ścigania 

Ataki DDoS są ścigane nie tylko indywidualnie, ale również jako element większych akcji międzynarodowych. 

• W 2025 roku Europol poinformował o rozbiciu grup oferujących tzw. DDoS-for-hire (stressery, bootery), aresztowano administratorów i przejęto domeny używane do świadczenia takich „usług”. 
• W Polsce w ostatnich latach policja i CSIRT NASK wielokrotnie ostrzegały o aktywności grup hacktywistycznych, wskazując, że nawet „testowanie” narzędzi DDoS podlega odpowiedzialności karnej. 

Dlaczego to ważne dla firm? 

Świadomość prawna jest istotna z dwóch powodów: 

1. Prewencja – nawet „eksperymentowanie” z narzędziami DDoS przez pracowników (np. do testów wydajności bez zgody) może skończyć się odpowiedzialnością karną. 
2. Reakcja na incydent – firmy powinny wiedzieć, że atak można i należy zgłosić organom ścigania, a nie traktować go jako „nieuniknioną awarię techniczną”. 

Jak zgłosić atak DDoS i gdzie szukać pomocy 

Atak DDoS nie jest tylko problemem technicznym administratorów IT – to incydent bezpieczeństwa o konsekwencjach prawnych i biznesowych. Dlatego każda organizacja powinna wiedzieć, gdzie i w jaki sposób zgłosić taki incydent oraz gdzie szukać pomocy. 

1. Dostawca internetu (ISP)

Pierwszym punktem kontaktu jest zazwyczaj operator telekomunikacyjny. To on może: 

• zastosować blackholing – przekierować ruch do tzw. „czarnej dziury”, by chronić resztę infrastruktury, 
• wdrożyć filtrowanie flowspec na poziomie sieci operatorskiej, 
• wesprzeć w kierowaniu ruchu do centrów scrubbingowych. 

Dlatego warto posiadać procedury zgłoszeniowe i numery kontaktowe do ISP w ramach planu reagowania na incydenty. 

2. CERT / CSIRT

W Polsce działa kilka zespołów reagowania na incydenty (CSIRT): 

• CERT NASK – odpowiedzialny za administrację publiczną i operatorów usług kluczowych, 
• CSIRT GOV – dla administracji rządowej, 
• CSIRT MON – dla obszaru obronności. 

Zgłoszenie do CERT/CSIRT pozwala na: 

• skoordynowaną reakcję (np. powiadomienie innych operatorów i podmiotów), 
• dostęp do dodatkowych informacji o wektorach ataku, 
• wsparcie w raportowaniu incydentu zgodnie z ustawą KSC i dyrektywą NIS2. 

3. Policja i organy ścigania

Atak DDoS jest przestępstwem w świetle prawa (art. 268a Kodeksu karnego), dlatego warto: 

• zabezpieczyć logi z urządzeń sieciowych i serwerów, 
• zebrać dowody (np. próbki ruchu, zrzuty ekranu z komunikatami błędów), 
• zgłosić sprawę do policji lub prokuratury. 

Im więcej dowodów technicznych zostanie zgromadzonych, tym większe szanse na zidentyfikowanie sprawców – zwłaszcza w przypadku zorganizowanych grup (np. NoName057(16)). 

4. Firmy i eksperci zewnętrzni

Na rynku działa wiele firm specjalizujących się w ochronie przed DDoS (np. Cloudflare, Akamai, Arbor, a w Polsce – operatorzy telekomunikacyjni). Mogą one: 

• przejąć ruch i filtrować go w centrach scrubbingowych, 
• doradzić w kwestii konfiguracji zabezpieczeń, 
• zapewnić wsparcie 24/7 w czasie incydentu. 

Warto mieć podpisaną umowę SLA z dostawcą usług ochrony jeszcze przed wystąpieniem ataku. 

5. Wewnętrzne procedury reagowania

Każda organizacja powinna posiadać playbook reagowania na DDoS, obejmujący: 

• kto zgłasza incydent i do kogo, 
• jakie są dane kontaktowe do ISP, CERT i policji, 
• jak zabezpieczyć logi i dowody, 
• kto odpowiada za komunikację z klientami i mediami. 

Dlaczego zgłaszanie jest ważne? 

• Wsparcie techniczne – szybciej można opanować incydent. 
• Aspekt prawny – brak zgłoszenia może być naruszeniem obowiązków wynikających z KSC i NIS2. 
• Statystyki i analizy – dzięki zgłoszeniom CERT i regulatorzy mogą śledzić trendy ataków i lepiej chronić infrastrukturę krytyczną. 

Podstawowe środki ochrony przed atakiem DDoS 

Obrona przed DDoS wymaga podejścia wielowarstwowego. Nie istnieje jedno magiczne rozwiązanie, które ochroni firmę przed każdym scenariuszem. Najlepsze efekty daje połączenie monitoringu, filtrowania, rozproszenia usług i gotowych procedur reagowania. 

Monitoring i analiza ruchu sieciowego 

Pierwszym i absolutnie podstawowym elementem jest widoczność. 

• Wdrożenie narzędzi analizujących przepływy sieciowe (NetFlow, IPFIX, sFlow). 
• Budowanie baseline’u, czyli profilu „normalnego” ruchu w organizacji. 
• Automatyczne alerty przy odchyleniach od normy. 

Rozwiązania takie jak Sycope pozwalają na wykrywanie anomalii w czasie rzeczywistym, zanim atak zdąży sparaliżować usługi. 

Analiza anomalii i szybka detekcja 

Systemy NDR (Network Detection & Response) i SIEM potrafią korelować zdarzenia i identyfikować nietypowe wzorce ruchu. Dzięki temu organizacja może szybko rozpoznać, czy ma do czynienia z naturalnym skokiem popularności (np. w kampanii marketingowej), czy z atakiem DDoS. 

Filtrowanie i blokowanie 

Po wykryciu ataku kluczowe jest ograniczenie ruchu: 

• Access Control Lists (ACL) – proste reguły blokujące ruch z określonych źródeł. 
• Rate limiting – ograniczanie liczby żądań z danego adresu. 
• Flowspec i blackholing – mechanizmy na poziomie operatorów, pozwalające blokować ruch jeszcze przed dotarciem do sieci ofiary. 

Rozproszenie usług (CDN, Anycast) 

Ataki DDoS często koncentrują się na jednym punkcie infrastruktury. Rozproszenie usług minimalizuje to ryzyko: 

• CDN (Content Delivery Network) – przechowuje kopie treści w wielu lokalizacjach, skracając czas odpowiedzi i rozkładając ruch. 
• Anycast – ten sam adres IP rozgłaszany jest w wielu miejscach na świecie, a ruch kierowany jest do najbliższego serwera. 

Automatyczna mitygacja 

Najwięksi dostawcy usług bezpieczeństwa oferują tzw. scrubbing centers, które przejmują ruch ofiary, filtrują go i oddają tylko „czysty” ruch. To rozwiązanie jest szczególnie istotne w przypadku ataków wolumenowych (Tb/s), których nie da się obsłużyć w ramach lokalnej infrastruktury. 

Plan reagowania na incydenty 

Nawet najlepsze technologie nie wystarczą, jeśli organizacja nie ma planu działania. Playbook powinien zawierać: 

• jasny podział odpowiedzialności (SOC, NOC, dział PR), 
• listę kontaktów (ISP, CERT, policja, dostawcy usług ochrony), 
• procedury komunikacji wewnętrznej i zewnętrznej, 
• harmonogram testów i ćwiczeń symulacyjnych. 

Dlaczego podstawowe środki są tak ważne? 

Choć wiele firm inwestuje w rozwiązania klasy enterprise, badania pokazują, że brak elementarnych mechanizmów detekcji i procedur reagowania nadal jest jednym z głównych powodów skuteczności ataków DDoS. Nawet najprostsze działania – takie jak monitoring i baseline – mogą dać administratorom cenne minuty potrzebne na skuteczną obronę. 

Podsumowanie i wnioski 

Ataki DDoS w 2025 roku to nie tylko problem techniczny administratorów – to realne zagrożenie biznesowe, prawne i reputacyjne. Ich siła i złożoność stale rosną: od prostych floodów sprzed kilkunastu lat, po dzisiejsze ataki wielowektorowe liczone w terabitach na sekundę i setkach milionów żądań na sekundę. 

Wnioski są jasne: 

• Każda organizacja posiadająca usługi online musi liczyć się z ryzykiem DDoS, niezależnie od branży. 
• Monitoring i detekcja to fundament obrony – bez wczesnego wykrycia ataku nie ma szans na skuteczną reakcję. 
• Ochrona wielowarstwowa (filtrowanie, CDN, Anycast, scrubbing) daje największą skuteczność. 
• Aspekt prawny jest równie ważny – ataki należy zgłaszać i dokumentować, bo brak reakcji może oznaczać naruszenie regulacji (NIS2, KSC). 
• Proaktywne podejście i przygotowany plan reagowania to różnica między krótkotrwałą niedostępnością a długotrwałym kryzysem biznesowym. 

Warto pamiętać, że ataki DDoS nie znikną – wręcz przeciwnie, będą coraz częstsze i bardziej wyrafinowane. Dlatego firmy, które już dziś inwestują w odpowiednie narzędzia i procedury, mają przewagę i minimalizują ryzyko.