Raport „ENISA Threat Landscape for DoS Attack”

6 grudnia 2023 roku opublikowany został raport Agencji Unii Europejskiej ds. Cyberbezpieczeństwa zatytułowany „ENISA Threat Landscape for DoS Attack”. Zawiera kompleksowe spojrzenie na ataki typu Denial of Service, obejmuje kwalifikację informacji dotyczących procesu przeprowadzania ataku oraz cechy celu ataku, a także szczegółową analizę głośnych incydentów DoS. W niniejszym dokumencie przedstawione zostały najważniejsze konkluzje związane z atakami typu „odmowa dostępu”.

Tło problemu

Współczesne środowisko informatyczne, rozwijające się w szybkim tempie, staje w obliczu coraz bardziej złożonych zagrożeń. Jednym z poważniejszych wyzwań, przed jakimi stoją systemy teleinformatyczne jest problem ataków typu Denial of Service (DoS). Ataki te mają na celu uniemożliwienie dostępu do zasobów komputerowych lub usług sieciowych poprzez przeciążenie systemu, co prowadzi do niedostępności usług dla prawidłowych użytkowników.

Denial of Service obejmuje szeroki zakres ataków, które zmierzają do przeciążenia zasobów systemowych, takich jak przepustowość sieciowa, moc obliczeniowa czy pamięć. Ataki te mogą być skierowane zarówno na warstwę aplikacji, jak i na warstwy niższe modelu OSI[1]. Obejmują różnorodne formy, począwszy od prostych ataków typu ping flood, poprzez wykorzystujące poważne błędy w protokołach sieciowych, aż po poważne ataki rozproszone (DDoS), w których wielu rozsianych po świecie agentów współpracuje w celu przeprowadzenia ataków z różnych lokalizacji.

Analiza zagrożeń ataków DoS staje się nieodzownym elementem strategii bezpieczeństwa dla organizacji posiadających zasoby online. W ramach niniejszej analizy opisano wskazane w raporcie ENISA źródła oraz wyjaśniono różne typy ataków. Ponadto, skoncentrowano się na metodach obronnych takich jak filtrowanie ruchu sieciowego, wykrywanie anomalii, zastosowanie rozproszonych systemów wykrywania ataków oraz innych działaniach mających na celu minimalizację potencjalnych skutków ataków DoS na systemy teleinformatyczne wymienione w raporcie. Wiedza ta jest kluczowa dla administratorów systemów, specjalistów ds. bezpieczeństwa oraz decydentów odpowiedzialnych za ochronę zasobów online przed ewentualnymi zagrożeniami.

W omawianym raporcie ENISA skupia się na atakach typu „DoS” oraz opisuje ostateczny cel cyberataków tego rodzaju. Ataki DoS to ataki przeprowadzane na systemy teleinformatyczne. Skutecznie przeprowadzone ataki na dowolny typ systemu, w tym przemysłowe systemy sterowania obsługujące procesy krytyczne, mogą skutkować odmową dostępu do usług. Kiedy witryna internetowa ulegnie atakowi DoS, powstrzymanie go będzie zależało od trafnej analizy administratora strony lub systemu, który padł celem ataku. Przeciętnemu użytkownikowi będzie się wydawać, że witryna po prostu przestała wyświetlać treść. Dla firm może to oznaczać, że systemy internetowe, od których zależą, przestały reagować. Skutki ataku DoS na przemysłowe systemy sterowania mogą obejmować niemożność odzyskania danych lub kontrolowania procesów krytycznych.

Ataki DoS mogą mieć różny czas trwania i mogą być kierowane do więcej niż jednej witryny lub systemu jednocześnie. Jeśli atak pochodzi z wielu punktów, nazywanych wektorami ataku, można mówić o „rozproszonej odmowie dostępu” (atak typu DDoS, od ang. distributed denial of service). Ataki DoS nie przypominają typowych ataków złośliwym oprogramowaniem. Nie wymagają do działania specjalnych programów. Zamiast tego starają się wykorzystać podatności w zabezpieczeniach sieci docelowej.

Rodzaje ataków typu DoS:

  • Odmowa dostępu (klasyczny atak typu DoS) – trakcie ataku wykorzystywana jest tylko niewielka liczba systemów atakujących w celu przeciążenia celu. Był to najpowszechniejszy rodzaj ataku od czasu powstania internetu, gdzie ilość świadczonych usług online była niewielka, a zabezpieczenia łatwe do obejścia. Współcześnie proste ataki DoS są w wielu przypadkach łatwe do przerwania, ponieważ identyfikacja i odparcie działań atakującego jest proste do przeprowadzenia. Wartym przytoczenia przypadkiem mogą być przemysłowe systemy sterowania, w których sprzęt może mieć niską tolerancję na fałszywy ruch lub może być podłączony za pośrednictwem łączy o niskiej przepustowości, które łatwo ulegają przeciążeniom.
  • Rozproszona odmowa dostępu (DDoS) – atakujący korzysta z wielu systemów podłączonych do internetu, aby każdy z nich wygenerował niewielką liczbę żądań, które razem przeciążają cel. Uczestnicy ataku mogą być albo dobrowolnymi wspólnikami atakującego (jak w przypadku ataków inicjowanych przez luźno zorganizowane nielegalne grupy „haktywistów”), albo nieświadomymi ofiarami, których maszyny zostały zainfekowane złośliwym oprogramowaniem, tworząc sieć botnet.
  • Zniszczenie sprzętu fizycznego (DoPE) atak powodujący uszkodzenie fizyczne za pomocą środków cyfrowych. Saudi Aramco[2] padło ofiarą tego rodzaju ataku, w wyniku czego wyłączono dziesiątki tysięcy stacji roboczych użytkowników. Prawdopodobnie najbardziej znanym przykładem tego rodzaju ataku jest wykorzystanie Stuxnet[3] w celu zniszczenia wirówek, by opóźnić prace nad irańskim programem nuklearnym.
  • Odmowa możliwości naprawy (DtAtF) – atakujący może przeprowadzić atak typu „odmowa dostępu”, a następnie celowo zakłócić możliwość rozwiązania problemu. Może to nastąpić poprzez nadpisanie oprogramowania sprzętowego, usunięcie kont lub zablokowanie dostępu administracyjnego. Na przykład osoba atakująca może wyłączyć sprzęt do zdalnej kontroli procesów, a następnie uszkodzić oprogramowanie sprzętowe lub, w bardziej subtelny sposób, zaktualizować trasy sieciowe w infrastrukturze, aby uniemożliwić administratorom dostęp.
  • Ataki mające na celu kradzież tożsamości (ToPI) – osoba atakująca może przejąć kontrolę nad nazwą domeny, kontem na portalu X[4] lub innymi kontami internetowymi. Jeśli ofiara ataku korzysta z usług w chmurze, osoba atakująca, która będzie w stanie uzyskać dostęp do konta, może wyłączyć infrastrukturę, uniemożliwiając jednocześnie uzyskanie dostępu w celu cofnięcia jakichkolwiek zmian.
  • Zakłócenia radiowe (RFI) – osoba atakująca może wykorzystać zakłócanie sygnału radiowego, żeby wpływać na dostępność lokalnej sieci Wi-Fi lub połączeń bezprzewodowych o większym zasięgu z odległymi lokalizacjami (np. instalacjami czujników). Ten typ ataku niesie ze sobą znaczne ryzyko ze strony atakującego, ponieważ musi on fizycznie znajdować się blisko docelowej lokalizacji[5].

Problemy z identyfikacją

Objawy ataku DoS mogą przypominać niezłośliwe problemy z dostępnością, takie jak problemy techniczne z określoną siecią lub działania administratora systemu przeprowadzającego konserwację. Jednakże następujące objawy mogą wskazywać na atak DoS lub DDoS:

  • wyjątkowo niska wydajność sieci (otwieranie plików lub uzyskiwanie dostępu do stron internetowych),
  • niedostępność określonej strony internetowej,
  • brak dostępu do jakiejkolwiek strony internetowej[6].

Najlepszym sposobem wykrycia i zidentyfikowania ataku DoS jest monitorowanie i analiza ruchu sieciowego. Ruch sieciowy można monitorować za pomocą zapory firewall lub systemu wykrywania włamań. Administrator może nawet skonfigurować reguły, które utworzą alert w przypadku wykrycia nietypowego obciążenia ruchem i zidentyfikują źródło ruchu lub „upuszczą” pakiety sieciowe spełniające określone kryteria.

Haker w trakcie ataku stosuje różne techniki w celu zalewania złośliwymi pakietami docelowego serwera sieciowego. Atakujący używa narzędzia ataku DoS tzw. „Niskoorbitalnego Działa Jonowego” (LOIC)[7] w celu utworzenia schematu ataku. Technika składa się z: zbierania danych, identyfikacji i analizy cech celu. Do identyfikacji ataków wykorzystywane są dwa węzły, z których jeden pełni funkcję maszyny atakującej, a inny pełni rolę ofiary z zainstalowanym narzędziem przechwytywania całego ruchu sieciowego przychodzącego do danego środowiska. Wystąpienie ataku zmniejsza wydajność sieci, co z kolei uniemożliwia użytkownikom dostęp do usług online. Odpowiednio przygotowane reguły dla systemów firewall mogą odfiltrować większość ruchu generowanego przez atak przeprowadzany za pomocą LOIC, ale należy pamiętać, że skuteczna obrona przed atakami DoS na poziomie sieciowym jest bardzo trudna[8].

Skuteczne określenie, czym jest atak DoS, wiąże się z wieloma trudnościami. Te same trudności są często przywoływane przez organizacje w momencie identyfikowania i zgłaszania tego typu ataków. W przeciwieństwie do innych zagrożeń (jak oprogramowanie ransomware, w przypadku którego istnieje całkowita pewność, że doszło do ataku), podczas ataku DoS pojawia się wiele wątpliwości. Najczęstsze trudności można podsumować w następujący sposób:

  • Systemy lub komputery monitorujące DoS mogą być częścią celu DoS, zatrzymując monitorowanie ruchu, co bardzo utrudnia dostrzeżenie ataku. Ataki te kończą się sukcesem, pozostawiając po sobie niewiele śladów.
  • Ataki DoS mogą rozpoczynać się powoli, co utrudnia identyfikację organicznego wzrostu ruchu w wyniku nadchodzącego ataku. Ruch ten utrudnia ustalenie, kiedy rozpoczął się atak.
  • Ataki DoS często mają miejsce seriami, bez wyraźnego początku i końca. Ze względu na brak technicznej definicji zakończenia ataku, trudno określić ilościowo, czy było to wiele ataków, czy jeden. W takich przypadkach raport ENISA uwzględnia pojedynczy atak jako jedną próbę wyłączenia usługi.

Ponieważ usługi internetowe często dzielą adresy IP, jeden atak może zniszczyć wiele witryn. Z perspektywy czasu można je postrzegać jako wielokrotne ataki, chociaż w rzeczywistości miał miejsce tylko jeden. W tych przypadkach w raporcie rozważono przeprowadzenie dalszych dowodów w celu oceny, czy założeniem  ataku było wywarcie wpływu na wiele celów poprzez jeden atak na współdzielony adres IP. W raporcie ENISA atak na współdzielony adres IP sklasyfikowany jest jako pojedynczy. Zakłócenia związane z DoS mogą trwać dłużej niż sam atak, ponieważ komputery lub systemy mogą przestać działać całkowicie, co sprawia, że długość samego ataku jest bardzo trudna do oszacowania[9].

Motywacje cyberprzestępców

 Ataki DoS stają się coraz bardziej powszechne i wyrafinowane, a ich celem są firmy, organizacje i osoby prywatne. Cyberprzestępcy mogą wykorzystać mnóstwo celów, a motywacje tych ataków mogą być bardzo zróżnicowane. Oto kilka możliwych motywacji stojących za atakami DoS wymienionych w raporcie ENISA:

  • Wymuszenie: niektórzy napastnicy mogą przeprowadzać ataki DoS w celu żądania zapłaty okupu od ofiary w zamian za zatrzymanie ataku.
  • Cyberwojna: państwa wykorzystują ataki DoS w celu sparaliżowania lub odmowy dostępu do infrastruktury krytycznej, takiej jak komunikacja, bankowość i usługi użyteczności publicznej.
  • Haktywizm: haktywiści mogą wykorzystywać ataki DoS w celu zaprotestowania lub zwrócenia uwagi na swoje cele społeczne lub polityczne.
  • Zemsta: niektórzy napastnicy mogą przeprowadzić ataki DoS w ramach odwetu na osobie, organizacji lub firmie, która ich zdaniem wyrządziła im krzywdę.
  • Przewaga konkurencyjna: niektórzy napastnicy mogą obrać za cel konkurencyjną firmę lub organizację, aby zakłócić świadczenie jej usług i zyskać przewagę na rynku.
  • Cyberprzemoc: niektóre osoby mogą atakować inne osoby za pomocą ataków DoS – jest to forma znęcania się lub nękania w internecie.
  • Szpiegostwo: państwa mogą wykorzystywać ataki DoS w celu gromadzenia informacji wywiadowczych poprzez zakłócanie lub wyłączanie sieci swoich celów.
  • Powody ideologiczne: niektórzy napastnicy mogą przeprowadzać ataki DoS w celu wsparcia swoich przekonań ideologicznych, na przykład wyrządzania szkód firmom, które uważają za nieetyczne lub szkodliwe dla środowiska[10].

Motywacja kryje się za decyzją o przeprowadzeniu ataku DoS, a nie jest celem sama w sobie. W raporcie zidentyfikowano cztery podstawowe motywacje: finansowe, polityczne lub aktywistyczne, społeczne i strategiczne. Ataki DoS mogą mieć charakter finansowy motywowany zdobyciem pieniędzy (poprzez wymuszenie), czy też sprawieniem, by cel stracił pieniądze w wyniku zakłócania jego usługi. Motywacje mogą mieć także charakter polityczny lub aktywistyczny, gdy grupy próbują złożyć oświadczenie, wywierać presję, prowadzić wojnę lub zemścić się w jakiejś sprawie. Ataki typu DoS mogą być także motywowane społecznie, gdy ich przyczyna tkwi w urazach, osobistym uznaniu, zemście itp. Motywacje mogą być również strategiczne, gdy ataki są sponsorowane lub mają na celu zdobycie strategicznej przewagi konkurencyjnej w sektorze przedsiębiorstw, lub w sytuacji wojennej[11].

Cele ataków

Cel ataku odnosi się do tego, co atakujący zamierzali osiągnąć poprzez atak. W kontekście badanej kwestii raport wskazuje na to, że ataki DoS zwykle skupiają się na konkretnej usłudze docelowej. Celem atakujących jest często infrastruktura sieciowa taka jak strony internetowe i interfejsy programowania aplikacji internetowych. Inne zaatakowane usługi obejmują infrastrukturę sieciową serwery poczty elektronicznej, infrastrukturę komunikacji satelitarnej lub inne. Ataki DoS mają na celu zatrzymanie dostępności usługi poprzez wyczerpanie zasobów celu. Tymi zasobami może być przepustowość sieci, pamięć serwera, jednostki centralne (moc obliczeniowa), dane (np. ich. usunięcie), pojemność pamięci itp. Intensywność i skuteczność ataków DoS różnią się znacznie w zależności od zaobserwowanych incydentów i rzeczywiście nie zawsze atak kończy się sukcesem. Aby móc dokonać porównania incydentów, zakłócenie ataku zostało podzielone na cztery poziomy: zakłócenia zerowe, zakłócenia częściowe, zakłócenia całkowite oraz nieznane jeszcze długości zakłóceń. Zakłócenie zerowe polega na przeprowadzeniu ataku, ale ze względu na charakter ataku lub odporność celu nie następuje zauważalny wpływ na jego dostępność lub wydajność. Częściowe zakłócenie ma miejsce wtedy, gdy obiekt docelowy doświadcza sporadycznych przestojów lub spadku wydajności. Całkowite zakłócenie występuje, gdy cel doświadcza poważnych skutków, w wyniku których użytkownicy nie będą mogli uzyskać dostępu do usług ani z nich korzystać[12].

W przypadku ataków DoS w raporcie zidentyfikowano kilka celów ataków: zdyskredytowanie, uzyskanie korzyści finansowych w drodze wymuszenia, protestowanie, zyskanie uznania, uzyskanie zemsty lub odwetu, zdobycia prestiżu, odwrócenia uwagi, spowodowania szkód fizycznych, zaangażowania w wojnę i spowodowanie zakłóceń. Lista ta nie jest wyczerpująca i może zostać w przyszłości rozszerzona. W raporcie podkreśla się, że ataki DoS w ramach działań wojennych są zarezerwowane dla ataków pomiędzy stronami – uczestnikami konfliktu, w przeciwieństwie do ataków motywowanych zemstą lub ataków odwetowych dokonywanych przez zwolenników uczestnika wojny wobec osób trzecich.

W celu przeprowadzenia ataku DoS atakujący korzystają z różnych narzędzi i zaawansowanych technik. Najczęstsze to botnety, wykorzystywanie luk, ataki spamowe itp[13].

Polski incydent kolejowy

Raport ENISA przytacza najważniejsze wydarzenia związane z atakami DoS na infrastrukturę. Przywołany został przykład z 25 sierpnia 2023 r., kiedy to w polskim systemie kolejowym doszło do zakłóceń w wyniku ataku DoS na mechanizmy awaryjnego zatrzymania pociągów. Atakujący wykorzystali lukę w konstrukcji systemu –  brak szyfrowania w pliku – oraz sygnał radiowy stosowany w systemie kolejowym do sterowania tymi mechanizmami. Napastnicy wysłali sygnał stopu, który został prawidłowo zinterpretowany, co doprowadziło do wstrzymania ruchu pociągów. Zakłócenie to ma szczególne znaczenie ze względu na strategiczną rolę, jaką polska kolej odgrywa we wsparciu Ukrainy podczas rosyjskiej inwazji. Atak ten jest również istotny z tego względu, że większość ataków DoS koncentruje się na infrastrukturze sieciowej. Jak wynika z powyższego, w przypadku konfliktów zbrojnych zmienia się skala ataku, a organizacje powinny rozważyć wszystkie możliwe cele, w tym sygnały o częstotliwości radiowej, systemy bezprzewodowe, a nawet urządzenia fizyczne. Opisany atak wzbudził duże zainteresowanie ze względu na przesłanki wskazujące na to, że mógł on zostać wykonany przez aktorów z państw zaangażowanych w konflikt[14].

Zestawienie statystyczne Polski i Rumunii

Aby dokładniej przedstawić zagrożenie wynikające z ataków DoS, poniżej dokonano liczbowego zestawienia ataków typu DDoS na przykładzie Polski i Rumunii, dwóch kluczowych krajów wschodniej flanki NATO, korzystając z danych dostępnych w portalach netscout.com[15] oraz radar.cloudflare.com[16] za pierwsze sześć miesięcy 2023 roku. : Trudno porównywać ze sobą państwa europejskie pod kątem występowania w ich infrastrukturze ataków typu DDoS, państwa te różnią się bowiem nie tylko stopniem dojrzałości w zakresie cyberbezpieczeństwa, ale też m.in. PKB czy populacją. Aby jednak przedstawić Polskę na tle w celu lepszego zobrazowania danych wynikających z raportu ENISA, poniżej zaprezentowano dane dla Polski i Rumunii. Spośród krajów Unii Europejskiej Rumunia ma nie tylko podobną populację (wg danych Eurostatu za 2023 r.: Polska – 37 mln, Rumunia – 19 mln), ale również podobne PKB per capita (dane za 2022 r.: Polska – 79, Rumunia – 77)[17]. Oba te kraje należą nie tylko do krajów wschodniej flanki NATO, ale także ich granice wyznaczają wschodnie granice zewnętrzne Unii Europejskiej.

Tabela 1. Ataki DDoS przeprowadzone przez ludzi i boty

KrajCzłowiekBot
Polska81,7 %18,3%
Rumunia79,8%20,2%

Tabela 2. Ataki DDoS przeprowadzone przy użyciu komputerów stacjonarnych i urządzeń mobilnych

KrajKomputer stacjonarnyUrządzenie mobilne
Polska50,8%49,2%
Rumunia57,4%42,6%

Tabela 3. Ataki DDoS na protokoły sieciowe

KrajIPv4IPv6
Polska82,0%18,0%
Rumunia66,0%34,0%

Tabela 4. Ilość ataków DDoS

KrajIlość ataków
Polska110,611
Rumunia58,657

Tabela 5. Średnia długość zakłóceń wywołanych atakiem DDoS

KrajŚrednia długość zakłócenia
Polska13 minut
Rumunia22 minuty

Jak wynika z powyższego zestawienia, 81,7% ataków DDoS na Polskę dokonali ludzie, natomiast 18,3% – boty. Rumunia padła ofiarą ataków w 79,8% przeprowadzonych przez ludzi, boty stanowiły 20,2% atakujących. W obydwu przypadkach ponad 50% ataków kierowanych było przy użyciu komputerów stacjonarnych. W przypadku Polski 49,2% stanowiły urządzenia mobilne. Współczynnik ten różni się w przypadku Rumunii, gdzie urządzenia mobilne stanowiły 42,6% całości ataków DDoS.

Zarówno Polska, jak i Rumunia są kluczowymi państwami wschodniej flanki NATO ponoszącymi znaczące wysiłki we wsparciu Ukrainy w odparciu rosyjskiej pełnoskalowej inwazji. W wyniku tych działań oba te kraje stają się celami grup hakerskich zaangażowanych w wojnę na Ukrainie. Powyższe tabelaryczne zestawienie statystyczne obrazuje skalę ataków DoS na obydwa państwa. Jest ona bardzo zbliżona w wielu aspektach, niemniej jednak należy zauważyć, że liczba ataków przeprowadzonych na Polskę w pierwszej połowie 2023 roku jest niemalże dwukrotnie większa. Ataki DDoS z wykorzystaniem komputerów stacjonarnych stanowiły ponad 50% w obu przypadkach. Protokoły sieciowe IPv4 w znacznej większości stawały się celem ataków kierowanych zarówno na Polskę, jak i Rumunię, a różnica w średniej długości zakłóceń wynosiła 9 minut.

DoS w konfliktach zbrojnych

W raporcie ENISA określa się występowanie dużych konfliktów zbrojnych, takich jak rosyjska inwazja na Ukrainę, czy konflikt izraelsko – palestyński, jako najistotniejszy czynnik ataków DoS. Większość z nich to tzw. działania sabotażowe przeciwko celom wojskowym, ale obejmują one także element taktyczny lub strategiczny i w raporcie ENISA są sklasyfikowane jako środki bojowe. DoS może być również wykorzystywany przez uczestników konfliktu jako narzędzie odwetu lub zemsty na zwolenników swego wroga. Ataki te zwykle skupiają na sobie uwagę mediów i dlatego są wymierzone w strony internetowe i domeny publicznie rozpoznawalne w internecie.

Podczas konfliktów zbrojnych ataki DoS mogą mieć wsparcie bardziej doświadczonych hakerów. Pozwala to na tworzenie lepszych narzędzi, utrzymywanie większych infrastruktur sieciowych, a co za tym idzie, większe i bardziej efektywne ataki. W raporcie ENISA opisano wzrost liczby ataków DoS po rozpoczęciu rosyjskiej inwazji na Ukrainę. Wśród zidentyfikowanych nowych odmian znajdują się m.in.: jednoczesne ataki DoS na różnych dostawców usług w chmurze, czy duży wzrost ataków z wykorzystaniem przeglądarki Tor. Ponadto potwierdzono, że grupa NoName057(16) wykorzystuje przede wszystkim dwa bardzo specyficzne i powiązane z krajem numery systemów autonomicznych sieci (ASN) do przeprowadzania ataków. Według dostawcy, ataki DDoS na początku marca 2022 r. stanowiły ponad 80% całego ruchu (w kolejnych miesiącach liczba ta miała spadać). Tym samym trudno precyzyjnie ocenić ilość i cel ataków w tym okresie, a także cele i szczegóły tych ataków.

Na przykład, nieoczekiwany atak DoS może polegać na zablokowaniu obywatelom atakowanego kraju dostępu do stron docelowych. Jednak taka taktyka nie polega na utrudnianiu dostępu poprzez zablokowanie świadczonej usługi, ale na zmuszeniu zaatakowanej witryny do zablokowania adresu IP kraju, z którego przeprowadzony został atak, blokując w ten sposób, dostęp do treści niezaangażowanym w konflikt obywatelom z kraju atakującego. Jest to problem powszechnie dyskutowany wśród serwisów informacyjnych i dostawców bezpieczeństwa, którzy mogą odmówić blokowania adresów IP kraju prowadzącego DoS, aby uniknąć blokowania dostępu obywateli do wiadomości, siejąc w ten sposób strach i wystawiając ich na wrogą propagandę i dezinformację[18].

Podsumowanie

Rekomendacje związane z atakami typu Denial of Service obejmują wdrożenie skutecznych rozwiązań anty-DoS tj. monitorowanie ruchu sieciowego oraz regularne aktualizowanie systemów i oprogramowania w celu zwiększenia odporności na ataki. Dodatkowo zaleca się implementację firewalli oraz systemów detekcji zagrożeń (IDPS) w celu szybkiego wykrywania i neutralizowania potencjalnych ataków. Należy wprowadzić nowe mechanizmy zgłaszania incydentów, aby umożliwić rządom i podmiotom udzielającym wsparcia możliwość pomiaru, określenia ilościowego i ulepszenia oferowanej w takich przypadkach pomocy. Regularne audyty bezpieczeństwa, w tym testy penetracyjne mogą pomóc zidentyfikować ewentualne słabe punkty w systemie. Wdrażanie mechanizmów redundancji i dystrybucji ruchu sieciowego może również zminimalizować skutki ataków DoS. Ważne jest również śledzenie nowych trendów i metod ataków oraz dostosowywanie strategii zabezpieczeń w odpowiedzi na zmieniające się zagrożenia.

Najważniejsze wnioski wynikające z analizy raportu „ENISA Threat Landscape for DoS Attack”:

  • Ataki DoS są jednymi z najwcześniej pojawiających się cyberzagrożeń i wciąż ewoluują.
  • Na obecny krajobraz zagrożeń DoS duży wpływ mają obecne konflikty zbrojne, zwłaszcza rosyjska inwazja na Ukrainę.
  • Infrastruktura publiczna lub rządowa jest szczególnie preferowanym celem ataków.
  • Ataki DoS są często skuteczne, powodują przestoje i przyciągają uwagę mediów.
  • Organizacje nie raportują w wystarczającym stopniu na temat ataków DoS.


[1] Niższe warstwy modelu OSI zajmują się transportem danych. Warstwa transportowa segmentuje dane oraz składa je w tzw. strumień. Warstwa ta zapewnia całościowe połączenie między stacjami: źródłową oraz docelową, które obejmuje całą drogę transmisji. Warstwa łącza danych i warstwa fizyczna są realizowane sprzętowo i programowo. Warstwa fizyczna jest najniższą warstwą modelu OSI i jest najbliżej ośrodka fizycznego. Warstwa fizyczna odpowiada głównie za umieszczenie informacji na nośniku fizycznym. Patrz: https://www.javatpoint.com/osi-model

[2] Saudyjski koncern paliwowo-chemiczny prowadzący poszukiwania i wydobycie ropy naftowej.

[3] Rodzaj złośliwego oprogramowania w typie robaka komputerowego, którego użycie przypisuje się CIA i Mossadowi. Patrz https://niebezpiecznik.pl/post/stuxnet-byl-elementem-wiekszego-planu-czyli-kulisy-operacji-nitro-zeus/)

[4] Dawniej Twitter.

[5] Oficjalny Serwis Zjednoczonego Królestwa, Denial of Service (DoS) guidance, źródło:https://www.ncsc.gov.uk/collection/denial-service-dos-guidance-collection [dostęp: 28.12.2023]

[6]Denial-of-Service (DoS) Attacks — Web-based Application Security, Part 7, źródło: https://spanning.com/blog/denial-of-service-attacks-web-based-application-security-part-7/ [Dostęp: 28.12.2023]

[7] Oprogramowanie, które może zostać użyte do przeprowadzania ataków typu DoS. (patrz https://www.cloudflare.com/learning/ddos/ddos-attack-tools/low-orbit-ion-cannon-loic/)

[8] Denial of Service (DoS) attack identification and analyse using sniffing technique in the network environment, źródło: https://www.e3s-conferences.org/articles/e3sconf/pdf/2020/62/e3sconf_icenis2020_15003.pdf [dostęp: 28.12.2023]

[9] Raport „ENISA Threat Landscape for DoS Attacks”, s. 7

[10] DDoS Attack Motivations Abound, źródło: https://www.netscout.com/blog/ddos-attack-motivations-abound [Dostęp: 28.12.2023]

[11] Raport „ENISA Threat Landscape for DoS Attacks”, s. 10

[12] Raport „ENISA Threat Landscape for DoS Attacks”, s. 12

[13] Raport „ENISA Threat Landscape for DoS Attacks”, s. 11

[14] Raport „ENISA Threat Landscape for DoS Attacks”, s. 13

[15] Netscout DDoS Threat Intelligence Report – Poland, źródło: https://www.netscout.com/threatreport/emea/poland/ [Dostęp: 28.12.2023]

[16] Security & Attacks in Poland, źródło: https://radar.cloudflare.com/security-and-attacks/pl [Dostęp 28.12.2023]

[17] Fakty i liczby dotyczące życia w Unii Europejskiej, źródło: https://european-union.europa.eu/principles-countries-history/key-facts-and-figures/life-eu_pl [Dostep: 10.01.2024]

[18] Raport „ENISA Threat Landscape for DoS Attacks”, s. 28.

TAGI Analizy, Dobre praktyki, ENISA,