Proč tradiční ochrana proti DDoS útokům nestačí? Rozhoduje kapacita sítě, ne komplexnost firewallu

Pokud se službu nepodaří před DDoS útokem ochránit, důsledky se rychle promítají do fungování firmy. U velkých podniků může výpadek znamenat reputační škody, porušení smluvně garantované dostupnosti služeb a náročné řešení provozních incidentů. U rychle rostoucích technologických firem se naopak okamžitě projeví ve ztrátě tržeb, vyšších provozních nákladech a tlaku na tým, který místo vývoje produktu řeší dostupnost služby.

DDoS útoky se stávají čím dál větší výzvou. Cloudflare uvádí, že v roce 2025 mitigoval 47,1 milionu DDoS útoků, tedy o 121 % více než o rok dříve. Jen ve třetím čtvrtletí šlo o 8,3 milionu útoků, zhruba 3 780 za hodinu.

Data ze sítě Cloudflare ukazují, že v roce 2025 tvořil provoz zastavený kvůli DDoS útokům nebo bezpečnostním pravidlům webových aplikací přibližně 3,3 % veškerého provozu.

Mnoho organizací si přesto představuje, že ochranu zajistí silnější firewall nebo přísnější bezpečnostní pravidla.

⇢ Útoky jsou dnes masivně automatizované a snadno škálovatelné. Cloudflare uvádí, že téměř 30 % globálního bot trafficu pochází z velkých cloudových platforem, které útočníkům umožňují levně a rychle nasadit tisíce instancí generujících provoz. 

⇢ Většina útoků trvá krátce a často skončí dřív, než by stihl zasáhnout člověk nebo služba on-demand. Přibližně 89 % síťových DDoS útoků a 71 % HTTP útoků skončí do 10 minut.

⇢ I když útok trvá jen minuty nebo sekundy, následná obnova služeb, kontrola konzistence dat, rozběhnutí aplikačních závislostí a stabilizace provozu mohou trvat výrazně déle.

⇢ Ochrana proto musí být vždy zapnutá, automatická a dostatečně velká, aby absorbovala útok i legitimní provoz současně. 

Dražší firewall neznamená automaticky větší DDoS ochranu

Firewall je důležitá součást bezpečnostní architektury, ale u objemových DDoS útoků řeší jiný typ problému. Zatímco běžné bezpečnostní incidenty se řeší při analýze paketů a spojení, volumetrický DDoS útok zasahuje už samotnou přenosovou kapacitu sítě.

Proto ani velmi výkonný podnikový firewall jako ochrana proti DDoS útokům sám o sobě nestačí. Technické specifikace běžných podnikových zařízení ukazují propustnost firewallu v řádu desítek gigabitů za sekundu. Například platforma Cisco uvádí podle konfigurace přibližně 55–70 Gbps firewallového výkonu. To jsou vysoké hodnoty pro běžný provoz datového centra, ale stále o několik řádů menší než objem moderních DDoS útoků. Cloudflare například v roce 2025 zaznamenal útoky o velikosti 29,7 Tbps a později 31,4 Tbps – tedy přibližně 29 700 až 31 400 Gbps. 

Na tento problém upozorňují i specializované bezpečnostní analýzy. Společnost NSFOCUS, která se dlouhodobě věnuje výzkumu DDoS útoků a vývoji jejich mitigace, uvádí, že firewally a IPS nebyly navržené pro obranu proti velkoobjemovým útokům. Fungují především na principu statických pravidel a sledování jednotlivých spojení, což z nich při vysokém objemu provozu může udělat úzké hrdlo infrastruktury.

K podobnému závěru dochází i FastNetMon, open-source systém pro detekci a mitigaci DDoS útoků používaný provozovateli sítí. Upozorňuje, že firewall není vhodné používat jako hlavní obranu proti DDoS útokům, protože při velkém objemu provozu jednoduše nestačí zpracovat všechny požadavky.

Co se děje, když útok zaplní kapacitu sítě 

U objemových DDoS útoků je zásadní pojem bandwidth saturation, tedy zaplnění přenosové kapacity sítě. Každá internetová linka má omezenou šířku pásma – maximální objem dat, který dokáže za sekundu přenést. Pokud útočník odešle více dat, než kolik linka zvládne, začne se legitimní provoz zahazovat. Nejde o chybu serveru ani firewallu. Data se jednoduše nedostanou dál.

Síť v tomto případě můžete přirovnat k potrubí. Pokud jím začne téct více vody, než kolik jeho průměr umožňuje, průtok se zablokuje. Stejně funguje volumetrický DDoS útok: útočník zaplní přenosovou kapacitu sítě takovým množstvím provozu, že se legitimní požadavky ke službě vůbec nedostanou.

V praxi se přitom sledují dvě různé metriky. Bits per second (bps) vyjadřují objem dat, který sítí prochází. Packets per second (pps) ukazují počet jednotlivých paketů, které musí síťová zařízení zpracovat. Útok buď zaplní linku velkým objemem dat, nebo zahltí infrastrukturu obrovským množstvím paketů, i když jsou jednotlivé pakety malé. Společnost Cloudflare přitom zaznamenala nejen útoky nad 1 Tbps, ale i útoky nad 1 miliardu paketů za sekundu. V roce 2025 dokonce zjistila rekordní útoky o objemu 31,4 Tbps i 14,1 Bpps.

Proč on-premise ochrana selhává: geografie a čas

Moderní DDoS útoky nejsou lokální událostí. Provoz nepřichází z jednoho místa, ale z tisíců až milionů zařízení rozesetých po celém světě. Rekordní útok o síle 7,3 Tbps, který Cloudflare popsal v roce 2025, pocházel z více než 122 000 zdrojových IP adres, z 5 433 autonomních systémů a ze 161 zemí. To znamená, že obrana musí být geograficky distribuovaná – útok nelze zastavit z jednoho bodu infrastruktury.

Druhým limitem je čas. Podle dat Cloudflare končí přibližně 89 % síťových DDoS útoků a 71 % HTTP DDoS útoků během deseti minut. Některé rekordní útoky trvaly dokonce jen 35 až 45 sekund. Jeden z nich například doručil 37,4 TB dat během pouhých 45 sekund. Než se incident objeví v monitoringu, někdo ho vyhodnotí a schválí zásah, útok může být dávno u konce.

Jak by měl vypadat funkční model obrany? 

Lokální bezpečnostní zařízení v datovém centru nedokáže zastavit provoz, který už zaplnil internetovou linku organizace. Obrana proto musí fungovat ještě před tím, než se útočný provoz dostane k infrastruktuře oběti.

Tento princip se označuje jako čištění provozu (traffic scrubbing). Provoz je nejprve směrován do velké distribuované sítě, kde se analyzuje a oddělí škodlivá část. K serverům organizace pak pokračuje pouze legitimní provoz. Kontrola nad bezpečností se tím neztrácí – pouze se přesouvá z úrovně ručního zásahu jednotlivých zařízení na úroveň pravidel, automatizace a průběžného měření.

Klíčovou roli zde hraje způsob směrování zvaný anycast. Provozovatel sítě oznamuje stejnou IP adresu z mnoha datových center po celém světě, takže internet automaticky směruje provoz do nejbližšího dostupného bodu sítě. Útočný provoz se tak rozptýlí mezi mnoho lokalit a tisíce serverů, místo aby udeřil na jednu firemní linku nebo jedno datové centrum. Pro ilustraci rozsahu infrastruktury: Cloudflare dnes uvádí globální síťovou kapacitu přibližně 477 Tbps napříč stovkami datových center. Taková distribuovaná kapacita umožňuje absorbovat útoky, které by jedinou firemní linku nebo jedno datové centrum okamžitě zahltily.

Právě tento princip umožňuje absorbovat i extrémně velké útoky. Cloudflare například popisuje útok o síle 7,3 Tbps, který byl mitigován napříč stovkami datových center ve více než stovkách lokalit po celém světě. 

Adekvátní ochrana by v praxi měla splňovat tyto vlastnosti:

• Dostatečná globální kapacita. Smyslem není útok pouze „přežít“, ale absorbovat jeho objem tak, aby vedle něj mohl fungovat i legitimní provoz uživatelů.
• Geograficky distribuovaná infrastruktura. Více bodů v síti umožňuje rozprostřít útok mezi mnoho lokalit a zabránit tomu, aby se soustředil na jediné místo.
• Automatická mitigace v reálném čase. Většina útoků je příliš krátká na to, aby čekala na ruční zásah operátora nebo aktivaci externí služby.
• Měřitelnost a transparentnost. Organizace musí vidět, jaký objem provozu byl zastaven, jaké typy útoků byly použity a jak systém reagoval.
• Schopnost zvládat kombinované útoky. Moderní kampaně často míchají více technik najednou – od zahlcení sítě přes vyčerpání spojení až po útoky na aplikační vrstvu. Obrana proto musí zvládnout nejen velký objem dat, ale i extrémní počet paketů za sekundu a pokusy o vyčerpání zdrojů zařízení.

NoName057(16) a DDoS jako nástroj tlaku

NÚKIB ve Zprávě o stavu kybernetické bezpečnosti ČR za rok 2024 uvádí, že evidoval 268 incidentů, přičemž významnou část z nich tvořily DDoS útoky. Za většinou těchto útoků stály ruskojazyčné hacktivistické skupiny, zejména NoName057(16). Podle úřadu tyto aktivity zpravidla sice nepůsobily škody nad rámec krátkodobých výpadků napadených webů, to je ale zároveň důvod, proč bývají DDoS útoky někdy podceňované. Nejsou vždy devastující ve smyslu ztráty dat jako třeba ransomware, ale velmi účinně narušují dostupnost služeb.

NÚKIB i v lednu 2026 evidoval 32 incidentů, nejvyšší hodnotu za posledních 12 měsíců, přičemž téměř polovinu tvořila vlna DDoS útoků spojovaná primárně s proruskými hacktivistickými skupinami. V únoru 2026 počet incidentů klesl na 23, ale stále šlo o nadprůměrnou hodnotu. DDoS tak zůstává i v českém prostředí relevantním nástrojem tlaku na veřejné instituce i soukromé organizace.

Další „box“ problém kapacity nevyřeší

Obrana proti DDoS útokům se posouvá k architektuře, která dokáže útok zachytit a filtrovat ještě před tím, než zasáhne infrastrukturu organizace. Příkladem tohoto přístupu je model používaný společností Cloudflare. Ten je založený na globální síti datových center, směrování typu anycast a automatické detekci a mitigaci provozu přímo v síťové infrastruktuře. Útočný provoz se při něm rozprostře mezi stovky lokalit, vzory chování se vyhodnocují v reálném čase a škodlivý provoz se zablokuje ještě před tím, než se dostane k infrastruktuře zákazníka.

Právě tento posun od ochrany v datovém centru k ochraně na úrovni internetu dnes určuje, zda infrastruktura moderním DDoS útokům skutečně odolá.

‍