_CORE
Služby
AI & agentní systémy Podnikové informační systémy Cloud & Platform Engineering Datová platforma & integrace Bezpečnost & compliance QA, testování & observabilita IoT, automatizace & robotika Mobilní & digitální produkty
Odvětví
Bankovnictví & finance Pojišťovnictví Veřejná správa Obrana & bezpečnost Zdravotnictví Energetika & utility Telco & média Průmysl & výroba Logistika & e-commerce Retail & věrnostní programy
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
CS EN DE
Pojďme to probrat

DDoS ochrana — jak se bránit

26. 09. 2025 Aktualizováno: 27. 03. 2026 2 min čtení intermediate

DDoS útok zahltí server požadavky tak, že přestane být dostupný pro legitimní uživatele. Moderní útoky dosahují stovek Gbps a milionů requestů za sekundu — žádný jednotlivý server ani síťové připojení je nedokáže absorbovat. Ochrana vyžaduje více vrstev, od síťové úrovně po aplikační vrstvu, a kombinaci CDN, rate limitingu a auto-scalingu.

Typy DDoS

  • Volumetric: UDP flood, DNS amplification — zahlcení šířky pásma obrovským objemem dat
  • Protocol: SYN flood, Ping of Death — exploitace síťových protokolů pro vyčerpání connection state
  • Application: HTTP flood, Slowloris — cílené na aplikační vrstvu, těžší na detekci

Volumetric útoky jsou nejsnáze detekovatelné (abnormální objem), ale vyžadují kapacitu k absorpci. Application-level útoky jsou sofistikovanější — vypadají jako legitimní provoz, ale přetěžují specifické endpointy (vyhledávání, přihlášení, API).

Ochrana

  • CDN/Proxy (Cloudflare, AWS CloudFront) — absorpce volumetrických útoků na edge
  • Rate limiting na edge — omezení požadavků per IP adresa
  • Auto-scaling pro absorpci — horizontální škálování při zvýšeném provozu
  • Geo-blocking — blokování provozu z regionů, odkud neočekáváte uživatele
  • Connection limiting na Nginx — omezení simultánních spojení
# Nginx rate limiting
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
    location /api/ {
        limit_req zone=api burst=20 nodelay;
    }
}

Rate limiting na Nginx úrovni chrání jednotlivé endpointy. Zone api alokuje 10 MB sdílené paměti pro sledování IP adres. Rate 10r/s povolí 10 requestů za sekundu per IP, burst 20 umožní krátkodobé špičky. Pro globální ochranu kombinujte s Cloudflare nebo AWS Shield.

Incident response

Připravte si DDoS response playbook předem: kontakty na ISP, postupy pro aktivaci Cloudflare Under Attack mode, eskalační matice. Během útoku je pozdě hledat dokumentaci. Pravidelně testujte — load testing odhalí slabá místa dříve než útočník.

Klíčový takeaway

CDN + rate limiting + auto-scaling tvoří základní obrannou triádu. Cloudflare nebo AWS Shield pro volumetrické útoky, aplikační rate limiting pro sofistikované útoky.

securityddoscdncloud
Sdílet:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

OWASP Top 10: Server-Side Request Forgery (SSRF)

SSRF útoky — jak útočník zneužije server k přístupu na interní služby.

Kubernetes Network Policies — mikrosegmentace v clusteru

Jak pomocí Network Policies izolovat služby v Kubernetes clusteru a implementovat princip least privilege na síťové úrovni.

Confidential Computing — důvěrné výpočty v cloudu

Confidential Computing v roce 2026: TEE enklávy, šifrovaná paměť, multi-party computation a praktické nasazení v...

Jak zabezpečit domácí síť

Praktický průvodce zabezpečením domácí sítě — router, DNS, VPN, segmentace.