Wyobraź sobie ten scenariusz: jest środek tygodnia, startuje Twoja najważniejsza kampania reklamowa, a Ty dostajesz alert: „Sklep nie działa”. Próbujesz wejść na stronę – ładuje się w nieskończoność lub zwraca błąd 503. Logi serwera pękają w szwach od tysięcy żądań na sekundę z nieznanych adresów IP.
To klasyczny atak DDoS (Distributed Denial of Service). Zamiast panikować, musisz działać. Każda minuta przestoju to realne straty finansowe i wizerunkowe.
Jako specjaliści od infrastruktury zebraliśmy sprawdzone procedury reagowania kryzysowego. Oto precyzyjny plan działania, który powinieneś wdrożyć w pierwszych 30 minutach od wykrycia ataku.
⏱️ Minuta 1-10: Szybka diagnoza i potwierdzenie ataku
Pierwszym błędem jest zakładanie z góry, że to atak hakerski. Zanim zaczniesz wdrażać procedury kryzysowe, upewnij się, z czym masz do czynienia.
-
Zweryfikuj globalną dostępność: Użyj narzędzi takich jak DownForEveryoneOrJustMe lub Uptime Robot. Upewnij się, że problem nie leży tylko po stronie Twojego dostawcy internetu.
-
Zajrzyj w statystyki serwera (jeśli masz dostęp): Czy widzisz nagły, nienaturalny skok ruchu (tzw. spike)? Czy zapytania pochodzą z dziwnych geolokalizacji (np. Rosja, Chiny, Brazylia), z którymi normalnie nie robisz biznesu?
-
Sprawdź zasoby: Czy użycie procesora (CPU) i pamięci RAM wynosi 100%?
Wskazówka Eksperta: Standardowy hosting współdzielony zazwyczaj nie daje Ci dostępu do głębokich logów. Jeśli Twój biznes opiera się na e-commerce, rozwiązaniem absolutnie bazowym powinny być wydajne serwery VPS, które zapewniają odizolowane zasoby i pełną kontrolę nad ruchem.
Jeśli potwierdzisz, że ruch jest sztuczny i paraliżuje maszynę – masz do czynienia z DDoS-em. Przechodzimy do działania.
⏱️ Minuta 10-20: Pierwsza linia obrony i mitygacja ruchu
Gdy wiesz już, że trwa atak, musisz odciąć „zły” ruch, zanim ostatecznie „zabije” on bazę danych.
-
Włącz tryb „Under Attack”: Jeśli korzystasz z Cloudflare lub innego systemu CDN (Content Delivery Network), natychmiast aktywuj tryb „I’m Under Attack”. Wymusi to na każdej osobie próbującej wejść na stronę rozwiązanie wyzwania JS/Captcha, co skutecznie odsieje proste boty (tzw. ataki w warstwie 7 – aplikacyjnej).
-
Zablokuj ruch zagraniczny (Geoblocking): Jeśli sprzedajesz tylko w Polsce, tymczasowe zablokowanie ruchu z zagranicy na poziomie firewalla (lub pliku .htaccess/.conf w Nginx) odetnie nawet 80% ruchu z globalnych botnetów.
-
Skontaktuj się ze swoim wsparciem IT: Czas to pieniądz. Zgłoś incydent osobom, które na co dzień odpowiadają za administrację serwerami w Twojej firmie. Profesjonalny admin potrafi w kilka minut wdrożyć reguły na firewallu (np. iptables/nftables), które zablokują pakiety o określonej sygnaturze.
⏱️ Minuta 20-30: Komunikacja kryzysowa i kontakt z hostingiem
Ataki wolumetryczne (warstwa 3 i 4), polegające na „zapchaniu rury” gigabitami danych na sekundę, są niemożliwe do odparcia z poziomu samego serwera. Twój sprzęt po prostu nie zdąży przetworzyć tego ruchu.
- Telefon do serwerowni: Skontaktuj się z operatorem swojego hostingu. Niestety, w przypadku zwykłych hostingów częstą (i bolesną) praktyką jest tzw. null-routing (blackholing). Polega to na tym, że serwerownia… całkowicie odcina Twoją stronę od internetu, aby ratować innych klientów w tej samej szafie serwerowej.
- Poinformuj klientów: Wykorzystaj media społecznościowe (Facebook, LinkedIn). Napisz krótki, profesjonalny komunikat: „Mierzymy się z przejściowymi problemami technicznymi spowodowanymi wzmożonym ruchem. Nasi technicy pracują nad przywróceniem dostępności sklepu. Wasze dane są bezpieczne.” Szczerość buduje zaufanie.
Co robić, gdy kurz opadnie? (Prewencja na przyszłość)
Ataki DDoS w 2026 roku są tanie – można je wynająć w Dark Webie za kilkadziesiąt dolarów, często na zlecenie nieuczciwej konkurencji. Jeśli przetrwałeś pierwsze uderzenie, bądź pewien, że atakujący wrócą.
Aby spać spokojnie, potrzebujesz proaktywnego podejścia:
-
Dedykowana Ochrona Anty-DDoS: Nie polegaj na darmowych wtyczkach. Zabezpieczenie biznesu wymaga routingu BGP i tzw. Scrubbing Center (centrum czyszczenia ruchu). Profesjonalna ochrona przed atakami DDoSpotrafi zneutralizować ataki o sile setek Gbps, zanim w ogóle dotrą one do Twojego serwera.
-
Audyt infrastruktury: DDoS często jest tylko zasłoną dymną dla innych działań hakerskich (np. prób kradzieży bazy danych). Po odparciu ataku zleć kompleksowy audyt bezpieczeństwa IT, aby upewnić się, że w systemie nie zostawiono backdoorów.
-
Optymalizacja pod kątem wydajności: Im lepiej zoptymalizowany serwer, tym trudniej go „położyć”.
Nie czekaj na kolejny atak DDoS
Koszty przestoju e-commerce liczone są w tysiącach złotych za każdą godzinę. Brak odpowiednich zabezpieczeń to ryzyko ataku DDoS, na które żadna poważna firma nie może sobie pozwolić.
Widzisz podejrzany ruch na swojej stronie? A może chcesz zabezpieczyć infrastrukturę, ZANIM wydarzy się najgorsze?
Skontaktuj się z nami już teraz. Nasi administratorzy przenalizują Twoją architekturę i wdrożą tarcze ochronne, które zapewnią Twojej stronie dostępność na poziomie 99,9%, niezależnie od skali ataku.
Jestem administratorem systemów i specjalistą ds. cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w zarządzaniu infrastrukturą IT, serwerami Linux, usługami cloud oraz ochroną systemów produkcyjnych.
Na co dzień w ZdalnyAdmin.com.pl zajmuję się audytami bezpieczeństwa, testami penetracyjnymi, wdrożeniami SOC, hardeningiem serwerów oraz reagowaniem na incydenty bezpieczeństwa.
Pracowałem z infrastrukturą obsługującą sklepy e-commerce, systemy finansowe, aplikacje SaaS oraz środowiska o podwyższonych wymaganiach dostępności i bezpieczeństwa.
W swoich publikacjach dzielę się praktycznym doświadczeniem z zakresu cyberbezpieczeństwa, DevOps i administracji systemami — bez marketingowych uproszczeń, za to z naciskiem na realne scenariusze i obowiązujące regulacje (NIS2, DORA, ISO 27001).