DDoS napadi (Distributed Denial of Service) jedna su od najčešćih i najrazornijih kibernetičkih prijetnji. Cilj napada je preplaviti mrežu, server ili aplikaciju enormnim volumenom prometa te onemogućiti pristup legitimnim korisnicima. Za organizacije obuhvaćene NIS2 direktivom, zaštita od DDoS napada nije samo dobra praksa. To je zakonska obveza. U ovom vodiču objašnjavamo kako DDoS napadi funkcioniraju, kako se zaštititi i što NIS2 konkretno zahtijeva.
Sažetak i ključne točke
- DDoS napadi su porasli za 80% u 2025. u odnosu na prethodnu godinu.
- Prosječni trošak DDoS napada za žrtvu: 120.000 do 300.000 EUR (zastoj, oporavak, reputacija).
- NIS2 članak 21. zahtijeva mjere za osiguranje dostupnosti mrežnih i informacijskih sustava.
- Napad je moguće pokrenuti za samo 50 USD putem kriminalnih servisa (DDoS-for-hire).
- Zaštita kombinira mrežnu infrastrukturu, cloud scrubbing i plan odgovora na incidente.
- DDoS napad na NIS2 subjekt koji uzrokuje prekid usluge mora se prijaviti CERT.hr-u u 24 sata.
Sadržaj
- Što je DDoS napad?
- Kako DDoS napad funkcionira
- Vrste DDoS napada
- DDoS u brojkama: trendovi 2025./2026.
- Utjecaj DDoS napada na poslovanje
- NIS2 zahtjevi za zaštitu od DDoS-a
- Metode zaštite od DDoS napada
- Arhitektura DDoS zaštite
- Plan odgovora na DDoS incident
- DDoS zaštita za mala i srednja poduzeća
- FAQ
- Zaključak
Što je DDoS napad?
DDoS (Distributed Denial of Service) je kibernetički napad u kojem napadač koristi mrežu kompromitiranih uređaja (botnet) za istovremeno slanje enormnog volumena zahtjeva prema ciljanom sustavu. Rezultat je preopterećenje sustava koji ne može odgovoriti legitimnim korisnicima.
| Pojam | Objašnjenje |
|---|---|
| DoS | Denial of Service: napad iz jednog izvora |
| DDoS | Distributed DoS: napad iz više tisuća ili milijuna izvora |
| Botnet | Mreža zaraženih uređaja (računala, IoT uređaji, serveri) pod kontrolom napadača |
| Amplifikacija | Tehnika kojom napadač pojačava volumen prometa koristeći ranjive servise |
| Scrubbing centar | Infrastruktura za filtriranje zlonamjernog prometa prije nego dođe do cilja |
| Volumetrijski napad | Napad usmjeren na zasićenje mrežnog kapaciteta |
Usporedba: DDoS napad možete zamisliti kao tisuće ljudi koji istovremeno pokušavaju ući kroz jedna vrata. Nitko ne provaljuje, jednostavno blokiraju ulaz legitimnim posjetiteljima.
Kako DDoS napad funkcionira
Faze napada
- Izgradnja botneta: napadač zarazi tisuće uređaja malwareom (IoT kamere, routeri, nezaštićena računala)
- Odabir cilja: identifikacija IP adresa, DNS zapisa ili web aplikacija žrtve
- Pokretanje napada: svi zaraženi uređaji istovremeno šalju zahtjeve prema cilju
- Eskalacija: napadač pojačava volumen ili mijenja vektor napada
- Ucjena ili šteta: napadač traži otkupninu (RDoS) ili napad služi kao dimna zavjesa za drugi upad
Veličine napada
| Kategorija | Volumen | Primjer |
|---|---|---|
| Mali | Do 10 Gbps | Može srušiti web stranicu manje tvrtke |
| Srednji | 10 do 100 Gbps | Može ugroziti mrežu srednje tvrtke |
| Veliki | 100 Gbps do 1 Tbps | Može ugroziti ISP ili cloud pružatelja |
| Mega | Preko 1 Tbps | Može ugroziti cjelokupnu nacionalnu infrastrukturu |
Vrste DDoS napada
1. Volumetrijski napadi (mrežni sloj: L3/L4)
Cilj: zasititi mrežni kapacitet ogromnim volumenom prometa.
| Tehnika | Opis | Amplifikacijski faktor |
|---|---|---|
| UDP flood | Slanje ogromnog broja UDP paketa | 1x |
| DNS amplifikacija | Zlouporaba DNS servera za pojačavanje | Do 54x |
| NTP amplifikacija | Zlouporaba NTP servera | Do 556x |
| SSDP amplifikacija | Zlouporaba UPnP uređaja | Do 30x |
| Memcached | Zlouporaba nezaštićenih Memcached servera | Do 51.000x |
2. Protokolski napadi (L3/L4)
Cilj: iscrpiti resurse mrežne opreme (vatrozidi, load balanceri).
- SYN flood: šalje ogromni broj SYN zahtjeva bez dovršavanja TCP handshake-a
- ACK flood: preplavljuje vatrozid ACK paketima
- Ping of Death: šalje prevelike ICMP pakete
- Smurf napad: koristi broadcast adrese za amplifikaciju ICMP zahtjeva
3. Aplikacijski napadi (L7)
Cilj: srušiti aplikaciju zahtjevima koji izgledaju kao legitimni promet.
| Tehnika | Opis | Težina detekcije |
|---|---|---|
| HTTP flood | Masivni HTTP GET/POST zahtjevi | Visoka: izgleda kao normalni promet |
| Slowloris | Drži otvorene konekcije sporo šaljući zaglavlja | Srednja |
| R-U-Dead-Yet (RUDY) | Sporo šalje tijelo POST zahtjeva | Srednja |
| DNS query flood | Preplavljuje DNS server složenim upitima | Srednja |
Trend 2025./2026.: Aplikacijski napadi (L7) bilježe najveći rast jer zaobilaze tradicionalnu volumetrijsku zaštitu. Napadači koriste AI alate za generiranje prometa koji gotovo savršeno oponaša legitimne korisnike.
DDoS u brojkama
| Metrika | Vrijednost (2025.) |
|---|---|
| Porast DDoS napada | +80% u odnosu na 2024. |
| Prosječno trajanje napada | 45 minuta |
| Najveći zabilježeni napad | 5,6 Tbps (Cloudflare, veljača 2025.) |
| Cijena DDoS-for-hire usluge | Od 50 USD za 1 sat |
| Prosječni trošak za žrtvu | 120.000 do 300.000 EUR |
| Najciljniji sektori | Financije, javna uprava, telekomunikacije, zdravstvo |
| Udio IoT botneta | 62% svih DDoS napada |
Hrvatska: kontekst
Prema CERT.hr izvješćima, Hrvatska bilježi rastući trend DDoS napada, posebno usmjerenih na:
- Tijela javne uprave (e-Građani, APIS IT)
- Financijske institucije
- Telekomunikacijske operatore
- Medijske kuće
Utjecaj DDoS napada na poslovanje
| Posljedica | Opis | Procijenjeni trošak |
|---|---|---|
| Zastoj usluge | Korisnici ne mogu pristupiti sustavu | 5.000 do 50.000 EUR/sat (ovisno o djelatnosti) |
| Gubitak prihoda | E-trgovina, SaaS, bankarstvo | Izravno proporcionalan trajanju zastoja |
| Reputacijska šteta | Gubitak povjerenja klijenata i partnera | Dugoročno neizmjerivo |
| Troškovi oporavka | Forenzika, pojačanje infrastrukture | 20.000 do 100.000 EUR |
| Regulatorne kazne | NIS2 kazne za neosiguranu dostupnost | Do 10M EUR za ključne subjekte |
| Kolateralna šteta | DDoS kao dimna zavjesa za krađu podataka | Dodatni troškovi istrage |
NIS2 zahtjevi za zaštitu od DDoS-a
NIS2 ne spominje DDoS eksplicitno, ali članak 21. propisuje mjere koje izravno uključuju DDoS zaštitu:
| NIS2 zahtjev (čl. 21.) | Veza s DDoS zaštitom |
|---|---|
| Politike analize rizika | DDoS mora biti dio procjene rizika |
| Postupanje s incidentima | Plan odgovora na DDoS napad |
| Kontinuitet poslovanja | Osiguranje dostupnosti usluge tijekom napada |
| Sigurnost nabave i održavanja sustava | DDoS zaštita kao dio mrežne arhitekture |
| Procjena učinkovitosti mjera | Testiranje DDoS zaštite (simulacije) |
| Kibernetička higijena i obuka | Edukacija tima za prepoznavanje i odgovor |
Obveza prijave DDoS incidenta
Ako DDoS napad na NIS2 subjekt uzrokuje značajan operativni poremećaj (prekid usluge, utjecaj na korisnike), organizacija mora:
- Prijaviti rano upozorenje CERT.hr-u u roku od 24 sata
- Dostaviti detaljnu obavijest u roku od 72 sata
- Podnijeti završno izvješće u roku od 1 mjesec
Metode zaštite od DDoS napada
1. Mrežna razina
| Mjera | Opis | Učinkovitost |
|---|---|---|
| Rate limiting | Ograničavanje broja zahtjeva po IP adresi | Osnovna: pomaže kod manjih napada |
| ACL filtriranje | Blokiranje poznatih zlonamjernih IP raspona | Osnovna: statično, lako zaobilazno |
| Blackhole routing | Preusmjeravanje zlonamjernog prometa u "crnu rupu" | Srednja: blokira i legitimni promet |
| Anycast mreža | Distribucija prometa na više lokacija | Visoka: smanjuje utjecaj na pojedini čvor |
| BGP Flowspec | Filtriranje na razini routera | Visoka, ali zahtijeva ISP suradnju |
2. Cloud DDoS zaštita (scrubbing)
Najučinkovitija zaštita za većinu organizacija:
- Cloudflare: besplatni plan s neograničenom DDoS zaštitom, enterprise za napredne značajke
- Akamai Prolexic: enterprise rješenje za kritičnu infrastrukturu
- AWS Shield: integrirana zaštita za AWS korisnike
- Azure DDoS Protection: za Microsoft Azure okruženja
3. Web Application Firewall (WAF)
Štiti od aplikacijskih napada (L7):
- Prepoznaje zlonamjerne HTTP obrasce
- Blokira poznate napadačke alate
- Koristi machine learning za detekciju anomalija
4. Redundancija i kapacitet
- Overprovisioning: mrežni kapacitet veći od potrebnog za normalni promet
- CDN: distribucija statičnog sadržaja smanjuje opterećenje izvora
- Failover: automatski prelazak na rezervnu infrastrukturu
Arhitektura DDoS zaštite
Preporučena višeslojna arhitektura za NIS2 subjekte:
| Sloj | Komponenta | Zaštita od |
|---|---|---|
| 1: ISP | Upstream filtriranje, BGP blackholing | Volumetrijski napadi >100 Gbps |
| 2: Cloud scrubbing | Cloudflare / Akamai / AWS Shield | Volumetrijski i protokolski napadi |
| 3: Mrežni perimetar | Vatrozid sljedeće generacije (NGFW) | Protokolski napadi, SYN flood |
| 4: Load balancer | Distribucija prometa, zdravstvene provjere | Preopterećenje pojedinih servera |
| 5: WAF | Web Application Firewall | Aplikacijski napadi (L7) |
| 6: Aplikacija | Rate limiting, CAPTCHA, bot detekcija | Sofisticirani L7 napadi |
Savjet: Nijedan sloj sam po sebi nije dovoljan. DDoS zaštita mora biti višeslojna (defense in depth) jer napadači redovito kombiniraju različite vektore napada istovremeno.
Plan odgovora na DDoS incident
Prije napada (priprema)
- Dokumentirajte normalnu mrežnu aktivnost: definirajte baznu liniju prometa
- Aktivirajte DDoS zaštitu: cloud scrubbing, WAF, rate limiting
- Pripremite kontakte: ISP, cloud pružatelj, CERT.hr, interni tim
- Definirajte eskalacijske procedure: tko odlučuje, tko komunicira
- Testirajte plan: provedite DDoS simulaciju najmanje jednom godišnje
Tijekom napada (odgovor)
- Potvrdite napad: razlikujte DDoS od legitimnog porasta prometa
- Aktivirajte cloud scrubbing: preusmjerite promet na čisti centar
- Obavijestite ISP: zatražite upstream filtriranje
- Komunicirajte interno: obavijestite upravu i ključne dionike
- Dokumentirajte sve: logovi, vremena, poduzete radnje
- Prijavite CERT.hr-u: ako ste NIS2 subjekt i postoji značajan poremećaj
Nakon napada (oporavak)
- Verificirajte normalizaciju: potvrdite da je sav promet legitiman
- Provedite forenziku: analizirajte logove, identificirajte vektore napada
- Ažurirajte zaštitu: prilagodite pravila na temelju naučenog
- Pripremite završno izvješće: za upravu i CERT.hr (NIS2 obveza)
DDoS zaštita za mala i srednja poduzeća
Mala i srednja poduzeća (SME) često nemaju proračun za enterprise rješenja. Dostupne opcije:
| Rješenje | Mjesečni trošak | Zaštita | Prikladnost |
|---|---|---|---|
| Cloudflare Free | Besplatno | Osnovna DDoS zaštita, DNS | Mala web sjedišta |
| Cloudflare Pro | ~20 EUR/mj | WAF + pojačana DDoS zaštita | Mali e-commerce |
| Cloudflare Business | ~200 EUR/mj | Napredna zaštita + SLA | Srednja poduzeća |
| AWS Shield Standard | Besplatno (uz AWS) | Osnovna zaštita L3/L4 | AWS korisnici |
| ISP zaštita | Varira | Upstream filtriranje | Svi, pitajte ISP |
Minimalna zaštita za NIS2 subjekte: Cloud DDoS zaštita (Cloudflare Business ili ekvivalent) + WAF + dokumentiran plan odgovora na incidente. Ovo zadovoljava NIS2 zahtjeve za mjere upravljanja rizicima i postupanje s incidentima.
FAQ
Je li DDoS napad značajan incident po NIS2?
Može biti. Ako DDoS uzrokuje ozbiljan poremećaj usluge ili financijsku štetu, smatra se značajnim incidentom. Tada vrijede rokovi prijave. Kod nedoumice, prijavite.
Moramo li prijaviti DDoS napad u 24 sata?
Da, ako je incident značajan. Rano upozorenje šalje se u 24 sata, detaljna obavijest u 72 sata, a završno izvješće u mjesec dana. Predlošci prijave ubrzavaju postupak. Pripremite proceduru prijave.
Kako se zaštititi od DDoS-a u skladu s NIS2?
Uvedite zaštitu na razini mreže i pružatelja, plan odgovora i testirane sigurnosne kopije. Dokumentirajte mjere kao dio upravljanja rizicima. To je ujedno dokaz usklađenosti pred regulatorom.
Koliko DDoS napad traje?
Prosječno trajanje je oko 45 minuta, ali napadi mogu trajati od nekoliko minuta do nekoliko dana. Sofisticirani napadači koriste pulsne napade (kratke intenzivne udare s pauzama) koji otežavaju automatsku detekciju.
Je li DDoS napad kazneno djelo u Hrvatskoj?
Da. Prema Kaznenom zakonu RH, DDoS napad potpada pod ometanje rada računalnog sustava (čl. 267.) i neovlašteni pristup računalnom sustavu (čl. 266.). Kazna zatvora iznosi do 3 godine. Prijavite napad CERT.hr-u i policiji.
Može li DDoS napad sakriti drugi napad?
Da, to je poznata taktika. Napadači koriste DDoS kao dimnu zavjesu dok istovremeno provode upad u sustav, krađu podataka ili instaliranje malwarea. Zato je važno da tim za odgovor na incidente provjeri i druge sustave tijekom DDoS napada.
Trebam li prijaviti DDoS napad prema NIS2?
Ako ste NIS2 subjekt i napad uzrokuje značajan operativni poremećaj (prekid usluge za korisnike, financijsku štetu), da, morate prijaviti CERT.hr-u u roku od 24 sata. Ako napad nema značajan učinak (zaštita ga je apsorbirala), prijava nije obavezna, ali je preporučljiva.
Koliko košta DDoS zaštita?
Od besplatno (Cloudflare Free, AWS Shield Standard) do nekoliko tisuća EUR mjesečno za enterprise rješenja. Za većinu NIS2 subjekata, Cloudflare Business (~200 EUR/mj) ili ekvivalent pruža adekvatnu zaštitu.
Zaključak
DDoS napadi su jedna od najraširenijih kibernetičkih prijetnji koja izravno pogađa dostupnost usluga, ključni zahtjev NIS2 direktive. Za organizacije u obuhvaćenim sektorima, zaštita od DDoS napada nije opcija nego obveza s kaznama do 10 milijuna EUR za neusklađenost.
Ključne preporuke: (1) Provedite procjenu rizika koja uključuje DDoS scenarije. (2) Implementirajte višeslojnu zaštitu: cloud scrubbing + WAF + mrežne mjere. (3) Pripremite i testirajte plan odgovora na DDoS incident. (4) Definirajte procedure prijave CERT.hr-u za značajne incidente. (5) Testirajte zaštitu redovitim simulacijama, najmanje jednom godišnje.
Trebate DDoS procjenu ili plan zaštite? Vision Compliance nudi procjenu otpornosti na DDoS napade, izradu planova odgovora na incidente i pomoć pri usklađivanju s NIS2 zahtjevima za dostupnost. Zakažite besplatnu konzultaciju.
Povezani članci
- NIS2 direktiva: Kompletni vodič za hrvatska poduzeća: Obveze, rokovi i kazne prema NIS2
- Kibernetički napadi: Vrste, primjeri i zaštita: Pregled svih vrsta kibernetičkih prijetnji
- Ransomware napad: Kako zaštititi tvrtku: Prevencija i oporavak od ransomwarea
Izvori: ENISA Threat Landscape 2025, CERT.hr godišnje izvješće, Cloudflare DDoS Report, NIS2 direktiva (EU 2022/2555) čl. 21., Zakon o kibernetičkoj sigurnosti (NN 14/24)
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.