Một sự kiện đáng chú ý trong lĩnh vực an ninh mạng đã diễn ra vào giữa tháng 5 năm 2025, khi một cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn chưa từng có đã được ghi nhận và chặn đứng. Cuộc tấn công này đạt đỉnh điểm với lưu lượng truy cập lên tới 7.3 Tbps (terabit mỗi giây), vượt qua các kỷ lục trước đó khoảng 12% và trở thành cuộc tấn công DDoS lớn nhất từng được ghi nhận tính đến thời điểm đó.
Mục tiêu của cuộc tấn công là một khách hàng sử dụng dịch vụ Cloudflare Magic Transit để bảo vệ hạ tầng mạng IP của họ. Trong khoảng thời gian ngắn ngủi 45 giây, cuộc tấn công đã truyền tải một lượng dữ liệu khổng lồ, lên đến 37.4 Terabytes. Con số này không chỉ phản ánh quy mô mà còn thể hiện cường độ và mức độ nguy hiểm của kỹ thuật tấn công được áp dụng.
Phân Tích Kỹ Thuật Các Vector Tấn Công Đa Dạng
Cuộc tấn công được xác định là một cuộc tấn công DDoS đa vector (Multivector DDoS attack), một phương pháp ngày càng phổ biến trong các cuộc tấn công hiện đại. Điều này có nghĩa là kẻ tấn công đã kết hợp nhiều kỹ thuật khác nhau để gây áp lực lên nhiều thành phần hoặc lớp của hạ tầng mạng mục tiêu, làm cho việc phòng thủ trở nên phức tạp hơn so với các cuộc tấn công chỉ sử dụng một kỹ thuật duy nhất.
Thành phần chính của lưu lượng truy cập trong cuộc tấn công này là lưu lượng UDP, chiếm tới 99.996% tổng số. Lưu lượng UDP thường được sử dụng trong các cuộc tấn công DDoS do tính chất không trạng thái (stateless) và khả năng mạo danh địa chỉ IP nguồn (IP spoofing) một cách dễ dàng, cho phép kẻ tấn công tạo ra lưu lượng lớn mà không cần thiết lập kết nối.
Trong số 0.004% lưu lượng còn lại, tương đương khoảng 1.3 GB dữ liệu, cuộc tấn công đã kết hợp nhiều vector tấn công khuếch đại (amplification attacks). Kỹ thuật khuếch đại lợi dụng các dịch vụ hợp pháp đang chạy trên các máy chủ có thể truy cập công khai để phản hồi các yêu cầu nhỏ bằng các phản hồi lớn hơn nhiều lần. Điều này cho phép kẻ tấn công với băng thông hạn chế vẫn có thể tạo ra lưu lượng DDoS khổng lồ.
Các Kỹ Thuật Khuếch Đại Được Sử Dụng:
- QOTD (Quote of the Day): Giao thức QOTD, thường chạy trên cổng 17/UDP, là một dịch vụ đơn giản trả về một câu trích dẫn ngẫu nhiên. Nó thường bị lạm dụng trong các cuộc tấn công khuếch đại DDoS vì một yêu cầu nhỏ có thể nhận lại một phản hồi tương đối lớn, đặc biệt nếu dịch vụ được cấu hình để gửi các trích dẫn dài hoặc có lỗi trong việc xử lý yêu cầu.
- Echo Protocol: Giao thức Echo, chạy trên cổng 7/UDP hoặc TCP, có nhiệm vụ đơn giản là trả lại dữ liệu đã nhận. Tương tự như QOTD, nó là một mục tiêu lý tưởng cho các cuộc tấn công khuếch đại khi một gói dữ liệu nhỏ được gửi đến có thể được phản hồi bằng một gói có kích thước tương đương hoặc lớn hơn, gây lụt mạng mục tiêu.
- NTP (Network Time Protocol): NTP là giao thức được sử dụng để đồng bộ hóa thời gian trên các thiết bị mạng. Các cuộc tấn công khuếch đại NTP thường lợi dụng lệnh
monlist(hoặc các lệnh tương tự nhưreadvarhoặcgetstats) trong các phiên bản NTP cũ hơn hoặc bị cấu hình sai. Lệnhmonlistcó thể hiển thị danh sách các máy chủ đã truy vấn máy chủ NTP đó gần đây, và một yêu cầumonlistnhỏ (ví dụ, 234 byte) có thể tạo ra phản hồi lên đến hàng trăm kilobyte, đạt được hệ số khuếch đại đáng kể (lên tới hơn 500 lần). - Mirai botnet-related vectors: Mặc dù không phải là một giao thức khuếch đại theo nghĩa truyền thống, các vector liên quan đến botnet Mirai đóng góp vào lưu lượng DDoS khổng lồ. Mirai là một botnet nổi tiếng chuyên lây nhiễm các thiết bị IoT (Internet of Things) có bảo mật kém (như camera IP, đầu ghi DVR, router) và biến chúng thành các “bots” để thực hiện các cuộc tấn công DDoS. Các cuộc tấn công từ Mirai thường là các cuộc tấn công lũ UDP (UDP flood) trực tiếp, tạo ra lưu lượng rất lớn từ hàng nghìn thiết bị phân tán.
- Portmap service exploitation: Dịch vụ Portmap (còn được gọi là RPCbind), thường chạy trên cổng 111/UDP hoặc TCP, là một dịch vụ giúp máy khách xác định số cổng của các dịch vụ RPC khác. Tương tự như NTP, một yêu cầu Portmap có thể nhận được một phản hồi lớn chứa danh sách các dịch vụ đang chạy, cho phép khuếch đại lưu lượng.
- RIPv1 (Routing Information Protocol version 1) exploitation: RIPv1 là một giao thức định tuyến lỗi thời, chạy trên cổng 520/UDP. Mặc dù RIPv1 không được thiết kế cho mục đích khuếch đại như NTP, nhưng các gói tin RIPv1 thường được truyền dưới dạng broadcast. Việc gửi một lượng lớn các yêu cầu RIPv1 đến các router hoặc thiết bị mạng hỗ trợ giao thức này có thể gây ra các phản hồi broadcast không mong muốn hoặc xử lý quá tải, góp phần vào lưu lượng DDoS, đặc biệt trong môi trường mạng bị cấu hình sai hoặc cũ kỹ.
Mục Tiêu và Cơ Chế Phòng Thủ
Mục tiêu của cuộc tấn công là một khách hàng cung cấp dịch vụ hosting đang được bảo vệ bởi dịch vụ Cloudflare Magic Transit. Magic Transit được thiết kế để bảo vệ toàn bộ hạ tầng mạng IP của một tổ chức, không chỉ các ứng dụng web cụ thể. Nó hoạt động bằng cách sử dụng mạng lưới Anycast toàn cầu của Cloudflare, nơi lưu lượng truy cập của khách hàng được định tuyến qua các trung tâm dữ liệu gần nhất của Cloudflare thông qua BGP (Border Gateway Protocol).
Khi một cuộc tấn công DDoS xảy ra, Magic Transit sẽ hấp thụ toàn bộ lưu lượng tấn công trên mạng lưới phân tán của mình. Sau đó, nó áp dụng các kỹ thuật lọc và giảm thiểu DDoS tiên tiến để loại bỏ lưu lượng độc hại trong khi vẫn chuyển tiếp lưu lượng hợp lệ đến mạng của khách hàng. Khả năng xử lý lưu lượng ở cấp độ mạng (network layer) và quy mô mạng lưới của Cloudflare đã đóng vai trò then chốt trong việc vô hiệu hóa cuộc tấn công 7.3 Tbps này.
Ý Nghĩa và Bài Học Rút Ra
Cuộc tấn công DDoS này thiết lập một tiêu chuẩn mới về quy mô và cường độ, cho thấy khả năng của kẻ tấn công trong việc huy động tài nguyên khổng lồ để thực hiện các chiến dịch phá hoại. Con số 7.3 Tbps không chỉ là một kỷ lục mà còn là lời nhắc nhở rõ ràng về sự leo thang liên tục của các mối đe dọa DDoS.
Sự kết hợp của nhiều vector tấn công, đặc biệt là sự pha trộn giữa lũ UDP trực tiếp từ botnet (như Mirai) và các kỹ thuật khuếch đại đa dạng, đặt ra thách thức lớn cho các hệ thống phòng thủ truyền thống. Điều này nhấn mạnh tầm quan trọng của các giải pháp giảm thiểu DDoS có khả năng xử lý nhiều loại hình tấn công đồng thời và có quy mô đủ lớn để hấp thụ lưu lượng terabit.
Đối với các tổ chức, việc bảo vệ toàn bộ mạng IP thay vì chỉ các dịch vụ cụ thể đang trở nên ngày càng quan trọng. Các cuộc tấn công hiện đại không chỉ nhắm vào các máy chủ web mà còn vào toàn bộ hạ tầng mạng, bao gồm các dịch vụ phi HTTP/HTTPS, đòi hỏi một chiến lược phòng thủ toàn diện hơn. Việc triển khai các giải pháp như Magic Transit của Cloudflare hoặc các nhà cung cấp dịch vụ giảm thiểu DDoS tương tự là cần thiết để chống lại các mối đe dọa ngày càng tinh vi này.
Sự thành công trong việc chặn đứng cuộc tấn công này một lần nữa khẳng định rằng, mặc dù quy mô của các cuộc tấn công DDoS đang tăng lên, các công nghệ và dịch vụ phòng thủ cũng đang phát triển để đáp ứng. Tuy nhiên, các tổ chức cần liên tục đánh giá và nâng cấp khả năng phòng thủ của mình để đảm bảo rằng họ có thể đối phó với những thách thức trong tương lai.
Đáng lưu ý là thông tin chi tiết về các Indicators of Compromise (IOCs) cụ thể, các lỗ hổng CVEs được khai thác, các họ mã độc cụ thể, hoặc các nhóm tấn công APT hoặc tội phạm có tổ chức liên quan không được đề cập trong các dữ liệu có sẵn. Tương tự, không có ví dụ về dòng lệnh hay mã cấu hình được cung cấp trong bối cảnh cuộc tấn công này.
