Báo cáo Đe dọa DDoS quý 2 năm 2025 mới nhất của Cloudflare tiết lộ rằng công ty đã tự động giảm thiểu các cuộc tấn công từ chối dịch vụ phân tán (DDoS) lớn nhất từng được ghi nhận, đạt đỉnh chưa từng có là 7.3 terabit mỗi giây (Tbps) và 4.8 tỷ gói tin mỗi giây (Bpps). Những cuộc tấn công siêu dung lượng này, vốn đã gia tăng đáng kể, nhấn mạnh sự phát triển không ngừng của các véc-tơ tấn công nhắm vào cơ sở hạ tầng quan trọng.
Xu Hướng Tấn Công DDoS Toàn Cầu
Các Cuộc Tấn Công Dung Lượng Siêu Lớn (Hyper-Volumetric Attacks)
Các sự cố DDoS siêu dung lượng, được định nghĩa là các cuộc tấn công Tầng 3/4 (L3/4) vượt quá 1 tỷ gói tin mỗi giây (Bpps) hoặc 1 Tbps, cùng với các cuộc tấn công tràn HTTP DDoS vượt quá 1 triệu yêu cầu mỗi giây (Mrps), đã diễn ra trung bình 71 vụ mỗi ngày, với hơn 6.500 sự kiện như vậy đã được ngăn chặn.
Đáng chú ý, các cuộc tấn công vượt quá 100 triệu gói tin mỗi giây đã tăng vọt 592% so với quý trước, trong khi các cuộc tấn công vượt ngưỡng 1 Bpps và 1 Tbps đã tăng gấp đôi. Điều này làm nổi bật sự chuyển dịch của các tác nhân đe dọa sang việc áp đảo băng thông và khả năng xử lý của mục tiêu.
Thống Kê Tổng Quan và Xu Hướng Đột Biến
Mặc dù tổng số cuộc tấn công DDoS đã giảm 64.3% so với quý trước, từ 20.5 triệu vào quý 1 xuống 7.3 triệu vào quý 2 – chủ yếu do sự chấm dứt của một chiến dịch kéo dài 18 ngày nhắm vào mạng lưới và tài sản được bảo vệ của Cloudflare – những con số này vẫn cao hơn 44% so với quý 2 năm 2024. Riêng các cuộc tấn công HTTP DDoS đã tăng đột biến 129% so với cùng kỳ năm trước.
Các cuộc tấn công Tầng 3/4 (L3/4) đã giảm mạnh 81%, xuống còn 3.2 triệu vụ. Tuy nhiên, các biến thể tấn công HTTP lại tăng 9%, đạt 4.1 triệu vụ, chủ yếu do sự điều phối của các mạng botnet.
Tháng 6 nổi lên là tháng cao điểm, chiếm 38% tổng hoạt động của quý 2. Trong đó bao gồm các cuộc tấn công có chủ đích nhắm vào một hãng tin Đông Âu trong bối cảnh đưa tin về Tháng Tự hào LGBTQ, minh họa sự giao thoa giữa động cơ địa chính trị và hành vi gây hấn mạng.
Phân Tích Các Véc-tơ Tấn Công Tầng Mạng (L3/4) và Tầng Ứng Dụng (HTTP)
Các Véc-tơ Tấn Công Tầng Mạng Phổ Biến
Đi sâu hơn vào bức tranh đe dọa, các cuộc tấn công tràn DNS chiếm ưu thế trong các véc-tơ L3/4 ở mức 33%, tiếp theo là tràn SYN ở mức 27% và tràn UDP ở mức 13%. Các mối đe dọa mới nổi như tràn Teeworlds đã tăng vọt 385% và tràn RIPv1 tăng 296%.
Các cuộc tấn công này khai thác các giao thức cũ để phản hồi và khuếch đại, lợi dụng các lỗ hổng trong các giao thức như RDP, DemonBot và VxWorks để tạo ra lưu lượng truy cập được khuếch đại từ các nguồn giả mạo (spoofed sources).
Sự Nổi Lên của Tấn Công HTTP DDoS
Các cuộc tấn công HTTP DDoS, được điều khiển bởi các mạng botnet, chiếm một phần đáng kể trong các sự cố. 6% các cuộc tấn công HTTP đã vượt quá 1 triệu yêu cầu mỗi giây (Mrps), và đã có sự gia tăng 1.150% so với quý trước trong các sự kiện L3/4 vượt quá 1 Tbps.
Tấn Công DDoS Đòi Tiền Chuộc (Ransom DDoS) và Thách Thức Trong Xác Định Thủ Phạm
Các sự cố DDoS đòi tiền chuộc (Ransom DDoS), nơi kẻ tấn công yêu cầu thanh toán để dừng các cuộc tấn công, đã tăng vọt 68% so với quý trước, đạt đỉnh vào tháng 6 với một phần ba số khách hàng được khảo sát báo cáo về các mối đe dọa hoặc các cuộc tấn công. Con số này cao hơn 6% so với cùng kỳ năm trước.
Việc xác định thủ phạm vẫn còn khó khăn, với 71% số người được hỏi không thể nhận diện được kẻ tấn công. Trong số những người có thể, 63% đã chỉ ra các đối thủ cạnh tranh, đặc biệt trong các lĩnh vực trò chơi, cờ bạc và tiền điện tử, trong khi 21% chỉ ra các tác nhân được nhà nước hậu thuẫn.
Bản Đồ Nạn Nhân và Nguồn Tấn Công
Địa Điểm và Ngành Bị Nhắm Mục Tiêu
Về mặt địa lý, Trung Quốc đứng đầu các địa điểm bị nhắm mục tiêu (dựa trên quốc gia thanh toán của khách hàng), tiếp theo là Brazil và Đức. Đã có những sự dịch chuyển đáng kể như Việt Nam tăng 15 bậc và Nga tăng 40 bậc trong danh sách.
Các ngành công nghiệp phải gánh chịu thiệt hại nặng nề nhất, với viễn thông và nhà cung cấp dịch vụ giành lại vị trí dẫn đầu, tiếp theo là dịch vụ internet, IT, trò chơi và cờ bạc. Ngành nông nghiệp cũng có bước nhảy vọt ấn tượng 38 bậc vào top 10.
Nguồn Gốc Tấn Công
Các nguồn tấn công cũng thay đổi, với Indonesia dẫn đầu, Singapore đứng thứ hai. Các ASN chứa nhiều botnet như Drei-K-Tech-GmbH (AS200373) và DigitalOcean (AS14061) chiếm ưu thế về nguồn gốc tấn công HTTP, được thúc đẩy bởi các botnet dựa trên máy ảo (VM-based botnets) ước tính mạnh hơn 5.000 lần so với các đối tác IoT.
Chỉ số Thỏa hiệp (IOCs) liên quan đến nguồn tấn công botnet:
- ASN: AS200373 (Drei-K-Tech-GmbH)
- ASN: AS14061 (DigitalOcean)
Động Thái Tấn Công và Chiến Lược Giảm Thiểu của Cloudflare
Đặc Điểm Kỹ Thuật của Các Cuộc Tấn Công
Các động thái tấn công cho thấy rằng 94% các sự kiện DDoS Tầng 3/4 (L3/4) duy trì dưới 500 Mbps và 85% dưới 50.000 gói tin mỗi giây (pps). Tuy nhiên, ngay cả những cuộc tấn công “nhỏ” này cũng có thể làm tê liệt các máy chủ không được bảo vệ, vốn chỉ có khả năng xử lý từ 100.000–500.000 pps hoặc 10.000–100.000 rps.
Tuy nhiên, các trường hợp ngoại lệ siêu dung lượng đã tăng cường đáng kể. Ví dụ, cuộc tấn công khổng lồ 7.3 Tbps chỉ kéo dài vài giây, đòi hỏi các hệ thống phòng thủ tức thì, tự động như khả năng nhận diện dấu vân tay (fingerprinting) thời gian thực của Cloudflare. Hệ thống này giúp nhận diện các botnet (chiếm 71% các cuộc tấn công HTTP) trên mạng lưới toàn cầu của Cloudflare tại hơn 330 thành phố.
Giải Pháp Phòng Chống DDoS Chủ Động
Cloudflare’s Free DDoS Botnet Threat Feed hỗ trợ các nhà cung cấp làm sạch các địa chỉ IP độc hại thông qua API, thúc đẩy các hoạt động gỡ bỏ trong cộng đồng.
Các chiến lược giảm thiểu nhấn mạnh các dịch vụ như Magic Transit để hấp thụ lưu lượng lớn, Spectrum để bảo vệ theo giao thức cụ thể, và WAF (Web Application Firewall) cho các mối đe dọa tầng ứng dụng. Đồng thời, Cloudflare tránh các chặn tổng thể trên các cổng như UDP/53 hoặc TCP/3389 để bảo toàn lưu lượng truy cập hợp pháp.
Tầm Quan Trọng của Phòng Thủ Dựa Trên Đám Mây
Khi năm 2025 vượt qua tổng khối lượng DDoS cả năm 2024 chỉ trong nửa đầu năm, với 27.8 triệu cuộc tấn công đã được giảm thiểu, các tổ chức phải ưu tiên các giải pháp bảo vệ dựa trên đám mây, thích ứng để chống lại những cuộc tấn công mạng ngày càng phức tạp và có rủi ro cao này.
