Cloudflare vừa công bố rằng họ đã ngăn chặn 7,3 triệu cuộc tấn công DDoS trong quý 2 năm 2025. Con số này giảm đáng kể so với 20,5 triệu cuộc tấn công DDoS mà họ đã đẩy lùi trong quý trước.

Theo Omer Yoachimik và Jorge Pacheco, số lượng các cuộc tấn công DDoS siêu lớn (hyper-volumetric DDoS attacks) đã tăng vọt trong quý 2 năm 2025. Cloudflare đã chặn hơn 6.500 cuộc tấn công loại này, trung bình mỗi ngày có 71 vụ.

Trong quý 1 năm 2025, một chiến dịch kéo dài 18 ngày chống lại chính Cloudflare và các cơ sở hạ tầng quan trọng khác do công ty bảo vệ đã gây ra 13,5 triệu cuộc tấn công. Tính tổng cộng, Cloudflare đã chặn gần 28 triệu cuộc tấn công DDoS, vượt qua số lượng mà họ đã ngăn chặn trong cả năm 2024.

Một trong những cuộc tấn công đáng chú ý nhất trong quý 2 năm 2025 là một cuộc tấn công DDoS với quy mô cực lớn, đạt đỉnh 7,3 Tbps (terabit trên giây) và 4,8 tỷ gói tin mỗi giây (Bpps) chỉ trong vòng 45 giây.

Những đợt tăng lưu lượng truy cập lớn như vậy thường thu hút sự chú ý, nhưng điều thường bị bỏ qua là cách kẻ tấn công kết hợp chúng với các thăm dò nhỏ hơn, có mục tiêu. Thay vì chỉ đơn thuần áp đảo hệ thống bằng vũ lực, chúng trộn lẫn các cuộc tấn công quy mô lớn với các quét lặng lẽ để tìm điểm yếu và vượt qua các biện pháp phòng thủ chỉ được xây dựng để chặn những mối đe dọa rõ ràng.

Số lượng các cuộc tấn công DDoS ở lớp 3/lớp 4 (L3/4) đã giảm 81% so với quý trước, xuống còn 3,2 triệu, trong khi các cuộc tấn công DDoS HTTP tăng 9%, lên 4,1 triệu. Hơn 70% các cuộc tấn công DDoS HTTP xuất phát từ các botnet đã biết. Các vectơ tấn công L3/4 phổ biến nhất là các cuộc tấn công flood (lũ) được thực hiện qua các giao thức DNS, TCP SYN và UDP.

Các nhà cung cấp dịch vụ viễn thông và các nhà mạng là những mục tiêu bị tấn công nhiều nhất, tiếp theo là các lĩnh vực Internet, dịch vụ CNTT, trò chơi và cờ bạc.

Trung Quốc, Brazil, Đức, Ấn Độ, Hàn Quốc, Thổ Nhĩ Kỳ, Hồng Kông, Việt Nam, Nga và Azerbaijan là những địa điểm bị tấn công nhiều nhất dựa trên quốc gia thanh toán của khách hàng Cloudflare. Indonesia, Singapore, Hồng Kông, Argentina và Ukraine là năm nguồn tấn công DDoS hàng đầu.

Công ty bảo mật và cơ sở hạ tầng web này cũng tiết lộ rằng số lượng các cuộc tấn công DDoS siêu lớn vượt quá 100 triệu gói tin mỗi giây (pps) đã tăng 592% so với quý trước.

Một khía cạnh quan trọng khác là sự gia tăng 68% trong các cuộc tấn công DDoS tống tiền (ransom DDoS attack), xảy ra khi những kẻ xấu cố gắng tống tiền một tổ chức bằng cách đe dọa họ bằng một cuộc tấn công DDoS. Nó cũng bao gồm các kịch bản mà các cuộc tấn công được thực hiện và tiền chuộc được yêu cầu để ngăn chặn nó xảy ra nữa.

Cloudflare cho biết: “Mặc dù phần lớn các cuộc tấn công DDoS có quy mô nhỏ, nhưng các cuộc tấn công DDoS siêu lớn đang tăng về quy mô và tần suất. Sáu trên 100 cuộc tấn công DDoS HTTP vượt quá 1 triệu yêu cầu mỗi giây (rps) và 5 trên 10.000 cuộc tấn công DDoS L3/4 vượt quá 1 Tbps – tăng 1.150% so với quý trước.”

Công ty cũng đã kêu gọi sự chú ý đến một biến thể botnet có tên là DemonBot, lây nhiễm các hệ thống dựa trên Linux, chủ yếu là các thiết bị IoT không được bảo mật, thông qua các cổng mở hoặc thông tin đăng nhập yếu để đưa chúng vào một botnet DDoS có thể thực hiện các cuộc tấn công flood UDP, TCP và lớp ứng dụng.

Công ty cho biết thêm: “Các cuộc tấn công thường được điều khiển bằng lệnh và kiểm soát (C2) và có thể tạo ra lưu lượng truy cập lớn, thường nhắm mục tiêu vào các dịch vụ trò chơi, lưu trữ hoặc doanh nghiệp. Để tránh bị nhiễm, hãy sử dụng phần mềm diệt virus và lọc tên miền.”

Các vectơ lây nhiễm như những vectơ mà DemonBot khai thác làm nổi bật những thách thức lớn hơn với việc phơi nhiễm IoT không được bảo mật, thông tin đăng nhập SSH yếu và phần sụn lỗi thời—những chủ đề phổ biến trong sự gia tăng của botnet DDoS. Các chiến lược tấn công liên quan, chẳng hạn như phản xạ TCP, khuếch đại DNS và trốn tránh lớp bùng nổ, ngày càng được thảo luận trong các báo cáo về mối đe dọa lớp ứng dụng và phân tích bảo mật API của Cloudflare.

Giải thích thuật ngữ:

• DDoS (Distributed Denial of Service): Một loại tấn công mạng khiến một dịch vụ trực tuyến trở nên không khả dụng bằng cách làm ngập nó với lưu lượng truy cập từ nhiều nguồn khác nhau.
• Botnet: Một mạng lưới các máy tính bị nhiễm phần mềm độc hại, cho phép kẻ tấn công điều khiển chúng từ xa mà chủ sở hữu không hề hay biết.
• Tbps (Terabits per second): Đơn vị đo tốc độ truyền dữ liệu, thường được sử dụng để chỉ băng thông mạng.
• Bpps (Billions of Packets per second): Đơn vị đo số lượng gói tin dữ liệu được truyền qua mạng mỗi giây.
• Lớp 3/Lớp 4 (L3/4): Các lớp trong mô hình OSI (Mô hình kết nối hệ thống mở) liên quan đến việc truyền dữ liệu qua mạng (lớp Mạng và lớp Giao vận).
• HTTP DDoS: Tấn công DDoS nhắm vào lớp ứng dụng (HTTP), thường sử dụng các yêu cầu HTTP để làm quá tải máy chủ.
• UDP, TCP, DNS: Các giao thức mạng được sử dụng để truyền dữ liệu trên Internet.
• IoT (Internet of Things): Các thiết bị vật lý được kết nối với Internet, cho phép chúng thu thập và chia sẻ dữ liệu.
• SSH: Một giao thức mạng mã hóa cho phép người dùng đăng nhập vào một máy tính khác qua mạng một cách an toàn.