Love AI
New member
Năm 2025 chứng kiến sự thay đổi lớn của các cuộc tấn công DDoS: lưu lượng terabit trở thành hiện thực hàng ngày, chiến thuật tấn công tự động hóa và nguồn phát tấn công dịch chuyển sang mạng proxy dân dụng. Hệ phòng thủ truyền thống không còn kịp ứng phó nếu không tự động hóa và đưa khả năng xử lý về sát biên mạng.
Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) ở quy mô terabit đã chuyển từ sự kiện hiếm thành hiện tượng hằng ngày đối với các nhà cung cấp viễn thông lớn. Đầu tiên xuất hiện cuộc tấn công vượt 10 Tbps vào tháng Chín, và chỉ sau một tháng là các sự cố vượt 30 Tbps được ghi nhận. Ngành đang phải chuẩn bị cho mốc 100 Tbps không còn là lý thuyết mà trở thành điều gần như tất yếu.
So với 2024, khi khoảng 44% chiến dịch DDoS kết thúc trong vòng năm phút, năm nay con số đó đã tăng lên 78% và hơn một phần ba kết thúc trong dưới hai phút. Nếu hệ thống phát hiện và giảm thiểu không phản hồi ở biên mạng trong vòng 60 giây, bạn thực chất đang làm phân tích sau sự cố chứ không phải phòng thủ kịp thời.
Đó không phải vì kẻ tấn công lười biếng mà vì họ đã tự động hóa hoàn toàn chiến dịch: các cuộc tấn công được điều phối bằng thuật toán, luân phiên các vector tấn công nhanh hơn khả năng phản ứng thủ công. Một ví dụ điển hình: mở đầu bằng TCP carpet bombing, chuyển sang UDP flood khi phát hiện biện pháp đối phó, thêm DNS amplification, rồi kết thúc bằng SYN flood tốc độ cao — tất cả trong vòng ba phút, mỗi đợt được hiệu chỉnh dựa trên ngưỡng phản ứng của bên phòng thủ.
Hệ thống tấn công còn theo dõi hành vi của người phòng thủ theo thời gian thực và điều chỉnh tham số tương tự như các thuật toán giao dịch tần suất cao: khi bạn kích hoạt biện pháp, chúng quay sang chiêu khác; khi bạn thích nghi, chúng tiếp tục chuyển hướng.
Khi trước, botnet DDoS chủ yếu tận dụng thiết bị IoT bị xâm nhập như camera, DVR hay router lộ cổng. Tuy nhiên xu hướng đã đổi chiều. Mạng proxy dân dụng (residential proxy) đã tập hợp quy mô lớn hơn nhiều: ước tính 100–200 triệu điểm cuối tiêu dùng có khả năng phát lại lưu lượng theo lệnh. Đây không phải là server hở mà là các thiết bị gia đình bình thường (TV box Android rẻ tiền chạy firmware không chính chủ, điện thoại di động dùng ứng dụng VPN “miễn phí”, router gia đình có backdoor) nằm sau NAT, gần như vô hình với việc quét bên ngoài.
Động lực kinh tế giải thích hiện tượng này: các công ty AI và các dịch vụ cần thu thập dữ liệu yêu cầu hàng triệu địa chỉ IP quay vòng liên tục để tránh bị phát hiện. Dịch vụ proxy dân dụng đáp ứng chính xác nhu cầu đó và tạo nên một thị trường xám có lợi nhuận, thu hút kẻ xấu. Các điểm cuối bị chiếm dụng ban đầu được dùng làm cửa ra proxy có giá trị, tạo doanh thu; khi IP giảm uy tín do sử dụng lặp lại, cùng endpoint đó sẽ được chuyển sang dịch vụ DDoS thuê theo yêu cầu — mỗi node được “kiếm tiền” hai lần.
Quy mô là điều đáng sợ: khoảng 4% kết nối internet gia đình toàn cầu hiện có thể trở thành cơ sở hạ tầng tấn công tiềm ẩn. Riêng Brazil có khoảng 25 triệu node proxy. Tổng băng thông lý thuyết của các mạng này vượt 100 Tbps — lớn hơn khả năng hấp thụ của nhiều hạ tầng lõi quốc gia. Thêm vào đó, việc triển khai cáp quang đối xứng gigabit càng làm tăng băng thông upstream trung bình trên mỗi điểm bị chiếm dụng, tăng 75% so với năm trước ở Bắc Mỹ.
Phòng thủ DDoS truyền thống không còn phù hợp: sổ tay thủ công và cửa sổ phản ứng 15 phút dựa trên giả định tấn công kéo dài là không đủ. Ba yếu tố tổ chức cần chấp nhận và triển khai ngay:
Nếu tổ chức không thích nghi theo ba trục này — tự động hóa, mở rộng biên và phân tích hành vi thông minh — thì hậu quả là các dịch vụ sẽ bị gián đoạn ngày càng thường xuyên trước áp lực lưu lượng ngày càng lớn và tinh vi.
Tổng quan
Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) ở quy mô terabit đã chuyển từ sự kiện hiếm thành hiện tượng hằng ngày đối với các nhà cung cấp viễn thông lớn. Đầu tiên xuất hiện cuộc tấn công vượt 10 Tbps vào tháng Chín, và chỉ sau một tháng là các sự cố vượt 30 Tbps được ghi nhận. Ngành đang phải chuẩn bị cho mốc 100 Tbps không còn là lý thuyết mà trở thành điều gần như tất yếu.
Tốc độ và hành vi tấn công
So với 2024, khi khoảng 44% chiến dịch DDoS kết thúc trong vòng năm phút, năm nay con số đó đã tăng lên 78% và hơn một phần ba kết thúc trong dưới hai phút. Nếu hệ thống phát hiện và giảm thiểu không phản hồi ở biên mạng trong vòng 60 giây, bạn thực chất đang làm phân tích sau sự cố chứ không phải phòng thủ kịp thời.
Đó không phải vì kẻ tấn công lười biếng mà vì họ đã tự động hóa hoàn toàn chiến dịch: các cuộc tấn công được điều phối bằng thuật toán, luân phiên các vector tấn công nhanh hơn khả năng phản ứng thủ công. Một ví dụ điển hình: mở đầu bằng TCP carpet bombing, chuyển sang UDP flood khi phát hiện biện pháp đối phó, thêm DNS amplification, rồi kết thúc bằng SYN flood tốc độ cao — tất cả trong vòng ba phút, mỗi đợt được hiệu chỉnh dựa trên ngưỡng phản ứng của bên phòng thủ.
Hệ thống tấn công còn theo dõi hành vi của người phòng thủ theo thời gian thực và điều chỉnh tham số tương tự như các thuật toán giao dịch tần suất cao: khi bạn kích hoạt biện pháp, chúng quay sang chiêu khác; khi bạn thích nghi, chúng tiếp tục chuyển hướng.
Nguồn gốc lưu lượng: từ IoT tới proxy dân dụng
Khi trước, botnet DDoS chủ yếu tận dụng thiết bị IoT bị xâm nhập như camera, DVR hay router lộ cổng. Tuy nhiên xu hướng đã đổi chiều. Mạng proxy dân dụng (residential proxy) đã tập hợp quy mô lớn hơn nhiều: ước tính 100–200 triệu điểm cuối tiêu dùng có khả năng phát lại lưu lượng theo lệnh. Đây không phải là server hở mà là các thiết bị gia đình bình thường (TV box Android rẻ tiền chạy firmware không chính chủ, điện thoại di động dùng ứng dụng VPN “miễn phí”, router gia đình có backdoor) nằm sau NAT, gần như vô hình với việc quét bên ngoài.
Động lực kinh tế giải thích hiện tượng này: các công ty AI và các dịch vụ cần thu thập dữ liệu yêu cầu hàng triệu địa chỉ IP quay vòng liên tục để tránh bị phát hiện. Dịch vụ proxy dân dụng đáp ứng chính xác nhu cầu đó và tạo nên một thị trường xám có lợi nhuận, thu hút kẻ xấu. Các điểm cuối bị chiếm dụng ban đầu được dùng làm cửa ra proxy có giá trị, tạo doanh thu; khi IP giảm uy tín do sử dụng lặp lại, cùng endpoint đó sẽ được chuyển sang dịch vụ DDoS thuê theo yêu cầu — mỗi node được “kiếm tiền” hai lần.
Quy mô và hệ quả
Quy mô là điều đáng sợ: khoảng 4% kết nối internet gia đình toàn cầu hiện có thể trở thành cơ sở hạ tầng tấn công tiềm ẩn. Riêng Brazil có khoảng 25 triệu node proxy. Tổng băng thông lý thuyết của các mạng này vượt 100 Tbps — lớn hơn khả năng hấp thụ của nhiều hạ tầng lõi quốc gia. Thêm vào đó, việc triển khai cáp quang đối xứng gigabit càng làm tăng băng thông upstream trung bình trên mỗi điểm bị chiếm dụng, tăng 75% so với năm trước ở Bắc Mỹ.
Những gì cần thay đổi trong phòng thủ
Phòng thủ DDoS truyền thống không còn phù hợp: sổ tay thủ công và cửa sổ phản ứng 15 phút dựa trên giả định tấn công kéo dài là không đủ. Ba yếu tố tổ chức cần chấp nhận và triển khai ngay:
- Tự động hóa: con người không thể theo kịp tốc độ tấn công thuật toán.
- Qui mô: cần khả năng hấp thụ lưu lượng ở mức terabit ngay tại biên mạng, thay vì chuyển về trung tâm làm sạch từ xa.
- Tích hợp trí tuệ và phân tích hành vi: để phân biệt lưu lượng tấn công từ địa chỉ residential trông giống lưu lượng hợp pháp, cần phân tích hành vi chứ không chỉ dựa vào danh sách đen tĩnh hay ngưỡng cố định.
Nếu tổ chức không thích nghi theo ba trục này — tự động hóa, mở rộng biên và phân tích hành vi thông minh — thì hậu quả là các dịch vụ sẽ bị gián đoạn ngày càng thường xuyên trước áp lực lưu lượng ngày càng lớn và tinh vi.
Bài viết liên quan