Cloudflare, một công ty Mỹ chuyên bảo mật các dịch vụ web, gần đây đã ngăn chặn được một cuộc tấn công mạng "khủng khiếp": với mức đỉnh điểm là 7,3 terabit mỗi giây, đây rõ ràng là cuộc tấn công DDoS lớn nhất từng được các dịch vụ của công ty ghi nhận về mặt thông lượng.
Một bộ phận đáng kể trong xã hội hiện đại của chúng ta phụ thuộc vào các dịch vụ kỹ thuật số đã trở nên gần như không thể thiếu đối với hoạt động của xã hội. Ví dụ bao gồm DNS, đóng vai trò trung tâm trong việc duyệt web, nhà cung cấp dịch vụ lưu trữ, dịch vụ tài chính như SWIFT, nơi mà phần lớn các giao dịch toàn cầu được thực hiện, cũng như một số lượng lớn các dịch vụ khẩn cấp... Nếu một hoặc nhiều trong số những dịch vụ này bị ngừng hoạt động do một cuộc tấn công mạng, thậm chí chỉ là tạm thời, chúng ta sẽ phải đối mặt với sự gián đoạn đáng kể, với những hậu quả thực sự về kinh tế, hậu cần và an ninh.
Vì những lý do hiển nhiên, hầu hết các dịch vụ này đều được bảo vệ cực kỳ tốt. Chúng nằm trong các pháo đài kỹ thuật số thực sự, gần như không thể xâm nhập, ngay cả đối với những tin tặc dày dạn kinh nghiệm.
Đây là một loại tấn công có thể khó phòng thủ, vì DDoS khai thác "các lỗ hổng" hoàn toàn cần thiết cho hoạt động của các dịch vụ này: các điểm vào công khai cho phép người dùng hợp pháp truy cập vào chúng.
Hãy tưởng tượng một pháo đài thời trung cổ đại diện cho một trong những dịch vụ này. Nó có thể được bao quanh bởi những bức tường rất cao, có lính canh rất cẩn thận và được trang bị những ổ khóa gần như không thể phá được: ngay cả vua trộm cũng sẽ khó có thể xâm nhập vào đó.
Nhưng ngay cả những pháo đài được bảo vệ tốt nhất cũng luôn cần một cánh cửa ra vào. Nếu mục tiêu của kẻ trốn học không phải là ăn cắp thứ gì đó mà chỉ muốn gieo rắc sự bất hòa, thì do đó, hắn có thể tuyển mộ một đám đông gồm hàng nghìn dân làng vô cùng tức giận, những người sẽ đến và tụ tập trước cửa sập. Những người bảo vệ, hoàn toàn bị áp đảo, không còn có thể làm tốt công việc của mình nữa và buộc phải đóng hoàn toàn lối vào. Kết quả: không có sự xâm nhập nào xảy ra, nhưng những du khách hợp pháp không thể vào và mọi hoạt động hàng ngày (thương mại, họp chính trị, nghi lễ tôn giáo, v.v.) đều bị gián đoạn.
Theo thuật ngữ kỹ thuật số, đám đông này thường được thể hiện bằng cái gọi là botnet — một đội quân máy tính thây ma trước đó đã bị tin tặc lây nhiễm. Sau đó, chúng bị khai thác để tham gia vào một cuộc tấn công phối hợp quy mô lớn bằng cách đồng thời gửi hàng nghìn yêu cầu không cần thiết, với mục đích vượt quá khả năng xử lý tất cả lưu lượng truy cập này của máy chủ.
Theo Cloudflare, cuộc tấn công bắt nguồn từ một mạng botnet rất lớn. Trung bình, hơn 26.500 địa chỉ IP kết nối với mục tiêu mỗi giây, với đỉnh điểm là hơn 45.000. Phần lớn các thiết bị bị ảnh hưởng nằm ở Brazil, Việt Nam và ở mức độ thấp hơn là ở Đài Loan và Trung Quốc.
May mắn thay, cuộc tấn công quy mô lớn này đã bị ngăn chặn trong thời gian thực và các dịch vụ của khách hàng có liên quan (danh tính của khách hàng này chưa được tiết lộ vì lý do riêng tư) không bị ảnh hưởng. Nhưng những con số này vẫn phản ánh một xu hướng khá đáng lo ngại.
Azure: Microsoft đã ngăn chặn cuộc tấn công DDoS lớn nhất từng được ghi nhận
Chắc chắn, ngày nay, những người bảo vệ vẫn có khả năng chuyển hướng lớn hơn nhiều (thường ở mức vài chục Tbps). Do đó, trong ngắn hạn, rủi ro gián đoạn trên quy mô toàn cầu vẫn rất thấp. Nhưng quy mô của các mạng botnet và khối lượng lưu lượng mà chúng có khả năng tạo ra dường như đang tăng nhanh hơn khả năng phòng thủ này. Ngoài khối lượng dữ liệu thô, trên hết tốc độ lạm phát này là điều đáng lo ngại.
Hơn nữa, các cuộc tấn công DDoS đang ngày càng trở nên tinh vi. Ví dụ, tin tặc không còn chỉ muốn chiếm hết băng thông khả dụng nữa. Chúng ngày càng tập trung vào các yêu cầu có mục tiêu kích hoạt các quy trình nặng, với mục đích làm cạn kiệt CPU hoặc RAM của máy chủ.
Trong bối cảnh này, chỉ một số ít các công ty toàn cầu, chẳng hạn như Cloudflare hoặc Google, có thể theo kịp. Nếu điều này xảy ra, chúng ta có thể thấy mình đang ở trong tình huống quá tập trung vào bảo mật, với hậu quả có thể rất khủng khiếp nếu một mắt xích trong chuỗi này bị hỏng.
Tóm lại, DDoS không còn là vấn đề kỹ thuật đơn giản dành riêng cho các kỹ sư mạng nữa: đây là vấn đề mang tính hệ thống ngày càng đe dọa đến sự ổn định của các xã hội kết nối của chúng ta. Do đó, sẽ rất thú vị khi theo dõi cả sự phát triển của các kỹ thuật và cơ sở hạ tầng phòng thủ, hy vọng rằng chúng sẽ vẫn có khả năng ngăn chặn một thảm họa kỹ thuật số thực sự.
Một bộ phận đáng kể trong xã hội hiện đại của chúng ta phụ thuộc vào các dịch vụ kỹ thuật số đã trở nên gần như không thể thiếu đối với hoạt động của xã hội. Ví dụ bao gồm DNS, đóng vai trò trung tâm trong việc duyệt web, nhà cung cấp dịch vụ lưu trữ, dịch vụ tài chính như SWIFT, nơi mà phần lớn các giao dịch toàn cầu được thực hiện, cũng như một số lượng lớn các dịch vụ khẩn cấp... Nếu một hoặc nhiều trong số những dịch vụ này bị ngừng hoạt động do một cuộc tấn công mạng, thậm chí chỉ là tạm thời, chúng ta sẽ phải đối mặt với sự gián đoạn đáng kể, với những hậu quả thực sự về kinh tế, hậu cần và an ninh.
Vì những lý do hiển nhiên, hầu hết các dịch vụ này đều được bảo vệ cực kỳ tốt. Chúng nằm trong các pháo đài kỹ thuật số thực sự, gần như không thể xâm nhập, ngay cả đối với những tin tặc dày dạn kinh nghiệm.
Tấn công DDoS là gì?
Để tác động đến hoạt động của mình, những kẻ tấn công có thể sử dụng một kỹ thuật khác: tấn công DDoS, viết tắt của Từ chối dịch vụ phân tán, bao gồm làm ngập mạng mục tiêu bằng các yêu cầu vô dụng để bão hòa mạng đó. Nếu cuộc tấn công đủ lớn, mạng sẽ trở nên tê liệt và tất cả các dịch vụ liên quan đều bị gián đoạn mà tin tặc không cần phải tìm ra lỗ hổng trong hệ thống phòng thủ.Đây là một loại tấn công có thể khó phòng thủ, vì DDoS khai thác "các lỗ hổng" hoàn toàn cần thiết cho hoạt động của các dịch vụ này: các điểm vào công khai cho phép người dùng hợp pháp truy cập vào chúng.
Hãy tưởng tượng một pháo đài thời trung cổ đại diện cho một trong những dịch vụ này. Nó có thể được bao quanh bởi những bức tường rất cao, có lính canh rất cẩn thận và được trang bị những ổ khóa gần như không thể phá được: ngay cả vua trộm cũng sẽ khó có thể xâm nhập vào đó.
Nhưng ngay cả những pháo đài được bảo vệ tốt nhất cũng luôn cần một cánh cửa ra vào. Nếu mục tiêu của kẻ trốn học không phải là ăn cắp thứ gì đó mà chỉ muốn gieo rắc sự bất hòa, thì do đó, hắn có thể tuyển mộ một đám đông gồm hàng nghìn dân làng vô cùng tức giận, những người sẽ đến và tụ tập trước cửa sập. Những người bảo vệ, hoàn toàn bị áp đảo, không còn có thể làm tốt công việc của mình nữa và buộc phải đóng hoàn toàn lối vào. Kết quả: không có sự xâm nhập nào xảy ra, nhưng những du khách hợp pháp không thể vào và mọi hoạt động hàng ngày (thương mại, họp chính trị, nghi lễ tôn giáo, v.v.) đều bị gián đoạn.
Theo thuật ngữ kỹ thuật số, đám đông này thường được thể hiện bằng cái gọi là botnet — một đội quân máy tính thây ma trước đó đã bị tin tặc lây nhiễm. Sau đó, chúng bị khai thác để tham gia vào một cuộc tấn công phối hợp quy mô lớn bằng cách đồng thời gửi hàng nghìn yêu cầu không cần thiết, với mục đích vượt quá khả năng xử lý tất cả lưu lượng truy cập này của máy chủ.
Một cuộc tấn công DDoS kỷ lục với mức đỉnh điểm là 7,3 Tbps
Nếu botnet đủ lớn, khối lượng lưu lượng truy cập có thể nhanh chóng đạt đến mức ngoạn mục — và báo cáo mới nhất của Cloudflare là một ví dụ điển hình. Công ty tuyên bố rằng vào tháng 5 năm ngoái, các dịch vụ chống DDoS của họ đã ngăn chặn được một cuộc tấn công lớn. Tổng cộng, 21.925 cổng trên địa chỉ IP của khách hàng đã bị tràn ngập bởi luồng dữ liệu 37,4 TB, tương đương với hơn 9.000 bộ phim truyện HD... chỉ trong 45 giây, với tổng thông lượng đạt 7,3 Tbps.
Theo Cloudflare, cuộc tấn công bắt nguồn từ một mạng botnet rất lớn. Trung bình, hơn 26.500 địa chỉ IP kết nối với mục tiêu mỗi giây, với đỉnh điểm là hơn 45.000. Phần lớn các thiết bị bị ảnh hưởng nằm ở Brazil, Việt Nam và ở mức độ thấp hơn là ở Đài Loan và Trung Quốc.
May mắn thay, cuộc tấn công quy mô lớn này đã bị ngăn chặn trong thời gian thực và các dịch vụ của khách hàng có liên quan (danh tính của khách hàng này chưa được tiết lộ vì lý do riêng tư) không bị ảnh hưởng. Nhưng những con số này vẫn phản ánh một xu hướng khá đáng lo ngại.
Một sự bế tắc ngày càng khó khăn
Thật vậy, trong những năm gần đây, chúng ta đã thấy tin tặc quản lý để phối hợp các cuộc tấn công DDoS ngày càng lớn, với khối lượng dữ liệu tiếp tục bùng nổ. Vào đầu những năm 2020, mốc Tbps đã bị vượt qua lần đầu tiên. Hai năm sau, kỷ lục đã tăng gấp ba lần. Vào năm 2024, nó đã vượt quá 5 Tbps. Và kể từ tháng 1 năm 2025, ba cuộc tấn công vượt quá 6 Tbps đã được ghi nhận.Azure: Microsoft đã ngăn chặn cuộc tấn công DDoS lớn nhất từng được ghi nhận
Chắc chắn, ngày nay, những người bảo vệ vẫn có khả năng chuyển hướng lớn hơn nhiều (thường ở mức vài chục Tbps). Do đó, trong ngắn hạn, rủi ro gián đoạn trên quy mô toàn cầu vẫn rất thấp. Nhưng quy mô của các mạng botnet và khối lượng lưu lượng mà chúng có khả năng tạo ra dường như đang tăng nhanh hơn khả năng phòng thủ này. Ngoài khối lượng dữ liệu thô, trên hết tốc độ lạm phát này là điều đáng lo ngại.
Hơn nữa, các cuộc tấn công DDoS đang ngày càng trở nên tinh vi. Ví dụ, tin tặc không còn chỉ muốn chiếm hết băng thông khả dụng nữa. Chúng ngày càng tập trung vào các yêu cầu có mục tiêu kích hoạt các quy trình nặng, với mục đích làm cạn kiệt CPU hoặc RAM của máy chủ.
Trong bối cảnh này, chỉ một số ít các công ty toàn cầu, chẳng hạn như Cloudflare hoặc Google, có thể theo kịp. Nếu điều này xảy ra, chúng ta có thể thấy mình đang ở trong tình huống quá tập trung vào bảo mật, với hậu quả có thể rất khủng khiếp nếu một mắt xích trong chuỗi này bị hỏng.
Tóm lại, DDoS không còn là vấn đề kỹ thuật đơn giản dành riêng cho các kỹ sư mạng nữa: đây là vấn đề mang tính hệ thống ngày càng đe dọa đến sự ổn định của các xã hội kết nối của chúng ta. Do đó, sẽ rất thú vị khi theo dõi cả sự phát triển của các kỹ thuật và cơ sở hạ tầng phòng thủ, hy vọng rằng chúng sẽ vẫn có khả năng ngăn chặn một thảm họa kỹ thuật số thực sự.
