Tấn công DDoS

A Tấn công từ chối dịch vụ phân tán (DDoS) tấn công mục tiêu với nhiều lưu lượng truy cập hơn mức nó có thể xử lý, làm cạn kiệt băng thông, CPU hoặc dung lượng ứng dụng. Do lưu lượng truy cập đến từ nhiều nguồn (thường là hàng chục nghìn thiết bị bị xâm nhập hoạt động như một mạng botnet hoặc khuếch đại thông qua các máy chủ bị định cấu hình sai), nên việc lọc tại đích không hoạt động — cuộc tấn công phải được hấp thụ hoặc loại bỏ ngược dòng.

Ba lớp tấn công

DDoS tấn công nhắm vào một trong ba lớp:

• Volumetric (Lớp 3/4) attack — tràn ngập mạng bằng các gói thô để bão hòa băng thông. Lũ UDP, lũ ICMP, lũ SYN. Thường dựa trên sự khuếch đại: một yêu cầu nhỏ tới máy chủ bị định cấu hình sai sẽ tạo ra một phản hồi lớn tới IP nguồn giả mạo (nạn nhân).
• Protocol tấn công — khai thác điểm yếu trong chính các giao thức. Slowloris giữ hàng nghìn kết nối TCP mở mà không cần hoàn thành chúng; Các cuộc tấn công đàm phán lại SSL buộc các hoạt động tiền điện tử tốn kém.
• Tấn công lớp ứng dụng (Lớp 7) — trông giống như lưu lượng người dùng hợp pháp nhưng được thiết kế để làm cạn kiệt tài nguyên ứng dụng. Lũ HTTP, truy vấn tìm kiếm tốn kém, yêu cầu lặp lại tới các điểm cuối động làm thiếu bộ đệm.

Các cuộc tấn công theo khối lượng tạo ra tin tức lớn nhất (lớp Tbps) nhưng các cuộc tấn công ở lớp ứng dụng thường gây thiệt hại nhiều hơn vì chúng khó lọc hơn mà không ảnh hưởng đến người dùng thực.

Amplification: tạo ra các trận lũ nhỏ rất lớn

Các cuộc tấn công DDoS lớn nhất dựa vào amplification: kẻ tấn công gửi một yêu cầu UDP nhỏ có IP nguồn giả mạo (địa chỉ của nạn nhân) đến máy chủ và trả về phản hồi lớn hơn nhiều. Nạn nhân nhận được phản hồi khổng lồ và không biết yêu cầu ban đầu đến từ đâu. Hệ số khuếch đại:

• DNS — khuếch đại 50–100× với phản hồi EDNS0 và DNSSEC
• NTP monlist — lên tới 500× (đã được vá từ lâu nhưng các máy chủ cũ vẫn còn tồn tại)
• memcached — trước đây lên tới 50.000× vào năm 2018; hầu hết đã được vá ngay bây giờ
• CLDAP — khoảng 50×
• SSDP/UPnP — khoảng 30×

Các cuộc tấn công DDoS được tiết lộ công khai lớn nhất đều dựa vào sự khuếch đại kết hợp với botnet, đạt đỉnh trên 3 Tbps. Vụ lớn nhất vào năm 2025 đã phá vỡ 5 Tbps.

Botnet: nơi lưu lượng truy cập đến từ

Đằng sau hầu hết các cuộc tấn công lớn: một mạng botnet gồm các thiết bị bị xâm nhập. Các thiết bị IoT (Camera an ninh, bộ định tuyến, TV thông minh, DVR) là những mục tiêu dễ dàng vì chúng được cung cấp thông tin xác thực mặc định và hiếm khi nhận được các bản cập nhật bảo mật. Botnet Mirai (2016) đã xâm phạm hàng trăm nghìn thiết bị IoT và được sử dụng trong các cuộc tấn công Krebs và OVH nổi tiếng. Mã nguồn của Mirai đã bị rò rỉ công khai và hàng chục công cụ phái sinh vẫn hoạt động. Các botnet

Modern cũng bao gồm các máy chủ đám mây bị xâm nhập, máy ảo thu được bằng thẻ tín dụng bị đánh cắp và proxy dân cư (dịch vụ IP di động được thuê botnet một cách hiệu quả).

Stresser/dịch vụ khởi động

Với giá dưới 50 USD một tháng, bất kỳ ai cũng có thể thuê khả năng tấn công từ "booter" hoặc dịch vụ "căng thẳng". Tiếp thị khẳng định chúng là để kiểm tra mức độ căng thẳng một cách hợp pháp; trên thực tế, phần lớn khách hàng tấn công trang web của người khác. Một số yếu tố gây căng thẳng lớn đã được cơ quan thực thi pháp luật quốc tế gỡ bỏ, nhưng những yếu tố mới sẽ thay thế chúng trong vòng vài tháng. Nguồn cung quá rẻ và nhu cầu quá ổn định để biến mất.

Cách hoạt động của cơ chế bảo vệ DDoS

Việc bảo vệ một trang web khỏi các cuộc tấn công nhiều Tbps là không thể — không có trang web bình thường nào có nhiều băng thông đến vậy. Biện pháp bảo vệ là đặt biện pháp bảo vệ trước trang web tại một nhà cung cấp có dung lượng lớn hơn rất nhiều:

• BGP định tuyến lại / blackholing — rút các tuyến đến IP được nhắm mục tiêu, loại bỏ tất cả lưu lượng truy cập. Hữu ích như là phương sách cuối cùng nhưng ngắt kết nối nạn nhân hoàn toàn.
• Trung tâm quét — Cloudflare, Akamai, AWS Shield, Imperva và các cơ sở khác duy trì các cơ sở lớn nơi lưu lượng truy cập đến được lọc. Lưu lượng hợp pháp được chuyển tiếp đến nguồn gốc; lưu lượng tấn công bị giảm.
• Rate giới hạn — ở rìa CDN, giới hạn tỷ lệ yêu cầu trên mỗi IP để ngăn chặn lũ lụt lớp ứng dụng.
• Thử thách JavaScript — đưa ra một thách thức tính toán ngắn mà các trình duyệt thực hoàn thành một cách vô hình nhưng hầu hết các bot thì không.
• CAPTCHA dự phòng — đối với lưu lượng truy cập đáng ngờ, hãy yêu cầu con người xác minh.

Các nhà cung cấp CDN/WAF lớn có thể xử lý các cuộc tấn công ở bất kỳ quy mô nào đã được thấy trong tự nhiên — Dung lượng mạng của Cloudflare vượt quá 300 Tbps kể từ năm 2026.

Bạn có thể làm gì với tư cách là một trang web nhỏ operator

• Đứng sau CDN với tính năng bảo vệ DDoS — Cấp miễn phí của Cloudflare bao gồm khả năng bảo vệ cơ bản cho các trang web nhỏ; các bậc trả phí và các nhà cung cấp khác (Akamai, Fastly) xử lý nhiều hơn.
• Hide nguồn gốc của bạn IP — chỉ cho phép lưu lượng truy cập từ dải IP của CDN; từ chối kết nối trực tiếp.
• Sử dụng chính sách giới hạn tỷ lệ hợp lý — nhiều bậc CDN miễn phí đưa ra giới hạn tỷ lệ cơ bản.
• Hãy kiên nhẫn khi bị tấn công — phòng thủ tấn công, kẻ tấn công hết tiền hoặc cảm thấy chán nản.

Cuộc chạy đua vũ trang tiếp tục

2024–2026 chứng kiến các danh mục tấn công mới: các cuộc tấn công "Đặt lại nhanh" HTTP/2 khai thác các điểm yếu của giao thức, các cuộc tấn công lớp 7 do AI tạo ra để bắt chước hành vi của con người và các cuộc tấn công lớp 3 siêu âm lượng được thực hiện thông qua các máy ảo đám mây bị tấn công. Những người bảo vệ đã ứng phó bằng cách lọc hành vi thông minh hơn, giảm nhẹ bằng phần cứng và hợp tác chặt chẽ hơn giữa các nhà cung cấp. Xu hướng ròng: các cuộc tấn công nhỏ rẻ hơn bao giờ hết, nhưng các trang web được bảo vệ tốt cũng phục hồi nhanh hơn bao giờ hết.