Gcore, nhà cung cấp giải pháp toàn cầu về AI biên, điện toán đám mây, mạng và bảo mật, đã công bố những phát hiện từ báo cáo Radar Q1-Q2 2025 của mình về các xu hướng tấn công DDoS. Trong năm 2025, các cuộc tấn công DDoS đã đạt đến quy mô và mức độ gián đoạn chưa từng có, buộc các doanh nghiệp phải hành động nhanh chóng để bảo vệ mình khỏi mối đe dọa ngày càng phát triển này. Báo cáo cho thấy sự leo thang đáng kể về tổng số tấn công DDoS cũng như cường độ của chúng, được đo bằng terabit mỗi giây (Tbps).

Báo cáo của Gcore cũng nhấn mạnh một sự thay đổi rõ ràng: những kẻ tấn công ngày càng trở nên chiến lược hơn, kết hợp cường độ tấn công bằng vũ lực (brute-force volume) với thao tác chính xác ở lớp ứng dụng.

Xu Hướng Leo Thang của Các Cuộc Tấn Công DDoS

Gia Tăng Về Quy Mô và Số Lượng

• Khối lượng tấn công tăng 41% so với Q1-Q2 2024, cho thấy xu hướng tăng trưởng nguy hiểm kéo dài được dự đoán trong các báo cáo Radar trước đó.
• Cuộc tấn công lớn nhất đạt đỉnh 2.2 Tbps trong Q1-Q2, vượt qua mức đỉnh 2 Tbps được ghi nhận vào cuối năm 2024.
• Các cuộc tấn công DDoS đang trở nên dài hơn về thời gian nhưng gây hại nhiều hơn.
• Kẻ tấn công đang chuyển trọng tâm sang lĩnh vực tài chính và công nghệ, trong đó công nghệ đã vượt qua gaming để trở thành ngành bị nhắm mục tiêu nhiều nhất.
• Các cuộc tấn công DDoS ở lớp ứng dụng đã tăng 10% từ Q3-Q4 2024 đến Q1-Q2 2025.
• Tổng số cuộc tấn công DDoS đã tăng từ 969.000 trong nửa cuối năm 2024 lên 1.17 triệu trong nửa đầu năm 2025.

Sự Thay Đổi Chiến Thuật Của Kẻ Tấn Công

Kéo Dài Thời Gian và Đa Dạng Hóa Vector Tấn Công

Các cuộc tấn công kéo dài dưới 10 phút đã giảm khoảng 33%, trong khi những cuộc tấn công kéo dài từ 10 đến 30 phút đã tăng gần gấp bốn lần. Trong khi các báo cáo trước đây nhấn mạnh sự thống trị của các cuộc tấn công DDoS rất ngắn, nhưng cường độ cao, sự thay đổi này cho thấy kẻ tấn công đang thích nghi với các hệ thống phát hiện và giảm thiểu tự động đã được cải thiện của các công ty để xử lý các cuộc tấn công ngắn.

Bằng cách kéo dài thời gian tấn công, các tác nhân đe dọa có thể vượt qua các ngưỡng phòng thủ tạm thời này, gây ra thiệt hại trên diện rộng hơn và kiểm tra khả năng phục hồi của cơ sở hạ tầng theo thời gian. Các cuộc tấn công đa vector cũng ngày càng trở thành chiến thuật ưa thích của kẻ tấn công.

Bằng cách che giấu hoạt động độc hại trong lưu lượng truy cập dường như hợp pháp, kẻ tấn công làm phức tạp việc phát hiện và kéo dài thời gian gây thiệt hại của chúng. Sự thay đổi hướng tới các cuộc tấn công phức tạp hơn này nhấn mạnh sự cần thiết của một phương pháp phòng thủ nhiều lớp tương tự, dự đoán các chiến lược của kẻ tấn công và bảo vệ tài sản kỹ thuật số quan trọng một cách toàn diện để giảm thiểu mối đe dọa mạng hiện hữu.

Chuyển Hướng Mục Tiêu Tấn Công

Từ Gaming Sang Tài Chính và Công Nghệ

Lĩnh vực gaming không còn là mục tiêu thống trị như trước. Tỷ lệ các cuộc tấn công DDoS nhắm vào gaming đã giảm đáng kể (30% trong năm qua). Sự sụt giảm đáng chú ý này cho thấy kẻ tấn công đang chuyển trọng tâm sang các lĩnh vực khác như công nghệ (tấn công tăng 15%) và dịch vụ tài chính (tấn công tăng 15%).

Các lĩnh vực này được ưu tiên nhắm mục tiêu vì chúng có thể ít được bảo vệ hơn trước các tác nhân đe dọa và tiềm năng gây gián đoạn cao hơn, dẫn đến rủi ro bảo mật lớn hơn. Các nhà cung cấp dịch vụ lưu trữ (hosting providers), đặc biệt, đã trở thành mục tiêu hàng đầu do vai trò của họ trong việc hỗ trợ các khách hàng SaaS, thương mại điện tử, gaming và tài chính.

Một cuộc tấn công vào một nhà cung cấp dịch vụ lưu trữ có thể gây ra hiệu ứng lan truyền nguy hiểm: gián đoạn dịch vụ lớn và thiệt hại về danh tiếng cho hàng chục công ty phụ thuộc.

Nguồn Gốc Địa Lý và Tấn Công Lớp Ứng Dụng

Phân Bố Địa Lý và Tác Động của Tấn Công Lớp Ứng Dụng

Với sự hiện diện trên sáu châu lục, Gcore có thể theo dõi chính xác các nguồn địa lý của các cuộc tấn công DDoS. Gcore thu thập những thông tin chi tiết này từ địa chỉ IP của kẻ tấn công và vị trí địa lý của các trung tâm dữ liệu nơi lưu lượng độc hại được nhắm mục tiêu.

Mặc dù Hoa Kỳ và Hà Lan vẫn là các nguồn tấn công hàng đầu (như đã được tìm thấy trong các báo cáo Radar trước đây), Hồng Kông là một nguồn mối đe dọa mạng mới. Hồng Kông hiện chiếm 17% tổng số cuộc tấn công ở lớp mạng và 10% ở lớp ứng dụng. Những phát hiện này cho thấy kẻ tấn công đang mở rộng sang các khu vực mới nổi, nhấn mạnh sự cần thiết của các biện pháp phòng thủ chủ động và thích ứng trên các khu vực đa dạng.

Sự gia tăng nhanh chóng các cuộc tấn công lớp ứng dụng (từ 28% lên 38% từ Q3-Q4 2024 đến Q1-Q2 2025) cũng cho thấy xu hướng tổng thể hướng tới các cuộc tấn công nhiều lớp nhắm mục tiêu vào các lỗ hổng ứng dụng web và API, đặc biệt ảnh hưởng đến các lĩnh vực có mức độ tương tác cao với khách hàng (từ thương mại điện tử và ngân hàng trực tuyến đến logistics và dịch vụ công cộng). Để nâng cao an ninh mạng, việc hiểu rõ các xu hướng này là rất quan trọng.

Để truy cập báo cáo đầy đủ, vui lòng truy cập Gcore Radar: Attack Trends Q1-Q2 2025.

Gcore là nhà cung cấp giải pháp toàn cầu về AI biên, điện toán đám mây, mạng và bảo mật. Có trụ sở chính tại Luxembourg, với đội ngũ 600 nhân viên hoạt động từ mười văn phòng trên toàn thế giới, Gcore cung cấp giải pháp cho các nhà lãnh đạo toàn cầu trong nhiều ngành công nghiệp. Gcore quản lý cơ sở hạ tầng IT toàn cầu của mình trên sáu châu lục, với một trong những hiệu suất mạng tốt nhất ở Châu Âu, Châu Phi và LATAM nhờ thời gian phản hồi trung bình là 30 ms trên toàn thế giới. Mạng lưới của Gcore bao gồm 210 điểm hiện diện trên toàn thế giới tại các trung tâm dữ liệu Tier IV và Tier III đáng tin cậy, với tổng dung lượng mạng vượt quá 200 Tbps.