Trong nửa đầu năm 2025, mối đe dọa mạng từ các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đã leo thang đáng kể. Theo Báo cáo An ninh mạng Châu Âu giữa năm 2025 mới nhất của Link11, số lượng cuộc tấn công nhắm vào mạng lưới của họ đã tăng vọt 225% so với cùng kỳ năm 2024. Báo cáo này không chỉ ghi nhận sự gia tăng về tần suất mà còn về thời lượng, cường độ và mức độ tinh vi kỹ thuật của các cuộc tấn công.

Mức Độ Leo Thang Của Các Cuộc Tấn Công Mạng DDoS

Các phát hiện trong báo cáo nhấn mạnh sự thay đổi đáng kể trong bức tranh tấn công mạng. Sự gia tăng 225% là một chỉ số rõ ràng về áp lực ngày càng tăng mà các tổ chức phải đối mặt. Không chỉ số lượng, mà cả chất lượng và quy mô của các cuộc tấn công cũng đã thay đổi, đặt ra thách thức lớn cho các hệ thống phòng thủ hiện tại.

Các cuộc tấn công này đã thể hiện khả năng vượt qua giới hạn của các biện pháp bảo vệ truyền thống. Điều này đòi hỏi các doanh nghiệp và tổ chức phải liên tục đánh giá và nâng cấp chiến lược bảo mật của mình.

Phân Tích Định Lượng Về Tác Động

Quy Mô Và Tốc Độ Đột Biến

Trong sáu tháng đầu năm 2025, tổng lưu lượng tấn công DDoS ghi nhận đạt 438 terabytes. Con số này tương đương với lượng dữ liệu tiêu thụ của 7 năm phát trực tuyến Netflix liên tục ở độ phân giải 4K. Điều này minh họa quy mô khổng lồ của dữ liệu được sử dụng để làm quá tải hệ thống mục tiêu.

Các giá trị đỉnh điểm được ghi nhận bao gồm 1.2 terabits mỗi giây (Tbps) và 207 triệu gói tin mỗi giây (Mpps). Những con số này đạt đến kích thước có thể làm quá tải ngay cả các hệ thống hiệu suất cao nhất. Tốc độ và khối lượng như vậy vượt xa khả năng xử lý của nhiều hạ tầng mạng.

Thời Lượng Tấn Công Kéo Dài

Ngoài cường độ, thời lượng của các cuộc tấn công cũng gia tăng đáng kể. Cuộc tấn công DDoS dài nhất được ghi nhận đã kéo dài hơn 8 ngày. Sự chuyển dịch từ các cuộc tấn công chớp nhoáng ngắn ngủi sang các chiến dịch kéo dài, phối hợp đã đặt ra những thách thức liên tục cho các hệ thống phòng thủ.

Các cuộc tấn công kéo dài đòi hỏi khả năng giám sát và phản ứng liên tục, khác biệt hoàn toàn so với việc đối phó với các đợt tấn công ngắn. Điều này gây kiệt quệ tài nguyên và nhân lực của đội ngũ bảo mật.

Sự Tinh Vi Trong Kỹ Thuật Tấn Công DDoS

Trong khi các cuộc tấn công theo khối lượng cổ điển vẫn chiếm ưu thế, các nhà phân tích của Link11 đã nhận thấy sự gia tăng đáng kể trong các cuộc tấn công Lớp 7 (Layer 7) chính xác. Những kỹ thuật này ngày càng tinh vi và khó phát hiện hơn.

Sự tiến hóa trong phương thức tấn công đòi hỏi các biện pháp phòng thủ phải thích ứng linh hoạt. Đặc biệt, việc phân biệt lưu lượng hợp pháp và độc hại ở Lớp 7 là một nhiệm vụ phức tạp.

Chiếm Ưu Thế Của Tấn Công Lớp 7

Tấn công Lớp 7 khéo léo ngụy trang trong lưu lượng dữ liệu hợp pháp bằng cách tạo ra các yêu cầu trông có vẻ bình thường. Một ví dụ điển hình là việc tạo ra 20.000 yêu cầu trông có vẻ chân thực mỗi phút, có thể gây nguy hiểm hơn nhiều so với 200 triệu gói tin mỗi giây nếu chúng không bị phát hiện trong lưu lượng truy cập thông thường.

Kiểu tấn công này nhắm vào các ứng dụng hoặc dịch vụ web cụ thể, làm cạn kiệt tài nguyên máy chủ và gây ra tình trạng từ chối dịch vụ. Việc phát hiện chúng đòi hỏi các giải pháp có khả năng phân tích hành vi sâu sắc và nhận diện các mẫu bất thường.

Tận Dụng AI Và Nền Tảng DDoS-as-a-Service

Các tác nhân tấn công đang ngày càng hợp tác chặt chẽ, sử dụng các nền tảng DDoS-as-a-Service (DDoS dưới dạng dịch vụ) và Trí tuệ nhân tạo (AI) để tối ưu hóa và ngụy trang các cuộc tấn công của mình. Việc tự động hóa này được Diễn đàn Kinh tế Thế giới nhấn mạnh trong Báo cáo Triển vọng An ninh mạng Toàn cầu 2025 là một yếu tố thúc đẩy chính trong bức tranh mối đe dọa mạng.

Sự hỗ trợ từ AI giúp các cuộc tấn công trở nên khó đoán hơn, có thể thay đổi chiến thuật linh hoạt để né tránh các biện pháp phòng thủ. DDoS-as-a-Service lại giảm ngưỡng kỹ thuật, cho phép nhiều tác nhân hơn tham gia vào các hoạt động tấn công.

Động Cơ Chính Trị Và Các Nhóm Tấn Công

Mối liên hệ giữa các sự kiện địa chính trị và làn sóng tấn công đặc biệt nổi bật. Các nhóm thân Nga như NoName057(16) đã nhắm mục tiêu vào các cơ quan chính phủ, ngân hàng, nhà cung cấp năng lượng và chính quyền thành phố ở châu Âu. Những cuộc tấn công này thường trùng khớp với các quyết định chính sách an ninh.

Ngoài NoName057(16), các nhóm khác như Dark Storm và Keymous cũng trở nên nổi bật hơn trong việc thực hiện các chiến dịch tấn công. Sự xuất hiện của các nhóm có động cơ chính trị làm phức tạp thêm các nỗ lực phòng thủ, vì mục tiêu của chúng không chỉ là tài chính mà còn là gián đoạn và gây ảnh hưởng.

Chiến Lược Phòng Thủ Và An Toàn Mạng

Các phát hiện của báo cáo chỉ ra rằng các công ty và tổ chức cần phải liên tục mở rộng kiến trúc bảo mật của mình. Điều này là cần thiết để đối phó với sự leo thang của mối đe dọa mạng và đảm bảo khả năng phục hồi của hệ thống. Một chiến lược bảo mật mạng toàn diện là bắt buộc.

Để hạn chế hiệu quả hậu quả của các cuộc tấn công lớn đối với quy trình kinh doanh và cơ sở hạ tầng quan trọng, cần có sự kết hợp của công nghệ phòng thủ thông minh và các chiến lược phục hồi được xác định rõ ràng. Điều này bao gồm:

• Công nghệ Phòng Thủ Thông Minh: Áp dụng các giải pháp bảo mật sử dụng AI và học máy để phát hiện và giảm thiểu các cuộc tấn công DDoS phức tạp, đặc biệt là ở Lớp 7.
• Chiến Lược Phục Hồi Được Xác Định Rõ Ràng: Xây dựng kế hoạch ứng phó sự cố chi tiết, bao gồm các quy trình chuyển đổi dự phòng, cân bằng tải và khôi phục sau tấn công để đảm bảo hoạt động liên tục.
• Mở Rộng Kiến Trúc Bảo Mật: Đảm bảo cơ sở hạ tầng có khả năng chịu đựng lưu lượng tấn công lớn và có thể mở rộng để đối phó với các biến thể tấn công mới.

Việc áp dụng các tiêu chuẩn cao về bảo mật như chứng nhận PCI DSS và ISO 27001 cho các giải pháp bảo vệ DDoS là một chỉ số quan trọng về độ tin cậy. Các nhà cung cấp phải đáp ứng các tiêu chuẩn này để đảm bảo an toàn dữ liệu và tính toàn vẹn của hệ thống.

Để biết thêm chi tiết về tình hình tấn công mạng và các phân tích chuyên sâu, độc giả có thể tham khảo Báo cáo An ninh mạng Châu Âu giữa năm 2025.