Cloudflare chặn đứng 7.3 Tbps DDoS attack lớn nhất lịch sử

Cloudflare chặn đứng 7.3 Tbps DDoS attack lớn nhất lịch sử

Vào giữa tháng 5/2025, Cloudflare đã chặn thành công cuộc tấn công DDoS có quy mô lên tới 7.3 Tbps – đây là 7.3 Tbps DDoS attack lớn nhất từng được ghi nhận trong lịch sử Internet. Sự kiện này chỉ diễn ra vài tuần sau khi Cloudflare công bố Báo cáo mối đe dọa DDoS Q1/2025, trong đó ghi nhận các đợt tấn công đạt tới 6.5 Tbps. Với quy mô vượt qua cả báo cáo gần đây của KrebsOnSecurity, cuộc tấn công này đã lập nên một kỷ lục mới chưa từng có.

Kỷ lục mới: Cloudflare tự động chặn cuộc tấn công 7.3 Tbps

Mục tiêu của cuộc tấn công là một khách hàng trong ngành cung cấp dịch vụ lưu trữ sử dụng dịch vụ Magic Transit để bảo vệ hạ tầng IP. Như trong báo cáo mối đe dọa DDoS mới nhất, các nhà cung cấp hạ tầng Internet đang ngày càng trở thành mục tiêu ưu tiên của các chiến dịch tấn công.

Chỉ riêng trong tháng 1 và 2/2025, Cloudflare đã xử lý hơn 13.5 triệu cuộc tấn công DDoS nhắm vào hệ thống của chính mình và các khách hàng là nhà cung cấp dịch vụ hosting.

7.3 Tbps trong 45 giây = 37.4 Terabyte dữ liệu

Mặc dù 37.4 TB không phải con số quá bất thường hiện nay, việc truyền tải khối lượng này chỉ trong 45 giây là điều cực kỳ nguy hiểm. Điều đó tương đương:

• 9.350 bộ phim HD đầy đủ

• 7.480 giờ video HD (gần một năm xem liên tục)

• 9.35 triệu bài hát (~57 năm nghe không nghỉ)

• 12.5 triệu ảnh chất lượng cao (~4.000 năm nếu mỗi ngày chụp 1 ảnh)

Chi tiết kỹ thuật cuộc tấn công

• Trung bình: 21.925 cổng đích mỗi giây

• Đỉnh điểm: 34.517 cổng đích/s, chỉ vào 1 địa chỉ IP

• Giao thức sử dụng: UDP là chính (99.996%)

• Các hình thức còn lại: QOTD, Echo, NTP, Mirai, Portmap và RIPv1 (0.004% lưu lượng)

Phân tích các vector chính của cuộc DDoS 7.3 Tbps

1. UDP Flood

• Gửi lượng lớn gói tin UDP vào các cổng ngẫu nhiên nhằm gây quá tải băng thông hoặc thiết bị bảo mật.

• Phòng thủ: Dùng hệ thống bảo vệ DDoS đám mây, áp dụng rate-limiting thông minh, loại bỏ UDP không cần thiết.

2. QOTD Reflection (UDP/17)

• Khai thác giao thức Quote of the Day – gửi truy vấn giả mạo để nhận phản hồi khuếch đại.

• Ngăn chặn: Vô hiệu hóa dịch vụ QOTD, chặn UDP/17.

• Tác động phụ: Không đáng kể vì QOTD đã lỗi thời.

3. Echo Reflection (UDP/TCP/7)

• Gửi dữ liệu đến dịch vụ Echo để bị phản hồi ngược về.

• Ngăn chặn: Tắt Echo, chặn port 7 tại edge.

4. NTP Reflection (UDP/123)

• Lợi dụng lệnh monlist trên NTP cũ để khuếch đại lưu lượng.

• Ngăn chặn: Cập nhật NTP, vô hiệu monlist, giới hạn truy cập NTP.

5. Mirai UDP Flood

• Dùng thiết bị IoT bị nhiễm botnet Mirai để phát tán UDP.

• Ngăn chặn: Bảo mật IoT, đổi mật khẩu mặc định, giám sát outbound traffic.

6. Portmap Reflection (UDP/111)

• Khai thác dịch vụ Portmapper (RPC).

• Ngăn chặn: Tắt dịch vụ nếu không cần, giới hạn nội bộ.

7. RIPv1 Reflection (UDP/520)

• Khai thác giao thức định tuyến lỗi thời RIPv1.

• Ngăn chặn: Tắt RIPv1, thay bằng RIPv2 có xác thực.

⚠️ Lưu ý: Tất cả các khuyến nghị nên được áp dụng tùy theo ngữ cảnh và đặc thù hệ thống để tránh ảnh hưởng đến lưu lượng hợp lệ.

Nguồn gốc phân bố IP trong 7.3 Tbps DDoS attack

• Tổng số IP nguồn: Hơn 122.145

• Hệ thống tự trị (AS): 5.433 AS từ 161 quốc gia

• Hai quốc gia phát sinh lưu lượng nhiều nhất: Brazil và Việt Nam (~25% mỗi nước)

• Các nước còn lại: Đài Loan, Trung Quốc, Indonesia, Ukraine, Ecuador, Thái Lan, Mỹ, Saudi Arabia

Top 5 hệ thống tự trị phát lưu lượng DDoS:

Tên ASN	Quốc gia	Tỷ lệ
Telefonica Brazil	Brazil	10.5%
Viettel Group	Việt Nam	9.8%
China Unicom	Trung Quốc	3.9%
Chunghwa Telecom	Đài Loan	2.9%
China Telecom	Trung Quốc	2.8%

Cung cấp miễn phí Botnet Threat Feed

Cloudflare cung cấp danh sách các IP bị nghi ngờ tham gia tấn công DDoS theo ASN hoàn toàn miễn phí cho các nhà cung cấp dịch vụ. Chỉ cần xác thực ASN trên PeeringDB và lấy dữ liệu qua API. Đã có hơn 600 tổ chức toàn cầu đăng ký sử dụng.

Phát hiện và ngăn chặn hoàn toàn tự động trong 7.3 Tbps DDoS attack

Công nghệ Anycast

Cloudflare phân phối IP bị tấn công thông qua Anycast, giúp phân tán lưu lượng đến các trung tâm dữ liệu gần nhất. Với cuộc tấn công lần này, 477 trung tâm dữ liệu tại 293 địa điểm toàn cầu đã tham gia xử lý.

Hệ thống tự động “dosd”

• Phân tích mẫu gói tin: Dùng XDP và eBPF trong Linux để thu thập

• Tạo fingerprint: Đưa về tầng user space để phân tích và nhận diện mẫu tấn công

• Phát hiện mẫu hiệu quả nhất: Sử dụng thuật toán streaming để chọn fingerprint tốt nhất và kích hoạt eBPF filter tương ứng

Hệ thống “gossip”

Các máy chủ trong cùng datacenter và trên toàn cầu chia sẻ mẫu fingerprint tốt nhất giúp cải thiện hiệu quả phòng thủ DDoS theo thời gian thực.

Không có cảnh báo. Không có gián đoạn. Không có con người tham gia.

Cuộc tấn công đạt đỉnh 7.3 Tbps đã được Cloudflare ngăn chặn hoàn toàn tự động — không cần bất kỳ thao tác thủ công nào, không xảy ra sự cố, và cũng không gửi đi cảnh báo khẩn cấp.

Hệ thống phòng thủ DDoS hàng đầu của Cloudflare là minh chứng cho sứ mệnh “Xây dựng một Internet tốt hơn”, cung cấp bảo vệ DDoS không giới hạn và miễn phí cho mọi khách hàng.

Bắt đầu bảo vệ ngay hôm nay

Cloudflare giúp bảo vệ toàn bộ hệ thống doanh nghiệp, tăng tốc ứng dụng web, bảo vệ chống DDoS, hỗ trợ hành trình Zero Trust và xây dựng ứng dụng quy mô Internet.

👉 Truy cập 1.1.1.1 để tải ứng dụng miễn phí giúp kết nối Internet nhanh hơn và an toàn hơn.
👉 Tìm hiểu thêm về sứ mệnh của Cloudflare tại đây.

Tìm hiểu thêm giải pháp Cloudflare bảo vệ chống DDoS tại: https://sonic.com.vn/danh-muc-san-pham/cloudflare/

Sonic, nhà phân phối chính thức của Cloudflare tại Việt Nam, cam kết mang đến cho doanh nghiệp giải pháp phòng chống DDoS tối ưu nhất, giúp bảo vệ hệ thống, duy trì hoạt động kinh doanh liên tục và phát triển bền vững trong kỷ nguyên số.

—————————————–

Liên hệ:

Hà Nội: Tầng 8, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội

HCM: Lầu 1, Khu A , tòa nhà Waseco Building, Số 10 Phổ Quang, Phường 2, Quận Tân Bình, Tp Hồ Chí Minh

Hotline: 024.6656.4587

Email: sales@sonic.com.vn

https://www.facebook.com/SonicTechnology.Jsc

Zalo OA: https://bit.ly/Sonic_Zalo