Báo cáo DDoS Q4/2025 của Cloudflare và con số 31.4 Tbps

Mới đây, chúng tôi tại Tadu Cloud đã tiếp cận ấn phẩm thứ 24 của Cloudflare, Báo Cáo Đe Dọa DDoS Hàng Quý. Đọc qua những con số và phân tích từ Cloudforce One, một điều rõ ràng: landscape về tấn công DDoS đang biến đổi không ngừng, với quy mô và cường độ vượt xa mọi dự đoán trước đây. Báo cáo này không chỉ là một tài liệu thống kê, nó là một bản đồ chiến trường, phơi bày những thách thức mà toàn bộ hạ tầng Internet đang phải đối mặt, đặc biệt trong Quý 4 năm 2025 và bức tranh toàn cảnh của năm 2025.

Là một nhà cung cấp dịch vụ đám mây, chúng tôi luôn theo dõi sát sao những diễn biến trong không gian an ninh mạng. Những gì Cloudflare công bố cho năm 2025 là một lời nhắc nhở sắc lạnh về thực tế khắc nghiệt: không có chỗ cho sự tự mãn. Quý 4 năm 2025 đặc biệt nổi bật với một chiến dịch có tên “The Night Before Christmas” từ botnet Aisuru-Kimwolf. Đây không phải là một cuộc tấn công thông thường, mà là một trận càn quét HTTP DDoS siêu thể tích, vượt ngưỡng 200 triệu yêu cầu mỗi giây (rps). Điều này diễn ra chỉ vài tuần sau một cuộc tấn công khác phá kỷ lục 31.4 Terabit mỗi giây (Tbps). Con số này không chỉ là dữ liệu, đó là minh chứng cho một cuộc chạy đua vũ trang không ngừng nghỉ trong thế giới số.

Xem thêm: Hướng dẫn chi tiết tối ưu chặn Bot AI trên nền tảng Tadu Cloud

Những con số “khốc liệt” của năm 2025

Báo cáo chỉ ra rằng các cuộc tấn công DDoS đã tăng vọt 121% trong năm 2025, với trung bình 5.376 cuộc tấn công được tự động giảm thiểu mỗi giờ. Nếu bạn là một lập trình viên hay kiến trúc sư hệ thống, bạn sẽ hiểu rằng việc quản lý sự cố ở quy mô này, một cách thủ công, là bất khả thi. Nó đòi hỏi hệ thống phòng thủ phải tự chủ, tự học và tự thích ứng.

Trong quý cuối cùng của năm 2025, có những dịch chuyển đáng chú ý về địa lý. Hồng Kông đã nhảy vọt 12 bậc, trở thành nơi bị DDoS nhiều thứ hai trên thế giới. Vương quốc Anh cũng tăng phi mã 36 bậc, đứng thứ sáu. Điều này cho thấy kẻ tấn công không ngừng tìm kiếm các mục tiêu mới hoặc khai thác các lỗ hổng chiến lược. Các Android TV bị lây nhiễm, trở thành một phần của botnet Aisuru-Kimwolf, đã dội bom mạng lưới của Cloudflare bằng các cuộc tấn công HTTP DDoS siêu thể tích. Ngành viễn thông nổi lên là ngành bị tấn công nhiều nhất – điều này không có gì ngạc nhiên khi họ là huyết mạch của Internet.

Năm 2025 thực sự chứng kiến một sự gia tăng khổng lồ trong các cuộc tấn công DDoS. Tổng số đã tăng hơn gấp đôi, lên tới 47.1 triệu cuộc tấn công. Từ năm 2023 đến 2025, con số này đã tăng 236%. Đây không chỉ là một xu hướng, mà là một sự thay đổi mô hình về quy mô mối đe dọa.

Tấn công lớp mạng và chiến dịch “The Night Before Christmas”

Sự tăng trưởng đáng kể nhất là ở các cuộc tấn công DDoS lớp mạng, tăng hơn gấp ba lần so với năm trước. Cloudflare đã giảm thiểu 34.4 triệu cuộc tấn công lớp mạng trong năm 2025. Điều đáng chú ý là 13.5 triệu cuộc tấn công trong số này nhắm vào hạ tầng Internet toàn cầu được bảo vệ bởi Cloudflare Magic Transit và trực tiếp vào hạ tầng của Cloudflare. Đây là một chiến dịch DDoS kéo dài 18 ngày, đa vector với các cuộc tấn công SYN flood, Mirai và SSDP amplification. Việc Cloudflare chỉ phát hiện ra chiến dịch này khi chuẩn bị báo cáo Q1 2025 của họ là minh chứng hùng hồn cho hiệu quả của hệ thống giảm thiểu DDoS tự động của họ. Khi hệ thống của bạn hoạt động tốt đến mức bạn không nhận ra mình đang bị tấn công cho đến khi xem log, đó chính là đẳng cấp mà mọi nền tảng đám mây cần hướng tới.

Trong Quý 4 năm 2025, các cuộc tấn công DDoS tăng 31% so với quý trước và 58% so với năm 2024. Các cuộc tấn công lớp mạng chiếm 78% tổng số. Mặc dù số lượng tấn công HTTP DDoS không thay đổi, nhưng kích thước của chúng đã tăng vọt lên mức chưa từng thấy kể từ chiến dịch HTTP/2 Rapid Reset DDoS năm 2023. Đây chính là dấu ấn của botnet Aisuru-Kimwolf.

Chiến dịch “The Night Before Christmas” bắt đầu vào ngày 19 tháng 12 năm 2025. Botnet Aisuru-Kimwolf, một tập hợp khổng lồ các thiết bị bị lây nhiễm phần mềm độc hại, chủ yếu là Android TV (ước tính 1-4 triệu máy chủ), đã tấn công với tốc độ vượt 20 triệu yêu cầu mỗi giây. Botnet này có khả năng làm tê liệt hạ tầng quan trọng, đánh sập hầu hết các giải pháp bảo vệ DDoS dựa trên đám mây cũ kỹ, và thậm chí làm gián đoạn kết nối của cả một quốc gia. Cloudflare đã tự động phát hiện và giảm thiểu tất cả 902 cuộc tấn công siêu thể tích này, với tốc độ trung bình 53 cuộc mỗi ngày. Tốc độ tấn công tối đa được ghi nhận là 9 Bpps, 24 Tbps và 205 Mrps. Để dễ hình dung, một cuộc tấn công 205 Mrps tương đương với tổng dân số của Vương quốc Anh, Đức và Tây Ban Nha cùng lúc gõ địa chỉ trang web và nhấn ‘enter’ trong cùng một giây. Đây là mức độ của một thảm họa mạng tiềm tàng.

Mục tiêu và nguồn gốc của các cuộc tấn công

Các cuộc tấn công DDoS siêu thể tích liên tục gia tăng trong suốt năm 2025, với quý 4 tăng 40% so với quý trước. Kích thước tấn công cũng tăng hơn 700% so với cuối năm 2024, với một cuộc tấn công đạt 31.4 Tbps chỉ trong 35 giây. Những cuộc tấn công này nhắm vào khách hàng của Cloudflare trong ngành Viễn thông, Nhà cung cấp dịch vụ và Nhà mạng, cùng với ngành Gaming và các dịch vụ AI tạo sinh. Hạ tầng của chính Cloudflare cũng không nằm ngoài tầm ngắm.

Khi phân tích các cuộc tấn công DDoS ở mọi quy mô, ngành Viễn thông, Nhà cung cấp dịch vụ và Nhà mạng vẫn là mục tiêu hàng đầu. Các ngành Cờ bạc & Sòng bạc và Gaming lần lượt đứng thứ ba và thứ tư. Những ngành này thường là mục tiêu do vai trò là hạ tầng quan trọng, xương sống cho các doanh nghiệp khác, hoặc sự nhạy cảm tài chính cao trước sự gián đoạn dịch vụ.

Về địa điểm bị tấn công nhiều nhất, Trung Quốc, Đức, Brazil và Hoa Kỳ vẫn nằm trong top 5. Tuy nhiên, như đã đề cập, Hồng Kông và Vương quốc Anh có sự tăng trưởng vượt bậc. Việt Nam vẫn giữ vị trí thứ bảy – một vị trí đáng chú ý, cho thấy sự hiện diện liên tục của chúng ta trong bản đồ an ninh mạng toàn cầu.

Về nguồn tấn công, Bangladesh đã soán ngôi Indonesia, trở thành nguồn tấn công DDoS lớn nhất trong Quý 4 năm 2025. Indonesia lùi xuống vị trí thứ ba, trong khi Ecuador vươn lên vị trí thứ hai. Argentina cũng có một bước nhảy vọt đáng kinh ngạc, tăng hai mươi bậc, trở thành nguồn tấn công DDoS lớn thứ tư. Điều này nhấn mạnh tính linh hoạt và phân tán của các botnet hiện đại.

Danh sách top 10 mạng nguồn tấn công đọc như một danh sách các “ông lớn” Internet, tiết lộ một câu chuyện hấp dẫn về cấu trúc của các cuộc tấn công DDoS hiện đại. Kẻ tấn công đang tận dụng các hạ tầng mạng dễ tiếp cận và mạnh mẽ nhất thế giới – chủ yếu là các dịch vụ lớn, công khai. Chúng ta thấy hầu hết các cuộc tấn công DDoS đến từ các địa chỉ IP liên kết với Nền tảng Điện toán Đám mây và Nhà cung cấp Hạ tầng Đám mây như DigitalOcean, Microsoft, Tencent, Oracle và Hetzner. Sau đó là một lượng đáng kể các cuộc tấn công đến từ các Nhà cung cấp Viễn thông truyền thống (Telcos), chủ yếu từ khu vực Châu Á – Thái Bình Dương (bao gồm Việt Nam, Trung Quốc, Malaysia và Đài Loan). Điều này khẳng định thực tế tấn công hai mũi: trong khi quy mô tuyệt đối của các nguồn xếp hạng cao nhất thường bắt nguồn từ các trung tâm đám mây toàn cầu, vấn đề thực sự là toàn cầu, được định tuyến qua các tuyến đường quan trọng nhất của Internet từ khắp nơi trên thế giới. Để giúp các nhà cung cấp dịch vụ xác định và loại bỏ các địa chỉ IP/tài khoản lạm dụng, Cloudflare cung cấp một nguồn cấp dữ liệu mối đe dọa botnet DDoS miễn phí.

Tadu Cloud và bài học về an ninh mạng

Tấn công DDoS đang phát triển nhanh chóng về sự tinh vi và quy mô, vượt xa những gì trước đây có thể tưởng tượng. Điều này tạo ra một thách thức đáng kể cho nhiều tổ chức để bắt kịp. Các tổ chức hiện đang dựa vào các thiết bị giảm thiểu tại chỗ hoặc các trung tâm “scrubbing” theo yêu cầu có thể cần đánh giá lại chiến lược phòng thủ của mình.

Đối với Tadu Cloud, báo cáo này không chỉ là thông tin mà là một lời nhắc nhở liên tục về trách nhiệm của chúng tôi. Chúng tôi hiểu rằng khả năng chống chịu mạng lưới không phải là một tính năng bổ sung, mà là nền tảng cốt lõi của mọi dịch vụ đám mây. Việc bảo vệ hạ tầng và dữ liệu của khách hàng khỏi những mối đe dọa “thảm họa” như 31.4 Tbps hay 205 Mrps đòi hỏi một hệ thống phòng thủ tự động, phân tán toàn cầu và có khả năng mở rộng không giới hạn. Chúng tôi cam kết liên tục đầu tư và phát triển các giải pháp phòng thủ DDoS tiên tiến, đảm bảo rằng dù kẻ tấn công có tinh vi đến đâu, hệ thống của Tadu Cloud vẫn sẽ là một “pháo đài” vững chắc, duy trì sự ổn định và an toàn cho các ứng dụng và dữ liệu của bạn trên Internet. Chúng tôi tin rằng, trong cuộc chiến tranh mạng này, phòng thủ chủ động và thông minh là chìa khóa để giành chiến thắng.