Là một nhà cung cấp dịch vụ đám mây, chúng tôi luôn theo dõi sát sao những diễn biến trong không gian an ninh mạng. Những gì Cloudflare công bố cho năm 2025 là một lời nhắc nhở sắc lạnh về thực tế khắc nghiệt: không có chỗ cho sự tự mãn. Quý 4 năm 2025 đặc biệt nổi bật với một chiến dịch có tên “The Night Before Christmas” từ botnet Aisuru-Kimwolf. Đây không phải là một cuộc tấn công thông thường, mà là một trận càn quét HTTP DDoS siêu thể tích, vượt ngưỡng 200 triệu yêu cầu mỗi giây (rps). Điều này diễn ra chỉ vài tuần sau một cuộc tấn công khác phá kỷ lục 31.4 Terabit mỗi giây (Tbps). Con số này không chỉ là dữ liệu, đó là minh chứng cho một cuộc chạy đua vũ trang không ngừng nghỉ trong thế giới số.

Xem thêm: Hướng dẫn chi tiết tối ưu chặn Bot AI trên nền tảng Tadu Cloud

Những con số “khốc liệt” của năm 2025

Báo cáo chỉ ra rằng các cuộc tấn công DDoS đã tăng vọt 121% trong năm 2025, với trung bình 5.376 cuộc tấn công được tự động giảm thiểu mỗi giờ. Nếu bạn là một lập trình viên hay kiến trúc sư hệ thống, bạn sẽ hiểu rằng việc quản lý sự cố ở quy mô này, một cách thủ công, là bất khả thi. Nó đòi hỏi hệ thống phòng thủ phải tự chủ, tự học và tự thích ứng.

Trong quý cuối cùng của năm 2025, có những dịch chuyển đáng chú ý về địa lý. Hồng Kông đã nhảy vọt 12 bậc, trở thành nơi bị DDoS nhiều thứ hai trên thế giới. Vương quốc Anh cũng tăng phi mã 36 bậc, đứng thứ sáu. Điều này cho thấy kẻ tấn công không ngừng tìm kiếm các mục tiêu mới hoặc khai thác các lỗ hổng chiến lược. Các Android TV bị lây nhiễm, trở thành một phần của botnet Aisuru-Kimwolf, đã dội bom mạng lưới của Cloudflare bằng các cuộc tấn công HTTP DDoS siêu thể tích. Ngành viễn thông nổi lên là ngành bị tấn công nhiều nhất – điều này không có gì ngạc nhiên khi họ là huyết mạch của Internet.

Năm 2025 thực sự chứng kiến một sự gia tăng khổng lồ trong các cuộc tấn công DDoS. Tổng số đã tăng hơn gấp đôi, lên tới 47.1 triệu cuộc tấn công. Từ năm 2023 đến 2025, con số này đã tăng 236%. Đây không chỉ là một xu hướng, mà là một sự thay đổi mô hình về quy mô mối đe dọa.

Tấn công lớp mạng và chiến dịch “The Night Before Christmas”

Sự tăng trưởng đáng kể nhất là ở các cuộc tấn công DDoS lớp mạng, tăng hơn gấp ba lần so với năm trước. Cloudflare đã giảm thiểu 34.4 triệu cuộc tấn công lớp mạng trong năm 2025. Điều đáng chú ý là 13.5 triệu cuộc tấn công trong số này nhắm vào hạ tầng Internet toàn cầu được bảo vệ bởi Cloudflare Magic Transit và trực tiếp vào hạ tầng của Cloudflare. Đây là một chiến dịch DDoS kéo dài 18 ngày, đa vector với các cuộc tấn công SYN flood, Mirai và SSDP amplification. Việc Cloudflare chỉ phát hiện ra chiến dịch này khi chuẩn bị báo cáo Q1 2025 của họ là minh chứng hùng hồn cho hiệu quả của hệ thống giảm thiểu DDoS tự động của họ. Khi hệ thống của bạn hoạt động tốt đến mức bạn không nhận ra mình đang bị tấn công cho đến khi xem log, đó chính là đẳng cấp mà mọi nền tảng đám mây cần hướng tới.

Trong Quý 4 năm 2025, các cuộc tấn công DDoS tăng 31% so với quý trước và 58% so với năm 2024. Các cuộc tấn công lớp mạng chiếm 78% tổng số. Mặc dù số lượng tấn công HTTP DDoS không thay đổi, nhưng kích thước của chúng đã tăng vọt lên mức chưa từng thấy kể từ chiến dịch HTTP/2 Rapid Reset DDoS năm 2023. Đây chính là dấu ấn của botnet Aisuru-Kimwolf.

Chiến dịch “The Night Before Christmas” bắt đầu vào ngày 19 tháng 12 năm 2025. Botnet Aisuru-Kimwolf, một tập hợp khổng lồ các thiết bị bị lây nhiễm phần mềm độc hại, chủ yếu là Android TV (ước tính 1-4 triệu máy chủ), đã tấn công với tốc độ vượt 20 triệu yêu cầu mỗi giây. Botnet này có khả năng làm tê liệt hạ tầng quan trọng, đánh sập hầu hết các giải pháp bảo vệ DDoS dựa trên đám mây cũ kỹ, và thậm chí làm gián đoạn kết nối của cả một quốc gia. Cloudflare đã tự động phát hiện và giảm thiểu tất cả 902 cuộc tấn công siêu thể tích này, với tốc độ trung bình 53 cuộc mỗi ngày. Tốc độ tấn công tối đa được ghi nhận là 9 Bpps, 24 Tbps và 205 Mrps. Để dễ hình dung, một cuộc tấn công 205 Mrps tương đương với tổng dân số của Vương quốc Anh, Đức và Tây Ban Nha cùng lúc gõ địa chỉ trang web và nhấn ‘enter’ trong cùng một giây. Đây là mức độ của một thảm họa mạng tiềm tàng.

Mục tiêu và nguồn gốc của các cuộc tấn công

Các cuộc tấn công DDoS siêu thể tích liên tục gia tăng trong suốt năm 2025, với quý 4 tăng 40% so với quý trước. Kích thước tấn công cũng tăng hơn 700% so với cuối năm 2024, với một cuộc tấn công đạt 31.4 Tbps chỉ trong 35 giây. Những cuộc tấn công này nhắm vào khách hàng của Cloudflare trong ngành Viễn thông, Nhà cung cấp dịch vụ và Nhà mạng, cùng với ngành Gaming và các dịch vụ AI tạo sinh. Hạ tầng của chính Cloudflare cũng không nằm ngoài tầm ngắm.

Khi phân tích các cuộc tấn công DDoS ở mọi quy mô, ngành Viễn thông, Nhà cung cấp dịch vụ và Nhà mạng vẫn là mục tiêu hàng đầu. Các ngành Cờ bạc & Sòng bạc và Gaming lần lượt đứng thứ ba và thứ tư. Những ngành này thường là mục tiêu do vai trò là hạ tầng quan trọng, xương sống cho các doanh nghiệp khác, hoặc sự nhạy cảm tài chính cao trước sự gián đoạn dịch vụ.

Về địa điểm bị tấn công nhiều nhất, Trung Quốc, Đức, Brazil và Hoa Kỳ vẫn nằm trong top 5. Tuy nhiên, như đã đề cập, Hồng Kông và Vương quốc Anh có sự tăng trưởng vượt bậc. Việt Nam vẫn giữ vị trí thứ bảy – một vị trí đáng chú ý, cho thấy sự hiện diện liên tục của chúng ta trong bản đồ an ninh mạng toàn cầu.

Về nguồn tấn công, Bangladesh đã soán ngôi Indonesia, trở thành nguồn tấn công DDoS lớn nhất trong Quý 4 năm 2025. Indonesia lùi xuống vị trí thứ ba, trong khi Ecuador vươn lên vị trí thứ hai. Argentina cũng có một bước nhảy vọt đáng kinh ngạc, tăng hai mươi bậc, trở thành nguồn tấn công DDoS lớn thứ tư. Điều này nhấn mạnh tính linh hoạt và phân tán của các botnet hiện đại.

Danh sách top 10 mạng nguồn tấn công đọc như một danh sách các “ông lớn” Internet, tiết lộ một câu chuyện hấp dẫn về cấu trúc của các cuộc tấn công DDoS hiện đại. Kẻ tấn công đang tận dụng các hạ tầng mạng dễ tiếp cận và mạnh mẽ nhất thế giới – chủ yếu là các dịch vụ lớn, công khai. Chúng ta thấy hầu hết các cuộc tấn công DDoS đến từ các địa chỉ IP liên kết với Nền tảng Điện toán Đám mây và Nhà cung cấp Hạ tầng Đám mây như DigitalOcean, Microsoft, Tencent, Oracle và Hetzner. Sau đó là một lượng đáng kể các cuộc tấn công đến từ các Nhà cung cấp Viễn thông truyền thống (Telcos), chủ yếu từ khu vực Châu Á – Thái Bình Dương (bao gồm Việt Nam, Trung Quốc, Malaysia và Đài Loan). Điều này khẳng định thực tế tấn công hai mũi: trong khi quy mô tuyệt đối của các nguồn xếp hạng cao nhất thường bắt nguồn từ các trung tâm đám mây toàn cầu, vấn đề thực sự là toàn cầu, được định tuyến qua các tuyến đường quan trọng nhất của Internet từ khắp nơi trên thế giới. Để giúp các nhà cung cấp dịch vụ xác định và loại bỏ các địa chỉ IP/tài khoản lạm dụng, Cloudflare cung cấp một nguồn cấp dữ liệu mối đe dọa botnet DDoS miễn phí.

Tadu Cloud và bài học về an ninh mạng

Tấn công DDoS đang phát triển nhanh chóng về sự tinh vi và quy mô, vượt xa những gì trước đây có thể tưởng tượng. Điều này tạo ra một thách thức đáng kể cho nhiều tổ chức để bắt kịp. Các tổ chức hiện đang dựa vào các thiết bị giảm thiểu tại chỗ hoặc các trung tâm “scrubbing” theo yêu cầu có thể cần đánh giá lại chiến lược phòng thủ của mình.

Đối với Tadu Cloud, báo cáo này không chỉ là thông tin mà là một lời nhắc nhở liên tục về trách nhiệm của chúng tôi. Chúng tôi hiểu rằng khả năng chống chịu mạng lưới không phải là một tính năng bổ sung, mà là nền tảng cốt lõi của mọi dịch vụ đám mây. Việc bảo vệ hạ tầng và dữ liệu của khách hàng khỏi những mối đe dọa “thảm họa” như 31.4 Tbps hay 205 Mrps đòi hỏi một hệ thống phòng thủ tự động, phân tán toàn cầu và có khả năng mở rộng không giới hạn. Chúng tôi cam kết liên tục đầu tư và phát triển các giải pháp phòng thủ DDoS tiên tiến, đảm bảo rằng dù kẻ tấn công có tinh vi đến đâu, hệ thống của Tadu Cloud vẫn sẽ là một “pháo đài” vững chắc, duy trì sự ổn định và an toàn cho các ứng dụng và dữ liệu của bạn trên Internet. Chúng tôi tin rằng, trong cuộc chiến tranh mạng này, phòng thủ chủ động và thông minh là chìa khóa để giành chiến thắng.

Để hạn chế được vấn đề này các đơn vị cung cấp dịch vụ lưu trữ website sẽ có các phương án và cung cấp các công cụ để bảo vệ cho khách hàng của mình, Tadu xin được giới thiệu đến quý khách một công cụ phòng chống mã độc rất mạnh mẽ hiện nay đó là Imunify360.

Imunify360 là gì?

Imunify360 là một nền tảng bảo mật toàn diện cho các máy chủ lưu trữ web trên hệ điều hành Linux được phát triển bởi CloudLinux Inc. Nó được sử dụng các thành phần được thiết kế riêng và tích hợp để bảo vệ trang web của bạn chủ động trong thời gian thực và bảo mật máy chủ web. Nó không chỉ là công cụ Antivirus, Imunify360 kết hợp hệ thống phát hiện và ngăn chặn xâm nhập tường lửa ứng dụng web( WAF) giúp bảo vệ và chống lại virus liên tục trong thời gian thực, với tường lửa Network Firewall để chống lại các cuộc tấn công mạng, và thành phần để quản lý các bản vá, có giao diện người dùng thân thiện dễ dàng sử dụng và tự động hóa nâng cao.

Imunify360 sử dụng công nghệ chạy trên nền tảng Cloud (điện toán đám mây) làm hiệu suất hoạt động nhanh và ổn định hơn. Các máy chủ được bảo vệ bởi Imunify360 được cách ly và miễn nhiễm với các máy chủ có nguy cơ bị dính mã độc. Với khả năng phát hiện nhanh chống và tinh vi đối với các mối đe dọa về bảo mật như: các cuộc tấn công zero-day, brute-force attacks, DDoS, từ đó mang lại sự bảo về toàn diện và mạnh mẻ cho máy chủ của bạn.

Imunify360 có thể làm được gì?

Imunify360 bảo mật nhiều lớp cho máy chủ web của bạn.

TƯỜNG LỬA NÂNG CAO

Imunify360 cung cấp tính năng tường lửa nâng cao, sử dụng hệ thống cơ sở dữ liệu đồng bộ từ các máy chủ trên toàn cầu và trí thông minh nhân tạo để phát hiện ra các mối đe dọa và bảo vệ các máy chủ cài đặt nó. Tường lửa của Imunify360 có khả năng bảo vệ máy chủ trước các cuộc tấn công Brute force, DDoS hay Scan ports.

Imunify360 kết hợp chặt chẽ với ModSecurity hoặc với các tường lửa web (WAF) khác để tăng cường khả năng bảo vệ các ứng dụng web trước các cuộc tấn công, thậm chí hạn chế các cuộc tấn công vào các ứng dụng web từ khi chúng chưa bắt đầu.

Kiểm soát và năng chặn các cuộc tấn công dịch vụ qua SMTP, FTP, SSH, …

Với Webshield xử lý CDN và Proxy Traffic bằng cách xác định được địa chỉ IP thực của kẻ tấn công, sau đó phân biệt các địa chỉ IP đó với địa chỉ IP người dùng hợp lệ, khi có truy cập vào 1 website bất kì, nếu cảm thấy không an toàn, Imunify360 sẽ khởi động hệ thống yêu cầu xác nhận người dùng hoặc xác thực qua CAPTCHA trước khi cho phép truy cập vào.

HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

Phần lớn các nhà cung cấp dịch vụ lưu trữ Web nói rằng bị khai thác từ xa là vấn đề hàng đầu đối với máy chủ web của khách hàng của họ. Với tính năng IDS và IPS trong Imunify360, bạn sẽ được bảo vệ từ trong ra ngoài và từ ngoài vào trong.

Imunify360 có hệ thống ngăn chặn xâm nhập (IPS) tuyệt vời bao gồm một bộ sưu tập toàn diện các quy tắc chính sách từ chối “deny” để chặn tất cả các cuộc tấn công. Và có hiệu quả chống lại những người sử dụng các công cụ tấn công nổi tiếng hiện nay.

Bằng cách giám sát nhật ký của máy chủ, hệ thống phát hiện xâm nhập (IDS) cung cấp khả năng hiển thị tuyệt vời về bảo mật máy chủ. Nó quét các tệp và nhật ký từ nhiều góc độ khác nhau từ đó sẽ thực hiện cấm các IP có dấu hiệu hoạt động bất thường. Hoạt động này bao gồm lỗi mật khẩu, khai thác tiềm năng, v.v. sau đó sẽ báo cáo lại vào màn hình Dashboard của Imunify360.

HỆ THỐNG PHÁT HIỆN PHẦN MỀM ĐỘC HẠI

Với công nghệ phòng thủ chủ động độc đáo của Imunify360 giúp phát hiện và chặn luồng thực thi độc hại, phân tích hành vi của tập lệnh PHP gây hại cho máy chủ web, nó có thể chặn toàn bộ quá trình thực thi hoặc chỉ những luồng độc hại.

Bảo vệ các file hệ thống và dữ liệu của website được up lên máy chủ, xử lý và cách ly các file bị nhiễm hoặc có nguy cơ nhiễm. Các tính năng quét này bao gồm:

– Quét tệp theo thời gian thực: Khi một tập tin được tải lên hệ thống, nó sẽ được quét, nếu nó là độc hại thì nó sẽ được làm sạch. Điều này làm giảm bớt các tác động phá hoại đối với một hệ thống không được bảo vệ và hữu ích nhất cho một hệ thống đã bị nhiễm.
– Hệ thống chạy nền nhằm chống virus nó sẽ thực hiện kiểm tra tệp thường xuyên trong nền để giữ cho máy chủ của bạn luôn sạch sẽ.
– Chạy quét theo yêu cầu: bạn có thể cho chạy bất kỳ lúc nào để kiểm tra bất kỳ thư mục tùy ý nào chống lại phần mềm độc hại.
– Quét cơ sở dữ liệu WordPress kiểm tra các bản ghi WordPress để chống lại việc tiêm mã độc javascript, iframe và các nội dung khác.

GIÁM SÁT TÌNH TRẠNG BẢO MẬT MÁY CHỦ.

Khi máy chủ của bạn được bảo vệ hoặc có các hành vi bất thường xảy ra, nó sẽ gửi dữ liệu và thông báo đến màn hình Dashboard giúp bạn có thể dễ dàng nhận biết.

TỔNG KẾT

Imunify giúp bảo vệ máy chủ web và an toàn bảo dữ liệu với độ chính xác cao, nâng cấp các bản vá dễ dàng, chức năng hoàn toàn dễ sử dụng và dễ hiểu.

Chân thành cảm ơn

Qua nhiều năm hoạt động, Tadu đã mở rộng danh mục dịch vụ, cung cấp sự hỗ trợ cho khách hàng ở nhiều mặt hơn: từ hệ thống email doanh nghiệp, tên miền, hosting cho đến tổng đài ảo cho các cá nhân, doanh nghiệp trên toàn quốc. Bước chân vào lĩnh vực kinh doanh và hỗ trợ các doanh nghiệp ở khía cạnh “online” kể từ năm 2015, Tadu vẫn luôn cố gắng phát triển công ty và đem lại những dịch vụ hỗ trợ tốt nhất cho quý khách hàng, phấn đấu trở thành đơn vị cung cấp dịch vụ lưu trữ website uy tín và chất lượng nhất.

Truy cập Tadu Cloud ngay để được tư vấn và hỗ trợ tất cả các dịch vụ liên quan tới ứng dụng Tadu Cloud.

Chúc quý khách hàng và độc giả thành công. Tadu Cloud xin chân thành cảm ơn!

————————————————————

CÔNG TY CỔ PHẦN CÔNG NGHỆ TADU

Hotline: 1800 6980

Trụ sở chính: Số 5 Đồng Nai, P.2, Q. Tân Bình, TP. HCM

Tel: 028.7300.2069

Fanpage: Tadu.cloud