Cuộc tấn công DDoS mới này được Cloudflare phát hiện vào giữa tháng 5/2025 (tốc độ lớn hơn 12% so với kỷ lục trước đó), với khối lượng dữ liệu khổng lồ khoảng 37,4 TB chỉ trong 45 giây.
Trước đó vào tháng 01/2025, Cloudflare thông báo đã ngăn chặn một cuộc tấn công DDoS với tốc độ 5,6 Tbps nhắm vào một nhà cung cấp dịch vụ Internet (ISP) từ Đông Á. Cuộc tấn công bắt nguồn từ một mạng botnet là biến thể của mã độc Mirai.
Theo dòng sự kiện này, vào tháng 4/2025, Cloudflare tiết lộ rằng họ đã bảo vệ chống lại một cuộc tấn công DDoS 6,5 Tbps, có khả năng xuất phát từ Eleven11bot, một mạng botnet bao gồm khoảng 30.000 webcam và máy ghi hình. Cuộc tấn công này này kéo dài khoảng 49 giây.
Hình 1. Cuộc tấn công DDoS với lưu lượng lớn nhất từ trước đến nay
Cuộc tấn công xuất phát từ 122.145 địa chỉ IP nguồn trải rộng trên 5.433 hệ thống tự động (AS) tại 161 quốc gia, phần lớn các nguồn lưu lượng tấn công này đến từ Brazil, Việt Nam, Đài Loan, Trung Quốc, Indonesia, Ukraine, Ecuador, Thái Lan, Mỹ và Ả Rập Xê Út. Các gói dữ liệu “spam” được phân phối qua nhiều cổng đích trên hệ thống của nạn nhân, trung bình là 21.925 cổng/giây và cao nhất là 34.517 cổng/giây.
Chiến thuật phân tán lưu lượng truy cập này giúp vượt qua các giải pháp tường lửa hoặc hệ thống phát hiện xâm nhập của các tổ chức. Trong một động thái mới nhất, Cloudflare tuyên bố đã có thể giảm thiểu cuộc tấn công mà không cần sự can thiệp từ các quản trị viên và các chuyên gia bảo mật.
Hình 2. Địa chỉ IP nguồn
Mạng anycast của Cloudflare đã phân tán lưu lượng tấn công đến 477 trung tâm dữ liệu tại 293 địa điểm, tận dụng các công nghệ chính như dấu vân tay thời gian thực và truyền tin nội bộ trung tâm dữ liệu để chia sẻ thông tin tình báo và thực thi các tập luật tự động.
Theo Cloudflare, mặc dù phần lớn là tấn công UDP flood (chiếm 99,996% tổng lưu lượng), vẫn có sự kết hợp của các hình thức tấn công khác, bao gồm: QOTD reflection; Echo reflection; NTP amplification; Mirai botnet UDP flood; Portmap flood; RIPv1 amplification.
Cloudflare cho biết các chỉ số xâm phạm (IoC) có giá trị từ cuộc tấn công này đã được cập nhật vào DDoS Botnet Threat Feed, một dịch vụ miễn phí giúp các tổ chức ngăn chặn trước các địa chỉ IP độc hại. Hơn 600 tổ chức đã đăng ký nguồn cấp dữ liệu này và gã khổng lồ Internet kêu gọi bất kỳ tổ chức, doanh nghiệp nào có nguy cơ bị tấn công DDoS, cần hành động và ngăn chặn các cuộc tấn công trước khi chúng xâm nhập vào cơ sở hạ tầng của họ.