Trong Báo cáo tình hình tấn công DDoS quý IV/2025 vừa công bố, Viettel Cyber Security (VCS) cho biết hệ thống Viettel Anti-DDoS đã ghi nhận mức tăng mạnh về tần suất tấn công trong những tháng cuối năm. Không chỉ số lượng tấn công tăng cao, các chiến dịch DDoS cũng có xu hướng được tổ chức bài bản hơn khi tin tặc phối hợp nhiều kỹ thuật tấn công khác nhau, tận dụng botnet IoT và các dịch vụ tấn công cho thuê để mở rộng quy mô.
Bản báo cáo gần 40 trang công đưa ra các số liệu thống kê mới nhất, cũng như phân tích chi tiết các xu hướng, kỹ thuật tấn công mới đang được tin tặc sử dụng tại Việt Nam và trên thế giới, qua đó giúp các tổ chức và doanh nghiệp hiểu rõ hơn về hiện trạng mối đe dọa của tấn công DDoS để chuẩn bị các biện pháp phòng vệ phù hợp.
Tấn công tăng vọt với kỹ thuật ngày càng tinh vi
DDoS (Distributed Denial of Service) là hình thức tấn công khiến website hoặc dịch vụ trực tuyến bị quá tải do lượng lớn truy cập giả mạo gửi tới trong cùng thời điểm, khiến hệ thống không thể xử lý kịp và dẫn tới gián đoạn dịch vụ. Dù đã xuất hiện nhiều thập kỷ, đây vẫn là một trong những dạng tấn công phổ biến nhất đối với hạ tầng Internet.
Số lượng tấn công DDos trong quý IV năm 2024 & 2025. Nguồn: Viettel Anti-DDos
Theo thống kê của VCS trong quý IV/2025, hệ thống ghi nhận 1.339.819 cuộc tấn công DDoS tại Việt Nam, tăng 577% so với cùng kỳ năm 2024. Điểm bất thường còn nằm ở cường độ và quy mô tấn công. Trong khi ở các giai đoạn trước, tin tặc thường chỉ tập trung vào một trong hai yếu tố - hoặc triển khai nhiều cuộc tấn công cường độ thấp, hoặc thực hiện một số ít cuộc tấn công với cường độ lớn - thì trong năm 2025 hai yếu tố này đã được kết hợp đồng thời. Các cuộc tấn công nhỏ diễn ra dày đặc hơn, trong khi những đợt tấn công quy mô lớn vẫn xuất hiện nhằm gây gián đoạn dịch vụ.
Trong đó, các cuộc tấn công DDoS có cường độ dưới 1 Gbps có sự gia tăng mạnh mẽ, với số lượng gấp 6,4 lần so với cùng kỳ năm 2024. Các cuộc tấn công có cường độ 1-5 Gbps tiếp tục được triển khai mạnh, chiếm hơn 73% tổng số các cuộc tấn công vượt ngưỡng 1 Gbps trong quý. Đỉnh điểm, hệ thống Viettel Anti-DDoS đã ghi nhận có chiến dịch đạt cường độ hơn 4,2 Tbps, tập trung vào các tổ chức thuộc khối công nghệ thông tin, dịch vụ giải trí số và giáo dục.
"Xu hướng này cho thấy sự thay đổi rõ rệt trong chiến lược của các đối tượng tấn công, không chỉ dừng lại ở việc gia tăng tần suất mà còn kết hợp đồng thời nhiều hình thức tấn công khác nhau, từ đó gây tổn thất tối đa cho những tổ chức, doanh nghiệp bị nhắm mục tiêu", đại diện Viettel Cyber Security nhận định.
Trong quý IV/2025, các cuộc tấn công DDoS khai thác bộ giao thức TCP tiếp tục chiếm tỷ trọng cao nhất, với hơn 59% tổng số vụ tấn công. Tin tặc thường tạo ra lượng lớn kết nối giả hoặc bán hoàn chỉnh nhằm làm cạn kiệt tài nguyên máy chủ, khiến hệ thống không thể xử lý các kết nối hợp lệ. Ngoài ra, một trong những nguyên nhân được các chuyên gia VCS chỉ ra là sự phổ biến của các kỹ thuật tấn công mới như Carpet Bombing - thay vì tập trung lưu lượng vào một địa chỉ IP cụ thể, hình thức này phân tán lưu lượng trên toàn bộ dải IP của mục tiêu, khiến các cơ chế phòng vệ dựa trên ngưỡng lưu lượng khó phát hiện.
Theo các chuyên gia VCS, những phương thức này khiến việc phân biệt giữa lưu lượng hợp lệ và lưu lượng tấn công trở nên khó khăn hơn, đặt ra thách thức lớn cho các hệ thống phòng thủ DDoS truyền thống. "Nếu không có các cơ chế phân tích hành vi và lọc lưu lượng nâng cao, các hệ thống hạ tầng có nguy cơ bị quá tải, ảnh hưởng trực tiếp tới tính ổn định và khả năng sẵn sàng của dịch vụ cung cấp cho khách hàng".
Xu hướng toàn cầu tác động tới Việt Nam
Bên cạnh bức tranh tại Việt Nam, báo cáo của Viettel Cyber Security cũng phân tích các xu hướng tấn công DDoS trên thế giới, vốn đang tác động trực tiếp tới môi trường an ninh mạng trong nước.
Một trong những yếu tố đáng chú ý là sự phát triển nhanh của các mạng botnet IoT. Trong năm 2025, các chuyên gia ghi nhận sự xuất hiện của botnet Kimwolf, lây nhiễm chủ yếu trên các thiết bị Android như Android TV, máy tính bảng và nhiều thiết bị IoT khác. Theo thống kê, các thiết bị bị nhiễm của mạng botnet này phân bố tại hơn 200 quốc gia và vùng lãnh thổ, và chỉ trong ba ngày của tháng 11/2025 đã thực thi hơn 1,7 tỷ lệnh tấn công DDoS trên Internet. Botnet này sử dụng nhiều kỹ thuật che giấu nhằm tránh bị phát hiện. Một trong số đó là DNS over TLS (DoT) - giúp che giấu nội dung lệnh điều khiển và vượt qua các cơ chế giám sát DNS truyền thống, hay EtherHiding - thông tin về máy chủ điều khiển được nhúng trong hệ thống blockchain, khiến việc phát hiện và triệt phá hạ tầng điều khiển trở nên khó khăn hơn.
Báo cáo cũng đề cập đến AISURU, một trong những mạng botnet IoT lớn được coi là mối đe dọa DDoS cho hạ tầng Internet toàn cầu và gây ra hàng loạt cuộc tấn công DDoS "kỷ lục". Một cuộc tấn công liên quan tới botnet này đã đạt cường độ 29,7 Tbps, thuộc nhóm các cuộc tấn công DDoS lớn nhất từng được ghi nhận trên Internet. Một cuộc tấn công khác đạt 15,72 Tbps, với nguồn lưu lượng từ hơn 500.000 địa chỉ IP, cũng được xác nhận có sự tham gia của AISURU.
"Xu hướng hiện nay cho thấy tin tặc không chỉ mở rộng quy mô botnet mà còn chuyển dần sang các hình thức tấn công tinh vi hơn, mô phỏng hành vi truy cập hợp lệ để vượt qua các cơ chế phòng thủ truyền thống", chuyên gia Viettel Cyber Security nhận định.
Từ tình hình tấn công trên thế giới cũng như các dấu hiệu tại Việt Nam, VCS khuyến nghị các tổ chức và doanh nghiệp cần chủ động nâng cao năng lực phòng vệ. Trong đó, việc triển khai các giải pháp chống DDoS chuyên dụng có khả năng bảo vệ cả tầng mạng và tầng ứng dụng được xem là yếu tố quan trọng. Đồng thời, doanh nghiệp cần thiết lập cơ chế giám sát lưu lượng theo thời gian thực, kết hợp các biện pháp lọc truy cập và phân tích hành vi để phát hiện sớm dấu hiệu bất thường. Các chuyên gia cũng khuyến nghị xây dựng kịch bản ứng phó sự cố và tăng cường hợp tác với các đơn vị an ninh mạng để giảm thiểu rủi ro khi xảy ra tấn công.
Để cập nhật các thông tin mới nhất về an ninh mạng tại Việt Nam và trên thế giới, vui lòng truy cập tại website của Viettel Cyber Security : https://viettelsecurity.com/vi/