DDoS (Distributed Denial of Service) là hình thức tấn công mạng trong đó kẻ tấn công điều phối hàng nghìn đến hàng triệu thiết bị bị chiếm quyền kiểm soát (botnet) đồng loạt gửi lưu lượng tới một mục tiêu — máy chủ, website, hay hạ tầng mạng — nhằm làm cạn kiệt tài nguyên và khiến dịch vụ ngừng hoạt động với người dùng hợp lệ.
1. DDoS là gì? Phân biệt DoS và DDoS
Trước khi hiểu DDoS, cần phân biệt với DoS — tiền thân và họ hàng gần của nó:
| Tiêu chí | DoS | DDoS |
|---|---|---|
| Nguồn tấn công | 1 máy tính / địa chỉ IP | Hàng nghìn–triệu thiết bị phân tán |
| Quy mô lưu lượng | Hàng trăm Mbps | Hàng chục–trăm Tbps |
| Khó chặn không? | Dễ — chặn IP nguồn là xong | Rất khó — IP nguồn liên tục thay đổi |
| Sử dụng Botnet | Không | Có — thường là thiết bị IoT bị nhiễm |
| Mức độ nguy hiểm | Trung bình | Rất cao |
DDoS đặc biệt nguy hiểm vì lưu lượng tấn công trông giống hệt traffic bình thường — đến từ hàng triệu IP "sạch" (thiết bị người dùng bình thường bị kiểm soát mà không hay biết). Không thể đơn giản chặn toàn bộ IP nguồn mà không ảnh hưởng người dùng thật.
2. DDoS hoạt động như thế nào?
Một cuộc tấn công DDoS điển hình diễn ra qua 4 giai đoạn:
Giai đoạn 1: Xây dựng Botnet
Kẻ tấn công lây nhiễm malware (thường qua email phishing, lỗ hổng phần mềm, hoặc thiết bị IoT mật khẩu yếu) lên hàng nghìn đến hàng triệu thiết bị trên toàn thế giới. Các thiết bị này trở thành "zombie" — hoạt động bình thường với chủ sở hữu nhưng âm thầm chờ lệnh từ C&C server (Command & Control).
Giai đoạn 2: Lên kế hoạch và trinh sát
Kẻ tấn công xác định mục tiêu, nghiên cứu hạ tầng mạng, tìm điểm yếu (giới hạn băng thông, số kết nối tối đa, endpoint không được bảo vệ…). Một số vụ DDoS còn kết hợp do thám để tối ưu hóa vector tấn công.
Giai đoạn 3: Phát lệnh tấn công
Từ C&C server, kẻ tấn công ra lệnh cho toàn bộ botnet đồng loạt gửi yêu cầu đến mục tiêu. Lưu lượng tăng từ bình thường lên đỉnh trong vài giây — quá nhanh để hệ thống thông thường phản ứng kịp.
Giai đoạn 4: Mục tiêu sụp đổ
Băng thông mạng bão hòa, CPU/RAM máy chủ bị ngốn hết, hàng đợi kết nối tràn — kết quả là website/service không thể phục vụ người dùng hợp lệ, hiển thị lỗi timeout hoặc hoàn toàn không truy cập được.
3. Các loại tấn công DDoS phổ biến nhất 2025
DDoS không phải một loại tấn công duy nhất — có hàng chục vector khác nhau, phân theo 3 tầng:
Tầng 3/4 — Network & Transport Layer
Gửi hàng triệu gói UDP đến cổng ngẫu nhiên, buộc máy chủ liên tục kiểm tra ứng dụng lắng nghe và phản hồi "port unreachable". Có thể đạt hàng Tbps.
Khai thác TCP handshake bằng cách gửi hàng triệu SYN request nhưng không hoàn tất kết nối, làm cạn kiệt bảng kết nối (connection table) của máy chủ.
Gửi hàng loạt gói ICMP echo request, buộc máy chủ phải phản hồi từng gói — tiêu tốn cả băng thông vào lẫn ra.
DNS Amplification, NTP Amplification — khai thác các server công cộng để khuếch đại lưu lượng lên 50–500 lần, đạt hiệu quả tấn công cực cao với băng thông nhỏ.
Tầng 7 — Application Layer (HTTP Flood)
Nguy hiểm hơn vì lưu lượng trông hoàn toàn hợp lệ — là các HTTP GET/POST request thực. Không thể chặn bằng firewall truyền thống. Cần WAF thông minh và bot detection.
Gửi hàng triệu HTTP request đến các endpoint tốn tài nguyên nhất (tìm kiếm, đăng nhập, thanh toán). Mỗi request tốn CPU xử lý database query.
Mở nhiều kết nối HTTP nhưng gửi header chậm như rùa, buộc server giữ kết nối mở mãi — chỉ cần băng thông nhỏ nhưng có thể hạ gục server lớn.
Thêm query string ngẫu nhiên vào mỗi request để CDN không cache được, buộc mọi request đến origin server trực tiếp.
Liên tục yêu cầu TLS handshake mới nhưng không hoàn thành — quá trình mã hóa rất tốn CPU, khiến server bị nghẽn dù băng thông còn trống.
4. Thiệt hại thực tế: DDoS tại Việt Nam
Việt Nam liên tục nằm trong top 10 quốc gia bị tấn công DDoS nhiều nhất châu Á. Theo VNCERT/CC và các báo cáo bảo mật:
🔴 Tình trạng thực tế tại Việt Nam:
Các ngành bị tấn công DDoS nhiều nhất gồm: Game online (chiếm ~35%), Thương mại điện tử (~25%), Tài chính – Ngân hàng (~20%), và Truyền thông – Tin tức (~15%). Mùa cao điểm tấn công thường trùng với Black Friday, Tết Nguyên Đán, và các giải đấu game lớn.
Case study 1: Nền tảng game online bị tấn công trong giải đấu
Một nền tảng game online Việt Nam với ~500.000 người chơi hàng ngày bị tấn công DDoS 3.2 Tbps ngay khi giải đấu lớn bắt đầu. Máy chủ sập trong 4 tiếng, ước tính thiệt hại trực tiếp: hơn 2 tỷ đồng (doanh thu mất + bồi thường người chơi) — chưa kể thiệt hại thương hiệu và người chơi bỏ sang platform khác.
Case study 2: Sàn TMĐT bị tấn công ngày flash sale
Một sàn thương mại điện tử trong nước bị HTTP flood tầng 7 ngay khi chương trình 11.11 bắt đầu. Tấn công không đủ lớn để sập server nhưng khiến tốc độ tải trang tăng từ 1.5 giây lên 18 giây — tỷ lệ bỏ giỏ hàng tăng 340%, doanh thu ngày đó giảm ~60% so với kế hoạch.
5. 7 cách chống DDoS hiệu quả
✅ Cách 1: Triển khai CDN với DDoS Scrubbing
Đây là biện pháp hiệu quả nhất với tấn công volumetric (tầng 3/4). CDN phân tán lưu lượng tấn công ra hàng nghìn PoP trên toàn cầu — không một điểm nào bị quá tải. Scrubbing center lọc traffic độc hại trước khi đến origin server.
Shieldix hấp thụ được 15 Tbps — đủ để xử lý ngay cả các cuộc tấn công lớn nhất được ghi nhận tại Việt Nam.
✅ Cách 2: WAF — Chặn DDoS tầng 7
WAF (Web Application Firewall) phân tích từng HTTP request và áp dụng các rule để phân biệt traffic hợp lệ với attack traffic. Khi phát hiện pattern bất thường (quá nhiều request từ 1 IP, request đến endpoint nhạy cảm, user-agent lạ…), WAF tự động chặn. Đọc thêm: WAF là gì và cách hoạt động.
✅ Cách 3: Rate Limiting thông minh
Giới hạn số request mỗi IP có thể gửi trong một khoảng thời gian. Quan trọng là cài đặt ngưỡng thông minh — đủ chặt để chặn bot nhưng đủ rộng để không ảnh hưởng người dùng thật. Rate limiting hiệu quả nhất khi kết hợp với bot detection.
✅ Cách 4: Anycast Routing
Kỹ thuật định tuyến mạng phân tán một địa chỉ IP duy nhất ra nhiều data center trên thế giới. Khi bị tấn công, lưu lượng tự động được phân tán và hấp thụ bởi toàn bộ mạng lưới thay vì đổ vào một điểm duy nhất.
✅ Cách 5: BGP Blackholing và Traffic Diversion
Trong trường hợp tấn công cực lớn, có thể tạm thời "đen hóa" (blackhole) lưu lượng đến một IP nhất định ở tầng BGP — toàn bộ traffic đến IP đó bị hủy tại router ISP trước khi vào data center. Biện pháp này làm ngắt cả traffic hợp lệ nhưng bảo vệ phần còn lại của hạ tầng.
✅ Cách 6: Giám sát và phản ứng 24/7
Công cụ giám sát real-time phát hiện sự tăng bất thường của traffic, kích hoạt alert cho đội ngũ security. Thời gian phát hiện và phản ứng nhanh (MTTD/MTTR) quyết định mức thiệt hại. Mỗi phút chậm = thêm hàng triệu đồng thiệt hại.
✅ Cách 7: Kiến trúc "Defense in Depth"
Không có biện pháp đơn lẻ nào đủ tốt cho mọi loại tấn công. Kiến trúc bảo vệ nhiều lớp (defense in depth) kết hợp CDN + WAF + Rate Limiting + DDoS Scrubbing + Monitoring là cách duy nhất để bảo vệ toàn diện:
🛡️ Mô hình bảo vệ nhiều lớp của Shieldix:
Internet → Anycast Edge (lọc volumetric) → DDoS Scrubbing Center → WAF (lọc L7) → Bot Shield → Rate Limiting → Origin Server
Mỗi lớp xử lý một loại mối đe dọa khác nhau. Kẻ tấn công phải vượt qua tất cả.
6. DDoS và WAF: Không thể thay thế nhau
Một lầm tưởng phổ biến là "có WAF rồi không cần DDoS protection" — hoặc ngược lại. Thực tế, hai công cụ này bảo vệ ở tầng khác nhau và bổ trợ cho nhau:
| Tiêu chí | DDoS Protection | WAF |
|---|---|---|
| Tầng bảo vệ | Network (L3/L4) + một phần L7 | Application (L7) |
| Chống được gì? | Volumetric attack, SYN flood, UDP flood | SQLi, XSS, OWASP Top 10, HTTP flood |
| Giới hạn | Kém hiệu quả với tấn công L7 tinh vi | Không chống được volumetric attack |
| Kết hợp lý tưởng | DDoS Protection + WAF + Bot Shield = bảo vệ toàn diện | |
7. Dấu hiệu nhận biết đang bị tấn công DDoS
Nhận biết sớm giúp giảm thiệt hại đáng kể. Các dấu hiệu cần chú ý:
- Tốc độ trang đột ngột giảm mạnh — không rõ nguyên nhân, không do deploy mới
- Một hoặc nhiều URL cụ thể không phản hồi — đặc biệt là trang thanh toán, đăng nhập
- Băng thông đột ngột tăng vọt trong dashboard hosting/CDN
- Số kết nối đến server tăng bất thường — gấp 10–100 lần bình thường
- Log server xuất hiện hàng triệu request từ cùng một dải IP
- CPU/RAM server đạt 100% mà không có lý do từ ứng dụng
- Alert từ uptime monitoring tool báo site down
⚠️ Đừng nhầm với DDoS: Không phải mọi lần website chậm hay sập đều là DDoS. Deployment lỗi, database bị lock, traffic viral hợp lệ cũng gây ra triệu chứng tương tự. Cần phân tích log và traffic pattern để xác định chính xác trước khi kích hoạt biện pháp ứng phó.
8. Kế hoạch ứng phó DDoS — làm gì khi bị tấn công?
Khi phát hiện đang bị tấn công, thực hiện theo thứ tự:
- Xác nhận: Kiểm tra log, dashboard CDN, traffic graph — xác định đây là DDoS hay sự cố khác
- Thông báo nội bộ: Alert đội ngũ kỹ thuật, management; kích hoạt incident response plan
- Kích hoạt DDoS mitigation: Bật "Under Attack Mode" trên CDN/WAF (nếu dùng Shieldix, gọi hotline 24/7)
- Phân loại tấn công: Volumetric hay L7? Để áp dụng đúng biện pháp đối phó
- Giám sát liên tục: Theo dõi hiệu quả mitigation, điều chỉnh rule nếu cần
- Ghi lại bằng chứng: Log, pcap, screenshot — phục vụ báo cáo và cải thiện sau này
- Post-incident review: Sau khi yên, phân tích nguyên nhân và vá lỗ hổng
9. Kết luận
DDoS không còn là mối đe dọa chỉ dành cho các tập đoàn lớn. Với chi phí thuê botnet ngày càng rẻ (thậm chí dưới $10/giờ trên dark web), bất kỳ doanh nghiệp nào cũng có thể là mục tiêu — đặc biệt trong các ngành game, TMĐT, tài chính và truyền thông.
Đầu tư vào bảo vệ DDoS không phải chi phí, mà là bảo hiểm nghiệp vụ. Chi phí 1 ngày downtime thường cao gấp nhiều lần chi phí 1 năm bảo vệ.
Tìm hiểu thêm về CDN và cách CDN tích hợp DDoS protection, hay khám phá WAF là gì để hiểu rõ hơn về bức tranh bảo mật toàn diện.
Bảo vệ doanh nghiệp khỏi DDoS ngay hôm nay
15 Tbps DDoS mitigation · WAF tích hợp · Bot Shield · Giám sát 24/7 · Được cấp phép Bộ Công An
Nhận tư vấn miễn phí