Tấn công DDoS 25 Gbps tại Việt Nam sự số vHost mới nhất 2026

Từ ngày 23/05/2026, nhà cung cấp hosting vHost (Việt Nam) liên tục hứng chịu các đợt tấn công DDoS với lưu lượng đỉnh điểm vượt 22–25 Gbps mỗi lần. Các kỹ thuật tấn công gồm ICMP Flood, DNS Amplification và NTP Amplification. Sau khi nâng cấp uplink lên 40 Gbps vào ngày 27/05/2026, hệ thống dần ổn định nhưng vẫn tiếp tục bị tấn công. Khách hàng vHost cần đổi DNS Resolver sang 103.143.145.6 trước ngày 05/06/2026.

Tấn công DDoS là gì? Định nghĩa và nguyên lý hoạt động

Tấn công DDoS (Distributed Denial of Service — Tấn công từ chối dịch vụ phân tán) là hình thức tấn công mạng trong đó kẻ xấu điều phối hàng nghìn đến hàng triệu thiết bị bị nhiễm mã độc (botnet) để đồng loạt gửi lưu lượng truy cập (traffic) khổng lồ đến một mục tiêu duy nhất — có thể là máy chủ, website, hệ thống DNS hoặc hạ tầng mạng.

Khi lưu lượng tấn công vượt quá khả năng xử lý của hệ thống, toàn bộ dịch vụ bị tê liệt: website không thể truy cập, ứng dụng ngừng hoạt động, email không gửi được — gây thiệt hại nghiêm trọng về kinh tế và uy tín cho doanh nghiệp.

Điểm khác biệt giữa tấn công DDoS và tấn công DoS thông thường nằm ở quy mô: thay vì một nguồn tấn công duy nhất, DDoS sử dụng nhiều nguồn phân tán trên khắp thế giới, khiến việc chặn trở nên cực kỳ khó khăn.

Các loại hình tấn công DDoS phổ biến nhất

Có ba nhóm chính mà các chuyên gia bảo mật phân loại dựa trên cơ chế hoạt động:

• Tấn công băng thông (Volumetric Attack) Mục tiêu là làm bão hòa đường truyền bằng cách đổ một lượng traffic khổng lồ vào băng thông uplink của nạn nhân. ICMP Flood và UDP Flood thuộc nhóm này. Đây là dạng tấn công DDoS phổ biến và trực tiếp nhất.
• Tấn công giao thức (Protocol Attack) Khai thác điểm yếu trong các giao thức mạng như TCP, UDP để tiêu thụ tài nguyên của máy chủ hoặc thiết bị trung gian (firewall, load balancer). SYN Flood là ví dụ điển hình.
• Tấn công ứng dụng (Application Layer Attack) Nhắm vào tầng ứng dụng (Layer 7), mô phỏng hành vi người dùng hợp lệ để làm quá tải máy chủ web. Khó phát hiện hơn vì traffic trông “bình thường.”

Diễn biến tấn công DDoS tại vHost từ 23/05 đến 05/06/2026

Sự cố tại vHost là một trong những đợt tấn công DDoS kéo dài và có quy mô lớn nhất ghi nhận tại Việt Nam trong năm 2026. Dưới đây là toàn bộ diễn biến theo từng mốc thời gian.

Ngày 23/05/2026 — tấn công bùng phát, lưu lượng vượt 10 Gbps

Hệ thống vHost ghi nhận traffic tấn công đột ngột tăng vọt, vượt ngưỡng 10 Gbps, gây tắc nghẽn uplink và làm gián đoạn kết nối BGP peering — kết nối liên mạng quan trọng giúp định tuyến traffic giữa các nhà cung cấp Internet.

Khi lưu lượng tấn công vượt băng thông đường truyền chính, toàn bộ traffic — bao gồm cả người dùng hợp lệ — bị ùn tắc và không thể đi qua. Đây chính là mục tiêu mà tấn công DDoS hướng đến: làm tắc nghẽn “đường vào” trước khi đến bất kỳ cơ chế lọc nào.

Phản ứng ngay lập tức của đội kỹ thuật là điều phối traffic sang router dự phòng, giúp phần lớn dịch vụ khách hàng — từ hosting WordPress đến VPS — tiếp tục hoạt động trong giai đoạn đầu.

Ngày 24/05/2026 — khởi động khẩn cấp nâng cấp hạ tầng

Ngay sáng Chủ nhật 24/05, đội ngũ vHost làm việc khẩn cấp với đối tác hạ tầng để xúc tiến phương án nâng cấp uplink từ 10 Gbps lên 40 Gbps. Tuy nhiên, do các thủ tục phê duyệt kỹ thuật và hành chính từ phía đối tác, quá trình này không thể hoàn tất ngay trong ngày.

Đây là bài học thực tế về điểm nghẽn trong ứng phó sự cố: dù đội kỹ thuật nội bộ sẵn sàng và có phương án rõ ràng, sự phụ thuộc vào bên thứ ba vẫn kéo dài thời gian khắc phục đến 4 ngày.

Ngày 27/05/2026 — uplink lên 40 Gbps, hệ thống ổn định trở lại

Tối thứ Tư 27/05, hạ tầng được nâng cấp thành công. Với băng thông 40 Gbps, hệ thống có thêm khả năng hấp thụ các đợt tấn công có quy mô lớn hơn, đồng thời tạo đủ “dư địa” để triển khai các giải pháp lọc traffic (traffic scrubbing) mà không bị sập hoàn toàn. So sánh Linux và Windows chạy bền bỉ

27/05 – 03/06/2026 — tấn công tiếp diễn với cường độ 22+ Gbps/lần

Dù hạ tầng đã được gia cố, kẻ tấn công không dừng lại. vHost tiếp tục ghi nhận các đợt tấn công DDoS mỗi ngày. Riêng ngày 02/06/2026, hệ thống chịu 3 lượt tấn công liên tiếp, mỗi lượt đạt hơn 22 Gbps — xấp xỉ ngưỡng băng thông uplink mới.

Điều này cho thấy kẻ tấn công đã điều chỉnh quy mô theo thông tin nâng cấp hạ tầng, hoặc đây là botnet có khả năng tự điều tiết để duy trì áp lực tối đa lên mục tiêu.

Kỹ thuật tấn công DDoS được sử dụng

vHost xác định hai nhóm kỹ thuật chính trong đợt tấn công này. Hiểu rõ cơ chế giúp đội ngũ IT và quản trị mạng chủ động phòng thủ.

ICMP flood attack đơn giản nhưng vẫn hiệu quả

ICMP (Internet Control Message Protocol) là giao thức mạng cơ bản, thường được dùng để kiểm tra kết nối qua lệnh ping. Trong tấn công DDoS kiểu ICMP Flood, kẻ tấn công gửi hàng triệu gói tin ICMP mỗi giây đến địa chỉ IP nạn nhân.

Mỗi gói tin ICMP tuy nhỏ, nhưng với số lượng đủ lớn và nguồn phân tán (botnet), tổng lưu lượng có thể lên đến hàng chục Gbps, tiêu thụ cả băng thông lẫn tài nguyên CPU của máy chủ phải xử lý phản hồi.

Biện pháp xử lý của vHost: Tạm thời vô hiệu hóa phản hồi ICMP trên toàn bộ dải địa chỉ IP. Đây là lý do tại sao nếu bạn dùng ping để kiểm tra server vHost, bạn sẽ không nhận được phản hồi — nhưng dịch vụ vẫn hoạt động bình thường.

Lưu ý quan trọng cho quản trị viên: Nếu hệ thống monitoring của bạn dùng ping để kiểm tra uptime, hãy chuyển ngay sang HTTP/HTTPS check, TCP Port check, DNS check hoặc kiểm tra end-service trực tiếp.

UDP flood + amplification attack 

Đây là kỹ thuật tấn công DDoS tinh vi hơn, kết hợp giữa UDP Flood và kỹ thuật khuếch đại (Amplification). Thay vì tự gửi toàn bộ traffic, kẻ tấn công “mượn” các máy chủ thứ ba để nhân bội lưu lượng lên nhiều lần.

DNS Amplification — lợi dụng máy chủ DNS công khai

Quy trình hoạt động của DNS Amplification trong tấn công DDoS:

1. Kẻ tấn công giả mạo (spoof) địa chỉ IP nguồn thành IP của nạn nhân.
2. Gửi truy vấn DNS đến các resolver công khai (ví dụ: 8.8.8.8, 1.1.1.1 hoặc các DNS không được cấu hình bảo mật).
3. Máy chủ DNS nhận yêu cầu và gửi phản hồi về địa chỉ IP giả mạo — tức là địa chỉ của nạn nhân.
4. Phản hồi DNS thường lớn hơn truy vấn ban đầu từ 10 đến 70 lần, tạo ra hiệu ứng khuếch đại.

Kết quả: kẻ tấn công chỉ cần băng thông nhỏ để tạo ra lưu lượng tấn công DDoS khổng lồ đổ về mục tiêu.

NTP Amplification hệ số khuếch đại lên đến 556 lần

NTP (Network Time Protocol) là giao thức đồng bộ thời gian, một trong những giao thức cơ bản nhất của Internet. Trong kỹ thuật tấn công DDoS NTP Amplification:

• Kẻ tấn công gửi lệnh monlist đến các máy chủ NTP lỗi thời (chưa vá lỗ hổng).
• Lệnh này yêu cầu danh sách 600 kết nối gần nhất của máy chủ NTP, tạo ra phản hồi cực lớn.
• Hệ số khuếch đại có thể lên đến 556 lần — nghĩa là 1 Gbps traffic tấn công thực sự có thể tạo ra 556 Gbps đổ về nạn nhân.

Đây là lý do tại sao các đợt tấn công DDoS hiện đại có thể đạt đến quy mô Tbps mà không đòi hỏi botnet cực lớn.

Hardware Offload giải pháp lọc ở tầng phần cứng

Khi lưu lượng tấn công vượt 22–25 Gbps, xử lý bằng phần mềm tại tầng hệ điều hành (OS) không đủ nhanh để phân loại và loại bỏ traffic độc hại. vHost đã triển khai hardware offload trên card firewall chuyên dụng để thực hiện traffic scrubbing — lọc sạch traffic ngay ở tầng phần cứng trước khi đến bất kỳ lớp xử lý nào của hệ thống.

Nguồn gốc lưu lượng tấn công ai đứng sau đợt DDoS này?

Phân tích thống kê địa lý lưu lượng tấn công trong một tháng cho thấy:

Cảnh báo quan trọng: Địa chỉ IP nguồn trong tấn công DDoS gần như không phản ánh danh tính thực của kẻ tấn công. Có hai lý do: Phiên bản Ubuntu mới nhất hiệu quả

• IP Spoofing: Kẻ tấn công có thể giả mạo địa chỉ IP nguồn trong các gói tin UDP/ICMP.
• Botnet: Traffic thực chất đến từ các thiết bị bị nhiễm mã độc — máy tính, router, camera IP, IoT — của người dùng bình thường tại Mỹ, Việt Nam và nhiều quốc gia khác, hoàn toàn không biết thiết bị của mình đang bị lợi dụng.

Con số 29,76% traffic tấn công DDoS đến từ Việt Nam là dấu hiệu đáng lo ngại về quy mô botnet nội địa — số lượng thiết bị Việt Nam đang bị kiểm soát bởi các mạng mã độc không nhỏ, đòi hỏi sự quan tâm của toàn cộng đồng người dùng và quản trị mạng.

Hành động cần làm ngay dành cho khách hàng vHost

Đây là ba việc cụ thể bạn cần thực hiện để đảm bảo dịch vụ không bị gián đoạn.

1. Đổi DNS resolver hạn chót 05/06/2026

Trong quá trình chống tấn công DDoS kiểu DNS Amplification, vHost buộc phải chặn một phần lưu lượng UDP. Điều này có thể ảnh hưởng đến khả năng phân giải tên miền nếu bạn đang dùng DNS Resolver mặc định hoặc của bên thứ ba.

➜ Cập nhật DNS Resolver của bạn sang: 103.143.145.6

Cách thực hiện tùy thuộc vào hệ điều hành:

• Windows: Control Panel → Network and Sharing Center → Change adapter settings → Properties → IPv4 → DNS Server.
• Linux/Ubuntu: Chỉnh sửa /etc/resolv.conf hoặc cấu hình qua NetworkManager.
• cPanel/DirectAdmin: Đăng nhập hosting panel → DNS Zone → Cập nhật nameserver.
• Router/Modem: Đăng nhập giao diện quản trị → WAN Settings → DNS.

2. Cập nhật time server (NTP)

Để đảm bảo đồng bộ thời gian chính xác và tránh bị ảnh hưởng bởi các biện pháp lọc NTP đang được triển khai:

➜ Sử dụng Time Server: time.vhost.vn

3. Điều chỉnh hệ thống monitoring

Do ICMP đã bị chặn trên toàn dải IP để chống tấn công DDoS ICMP Flood, các công cụ giám sát dùng ping sẽ không nhận được phản hồi. Hãy chuyển sang:

• HTTP/HTTPS check (kiểm tra mã phản hồi 200 OK)
• TCP Port check (kiểm tra cổng 80, 443, 22…)
• DNS check
• Kiểm tra trực tiếp dịch vụ cuối (end-service monitoring)

Nếu bạn đang vận hành website chuẩn SEO hoặc hệ thống thương mại điện tử, việc theo dõi uptime liên tục qua HTTP check là bắt buộc để phát hiện gián đoạn kịp thời.

Bài học kỹ khuật từ đợt tấn công DDoS tại vHost

Sự cố này cung cấp nhiều góc nhìn thực tiễn có giá trị cho các nhà quản trị hạ tầng và doanh nghiệp tại Việt Nam.

Bài học 1: Băng thông thuần túy không đủ để chống DDoS

Kỹ thuật Amplification cho phép kẻ tấn công DDoS tạo ra lưu lượng gấp hàng chục đến hàng trăm lần băng thông thực sự mà chúng sở hữu. Với NTP Amplification (hệ số 556x), một kẻ tấn công chỉ cần kiểm soát 40 Mbps traffic có thể tạo ra đợt tấn công DDoS 22 Gbps.

Do đó, chiến lược phòng thủ không thể chỉ dựa vào việc “mua thêm băng thông.” Cần kết hợp: scrubbing center, anycast routing, rate limiting, và các dịch vụ chống DDoS chuyên biệt.

Bài học 2: Hardware scrubbing là bắt buộc ở quy mô lớn

Khi lưu lượng vượt 20 Gbps, CPU của các máy chủ thông thường không thể xử lý đủ nhanh để phân loại từng gói tin. Card firewall chuyên dụng với khả năng hardware offload có thể xử lý hàng triệu gói tin mỗi giây ở tầng phần cứng, tạo ra lớp bảo vệ đầu tiên trước khi traffic đến hệ điều hành.

Bài học 3: SLA với đối tác hạ tầng quyết định thời gian phục hồi

Dù đội kỹ thuật vHost phát hiện sự cố và có phương án xử lý ngay từ ngày đầu, việc nâng cấp uplink mất đến 4 ngày vì phụ thuộc vào quy trình phê duyệt của đối tác hạ tầng. Đây là rủi ro mà mọi nhà cung cấp dịch vụ — và mọi doanh nghiệp phụ thuộc vào hạ tầng thuê ngoài — cần tính đến khi ký kết SLA và xây dựng kế hoạch dự phòng.

Bài học 4: botnet nội địa là vấn đề cộng đồng

Gần 30% lưu lượng tấn công DDoS đến từ địa chỉ IP Việt Nam cho thấy quy mô đáng lo ngại của botnet nội địa. Người dùng và doanh nghiệp Việt Nam có trách nhiệm bảo vệ thiết bị của mình để không vô tình trở thành “vũ khí” trong các đợt tấn công DDoS nhắm vào người khác. Hệ thống bảo mật bền

Xu hướng tấn công DDoS tại Việt Nam năm 2025–2026

Trong giai đoạn 2025–2026, các cuộc tấn công DDoS tại Việt Nam gia tăng mạnh cả về tần suất lẫn quy mô. Hạ tầng hosting, cloud server và DNS là những mục tiêu thường xuyên nhất vì lý do đơn giản: khi một nhà cung cấp bị tấn công DDoS, hàng nghìn website và dịch vụ của khách hàng đều bị ảnh hưởng dây chuyền — gây tác động nhân lên nhiều lần so với tấn công vào từng mục tiêu đơn lẻ.

Các yếu tố thúc đẩy sự gia tăng tấn công DDoS tại Việt Nam:

• Tăng trưởng kinh tế số: Càng nhiều doanh nghiệp và dịch vụ chuyển lên môi trường trực tuyến, giá trị mục tiêu tấn công DDoS càng lớn.
• Dịch vụ DDoS-for-hire: Các dịch vụ thuê tấn công DDoS (stresser/booter) ngày càng rẻ và dễ tiếp cận trên dark web, giúp ngay cả những kẻ không có kỹ thuật cũng có thể phát động tấn công.
• Botnet IoT bùng nổ: Camera an ninh, router gia đình, thiết bị thông minh với bảo mật yếu là nguồn tuyển dụng botnet dồi dào tại Việt Nam.
• Cạnh tranh thương mại: Một số đợt tấn công DDoS được cho là có động cơ cạnh tranh kinh doanh, nhắm vào đối thủ trong ngành e-commerce, gaming, hay dịch vụ số.

Câu hỏi thường gặp về tấn công DDoS

Tấn công DDoS và DoS khác nhau như thế nào?

DoS (Denial of Service) xuất phát từ một nguồn duy nhất. Tấn công DDoS (Distributed DoS) sử dụng nhiều nguồn phân tán — thường là botnet gồm hàng nghìn thiết bị — khiến việc chặn theo IP nguồn gần như vô hiệu.

Làm thế nào để biết website của mình đang bị tấn công DDoS?

Các dấu hiệu nhận biết: website đột ngột chậm hoặc không thể truy cập; lưu lượng tăng bất thường không giải thích được; log server ghi nhận hàng triệu request từ nhiều IP khác nhau trong thời gian ngắn; dịch vụ DNS không phản hồi.

Doanh nghiệp nhỏ có cần lo về tấn công DDoS không?

Có. Tấn công DDoS ngày nay không chỉ nhắm vào doanh nghiệp lớn. Các dịch vụ DDoS-for-hire giá rẻ (thậm chí chỉ vài USD/giờ) khiến bất kỳ website nào cũng có thể trở thành mục tiêu, kể cả shop online nhỏ, forum, hay blog.

Chi phí phòng chống tấn công DDoS như thế nào?

Có nhiều mức: từ cấu hình cơ bản trên firewall (miễn phí nhưng hiệu quả hạn chế), đến các dịch vụ CDN có tích hợp bảo vệ DDoS như Cloudflare (miễn phí đến vài chục USD/tháng), đến các giải pháp enterprise chuyên biệt (hàng nghìn đến hàng chục nghìn USD/tháng tùy quy mô).

Kết luận

Đợt tấn công DDoS nhắm vào vHost từ ngày 23/05/2026 là lời nhắc nhở rõ ràng rằng không có hệ thống nào hoàn toàn miễn nhiễm. Quy mô 22–25 Gbps với kỹ thuật Amplification cho thấy kẻ tấn công ngày càng tinh vi và có nguồn lực.

Với người dùng vHost, việc cập nhật DNS Resolver (103.143.145.6) và Time Server (time.vhost.vn) trước ngày 05/06/2026 là ưu tiên hàng đầu. Với cộng đồng kỹ thuật rộng hơn, đây là cơ hội để rà soát lại chiến lược phòng thủ, từ cấu hình hardware đến điều khoản SLA với đối tác hạ tầng, và quan trọng hơn — bảo vệ thiết bị của mình để không trở thành mắt xích trong mạng lưới botnet phục vụ tấn công DDoS tiếp theo.