Seo AI
AI Agent
Đăng nhậpTừ ngày 23/05/2026, hệ thống hạ tầng của nhà cung cấp hosting vHost (Việt Nam) hứng chịu đợt tấn công DDoS kéo dài, với lưu lượng tấn công đỉnh điểm vượt 22–25 Gbps mỗi lần, gồm ICMP Flood, DNS Amplification và NTP Amplification. Sau khi nâng cấp uplink lên 40 Gbps vào ngày 27/05, hệ thống ổn định trở lại nhưng vẫn tiếp tục bị tấn công. Khách hàng cần đổi DNS Resolver sang 103.143.145.6 trước ngày 05/06/2026.
Bối cảnh: DDoS ngày càng là mối đe dọa nghiêm trọng tại Việt Nam
Tấn công từ chối dịch vụ phân tán (DDoS — Distributed Denial of Service) là hình thức tấn công mạng trong đó kẻ tấn công điều phối một lượng lớn thiết bị để đồng loạt gửi traffic đến mục tiêu, gây quá tải và làm tê liệt hệ thống.
Trong năm 2025–2026, các cuộc tấn công DDoS tại Việt Nam gia tăng đáng kể cả về tần suất lẫn quy mô. Hạ tầng hosting, cloud server và DNS là những mục tiêu thường xuyên nhất, bởi khi một nhà cung cấp bị tấn công, hàng nghìn website và dịch vụ của khách hàng đều bị ảnh hưởng dây chuyền.
Diễn biến sự cố DDoS tại vHost từ 23/05 đến nay
Ngày 23/05/2026 — Bắt đầu tấn công, lưu lượng vượt 10 Gbps
Hệ thống vHost ghi nhận traffic tấn công đột ngột tăng vọt, vượt ngưỡng 10 Gbps, gây nghẽn uplink và làm gián đoạn kết nối BGP peering. Đây là hiện tượng khi lưu lượng độc hại lớn hơn băng thông đường truyền chính, khiến toàn bộ traffic — cả hợp lệ lẫn tấn công — bị ùn tắc.
Để giảm thiểu thiệt hại, đội kỹ thuật vHost nhanh chóng điều phối traffic sang router dự phòng, giúp phần lớn dịch vụ khách hàng tiếp tục hoạt động.
Ngày 24/05/2026 — Làm việc khẩn cấp với đối tác hạ tầng
Ngay sáng Chủ nhật, đội ngũ vHost khởi động quy trình khẩn cấp với đối tác hạ tầng để triển khai phương án nâng cấp uplink từ 10 Gbps lên 40 Gbps. Tuy nhiên, do các thủ tục phê duyệt từ phía đối tác, quá trình này mất nhiều thời gian hơn dự kiến.
Ngày 27/05/2026 — Hoàn tất nâng cấp, uplink đạt 40 Gbps
Tối thứ Tư 27/05, hạ tầng được nâng cấp thành công lên 40 Gbps băng thông uplink. Đây là mức băng thông giúp hệ thống có khả năng hấp thụ và xử lý các đợt tấn công có quy mô lớn hơn, giảm nguy cơ gián đoạn hoàn toàn. Mã độc trojan không đụng hàng
Từ 27/05 đến 03/06/2026 — Tấn công tiếp diễn, đỉnh điểm 22+ Gbps/lần
Dù hạ tầng đã được gia cố, vHost vẫn tiếp tục ghi nhận các đợt tấn công mỗi ngày. Riêng ngày 02/06/2026, hệ thống chịu 3 lượt tấn công liên tiếp, mỗi lượt đạt hơn 22 Gbps — xấp xỉ ngưỡng băng thông uplink mới được nâng cấp.
Các loại hình tấn công được ghi nhận
Trong đợt tấn công này, vHost xác định hai nhóm kỹ thuật chính:
ICMP Flood Attack
Kẻ tấn công gửi hàng triệu gói tin ICMP (ping) đến hệ thống, tiêu thụ băng thông và tài nguyên xử lý. Đây là loại tấn công cổ điển nhưng vẫn hiệu quả nếu lưu lượng đủ lớn.
UDP Flood Attack — kết hợp kỹ thuật Amplification
Kỹ thuật khuếch đại (Amplification) là khi kẻ tấn công lợi dụng các máy chủ thứ ba (DNS, NTP công khai) để nhân bội lưu lượng tấn công lên nhiều lần so với lưu lượng gốc. Cụ thể:
- DNS Amplification: Giả mạo IP nạn nhân để gửi truy vấn DNS đến các resolver công khai; phản hồi DNS (thường lớn hơn truy vấn nhiều lần) sẽ đổ về địa chỉ nạn nhân.
- NTP Amplification: Tương tự, lợi dụng giao thức NTP (đồng bộ thời gian) để khuếch đại lưu lượng tấn công, với hệ số khuếch đại có thể lên đến 556 lần.
Khi lưu lượng vượt 22–25 Gbps, hệ thống xử lý một lượng khổng lồ traffic bẩn, dẫn đến quá tải. vHost đã triển khai hardware offload trên card firewall chuyên dụng để lọc và loại bỏ traffic độc hại (traffic scrubbing) ngay ở tầng phần cứng trước khi đến tầng hệ điều hành.
Nguồn gốc lưu lượng tấn công
Thống kê cho thấy phần lớn lưu lượng tấn công trong một tháng qua đến từ hai khu vực:
| Quốc gia | Tỷ lệ |
|---|---|
| Hoa Kỳ | 38.16% |
| Việt Nam | 29.76% |
Lưu ý: Địa chỉ IP nguồn trong tấn công DDoS thường bị giả mạo (IP spoofing) hoặc đến từ các thiết bị bị nhiễm mã độc (botnet). Vị trí địa lý không đồng nghĩa với danh tính kẻ tấn công thực sự. VPS vs Hosting hiệu quả
Biện pháp xử lý và khắc phục
Chặn ICMP toàn bộ dải IP
Để giảm thiểu tải từ ICMP Flood, vHost tạm thời vô hiệu hóa phản hồi ping (ICMP) trên toàn bộ dải địa chỉ IP. Điều này có nghĩa là các công cụ monitoring dùng ping sẽ không nhận được phản hồi — dịch vụ vẫn đang hoạt động bình thường.
Hành động cần thực hiện: Nếu bạn đang giám sát uptime qua ping, hãy chuyển sang các phương thức sau:
- HTTP / HTTPS check
- TCP Port check
- DNS check
- Kiểm tra end-service trực tiếp
Đổi DNS Resolver — Yêu cầu hoàn tất trước 05/06/2026
Trong quá trình chống tấn công DNS/NTP Amplification, vHost buộc phải chặn một phần lưu lượng UDP, điều này có thể ảnh hưởng đến khả năng phân giải tên miền nếu bạn đang dùng DNS Resolver mặc định.
➜ Cập nhật DNS Resolver của bạn sang: 103.143.145.6
Xem hướng dẫn chi tiết tại: https://vhost.vn/huong-dan-cau-hinh-dns-resolver/
Cập nhật Time Server (NTP)
Để đảm bảo đồng bộ thời gian chính xác và tránh bị ảnh hưởng bởi các biện pháp lọc NTP:
➜ Sử dụng Time Server: time.vhost.vn
Bài học và góc nhìn kỹ thuật
Đợt tấn công tại vHost làm nổi bật một số điểm đáng chú ý trong bảo mật hạ tầng: Khóa học wordpress bền
Tấn công Amplification ngày càng phổ biến. Kỹ thuật này cho phép kẻ tấn công tạo ra lưu lượng tấn công gấp hàng chục đến hàng trăm lần băng thông thực sự mà chúng sở hữu, khiến việc phòng thủ thuần túy bằng băng thông trở nên kém hiệu quả.
Hardware scrubbing là cần thiết ở quy mô lớn. Khi lưu lượng vượt 20 Gbps, xử lý bằng phần mềm tại tầng OS không đủ nhanh. Các card firewall chuyên dụng với khả năng offload phần cứng là lớp bảo vệ quan trọng.
Thời gian phản ứng với đối tác hạ tầng là điểm nghẽn thực tế. Mặc dù đội kỹ thuật phát hiện vấn đề ngay ngày đầu, việc nâng cấp uplink mất đến 4 ngày do phụ thuộc vào quy trình của đối tác. Đây là rủi ro mà mọi nhà cung cấp dịch vụ cần tính đến trong SLA và kế hoạch dự phòng.
Botnet nội địa là vấn đề đáng lo ngại. Gần 30% lưu lượng tấn công đến từ Việt Nam cho thấy số lượng thiết bị bị nhiễm mã độc trong nước không nhỏ, đòi hỏi sự chú ý của cộng đồng quản trị mạng.
