Mạng botnet khổng lồ xuất hiện qua đêm đang cung cấp DDoS có kích thước kỷ lục

Tác giả tanthanh 14/02/2026 14 phút đọc

Một nhà nghiên cứu bảo mật bên trong Nokia cho biết, một mạng botnet mới được phát hiện bao gồm khoảng 30.000 webcam và máy ghi video— với nồng độ lớn nhất ở US— đã thực hiện cuộc tấn công từ chối dịch vụ lớn nhất từng thấy.

Botnet, được theo dõi dưới tên Eleven11bot, lần đầu tiên được đưa ra ánh sáng vào cuối tháng 2 khi các nhà nghiên cứu bên trong Đội ứng phó khẩn cấp Deepfield của Nokia quan sát số lượng lớn địa chỉ IP phân tán về mặt địa lý cung cấp các cuộc tấn công siêu thể tích “.” Eleven11bot đã thực hiện các cuộc tấn công quy mô lớn kể từ đó.

DDoS thể tích tắt các dịch vụ bằng cách tiêu thụ tất cả băng thông có sẵn bên trong mạng mục tiêu hoặc kết nối của nó với Internet. Cách tiếp cận này hoạt động khác với các DDoS cạn kiệt, sử dụng quá mức tài nguyên máy tính của máy chủ. Các cuộc tấn công siêu thể tích là Liều lượng thể tích cung cấp lượng dữ liệu đáng kinh ngạc, thường được đo bằng terabit mỗi giây.

Johnny-come-lately botnet lập kỷ lục mới

Với 30.000 thiết bị, Eleven11bot đã đặc biệt lớn (mặc dù một số botnet vượt quá hơn 100.000 thiết bị). Hầu hết các địa chỉ IP tham gia, nhà nghiên cứu Nokia Jérôme Meyer nói với tôi, chưa bao giờ được nhìn thấy tham gia vào các cuộc tấn công DDoS.

Bên cạnh một botnet 30.000 nút dường như xuất hiện qua đêm, một tính năng nổi bật khác của Eleven11bot là khối lượng dữ liệu có kích thước kỷ lục mà nó gửi mục tiêu. Một trong những lớn nhất Nokia đã nhìn thấy từ Eleven11bot cho đến nay xảy ra vào ngày 27 tháng 2 và đạt đỉnh điểm khoảng 6,5 terabit mỗi giây. Kỷ lục trước đó về một cuộc tấn công thể tích là báo cáo trong tháng 1 ở mức 5,6 Tbps.

“Eleven11bot đã nhắm mục tiêu vào nhiều lĩnh vực khác nhau, bao gồm các nhà cung cấp dịch vụ truyền thông và cơ sở hạ tầng lưu trữ trò chơi, tận dụng nhiều vectơ tấn công khác nhau,” Meyer viết. Trong khi trong một số trường hợp, các cuộc tấn công dựa trên khối lượng dữ liệu, những cuộc tấn công khác tập trung vào việc làm tràn kết nối với nhiều gói dữ liệu hơn mức kết nối có thể xử lý, với các con số dao động từ vài trăm nghìn đến vài trăm triệu gói mỗi giây.“ Sự xuống cấp dịch vụ gây ra trong một số cuộc tấn công đã kéo dài nhiều ngày, với một số vẫn tiếp diễn kể từ thời điểm bài đăng này đi vào hoạt động.

biggest-volumetric-ddos-nokia-640x1095 — Một đồ thị hiển thị thời gian trên trục x và kích thước Tbps trên trục y. Trong khoảng thời gian từ 6:00 đến 6:45 (ngày không rõ ràng) trục y ghi lại kích thước từ dưới 1 Tbps đến đỉnh 6,5 Tbps, xảy ra trong khoảng từ 6:38 đến 6:45. Credit: Nokia

eleven11bot-infections-by-country-640x707 — Biểu đồ hình tròn hiển thị tỷ lệ phần trăm địa chỉ IP theo quốc gia. Credit: Nokia

Botnet này lớn hơn nhiều so với những gì chúng ta đã từng thấy trong các cuộc tấn công DDoS (tiền lệ duy nhất tôi nghĩ đến là một cuộc tấn công từ năm 2022 ngay sau cuộc xâm lược Ukraine, ở mức ~ 60k bot, nhưng không công khai).
Phần lớn IP của nó không liên quan đến các cuộc tấn công DDoS trước tuần trước.
Hầu hết các IP là camera an ninh (Censys nghĩ Hisilicon, tôi thấy nhiều nguồn nói chuyện với một NVR Hikvision quá vì vậy đó là một khả năng nhưng không phải là lĩnh vực chuyên môn của tôi).
một phần vì botnet lớn hơn trung bình, kích thước tấn công cũng lớn hơn trung bình.

Theo một bài đăng được cập nhật vào thứ Tư từ công ty bảo mật Greynoise, Eleven11bot rất có thể là một biến thể của Mirai, một dòng phần mềm độc hại để lây nhiễm webcam và các thiết bị Internet of Things khác. Mirai ra mắt vào năm 2016, khi hàng chục nghìn thiết bị IoT bị nhiễm nó đã cung cấp DDoS lập kỷ lục vào thời điểm đó là khoảng 1 Tbps và hạ gục trang tin an ninh KrebsOnSecurity trong gần một tuần. Ngay sau đó, các nhà phát triển Mirai đã xuất bản mã nguồn của họ trong một động thái giúp những kẻ bắt chước ở khắp mọi nơi dễ dàng thực hiện các cuộc tấn công lớn tương tự. Greynoise nói rằng biến thể lái xe Eleven11bot đang sử dụng một khai thác mới duy nhất để lây nhiễm các đầu ghi video kỹ thuật số TVT-NVMS 9000 chạy trên chip HiSilicon.

Đã có những báo cáo trái ngược nhau về số lượng thiết bị bao gồm Eleven11bot. Sau báo cáo của Nokia vào thứ Bảy tuần trước về khoảng 30.000 thiết bị, tổ chức phi lợi nhuận Shadowserver Foundation nói rằng Thứ ba rằng kích thước thực sự là hơn 86.000. Sau đó, trong bản cập nhật hôm thứ Tư, Greynoise nói rằng dựa trên dữ liệu từ công ty bảo mật đồng nghiệp Censys, cả hai con số đều bị thổi phồng và con số thực sự có thể ít hơn 5.000.

Bản sửa đổi tăng lên từ Shadowserver có thể là kết quả của niềm tin rằng tất cả các thiết bị bị nhiễm đều hiển thị thông tin thiết bị duy nhất. Sự nghi ngờ đó bây giờ có vẻ không chính xác. Thay vào đó, Meyer tin rằng thông tin nhìn thấy trên các thiết bị bị nhiễm sẽ được hiển thị trên tất cả các phần cứng như vậy, cho dù có bị nhiễm hay không. Các nhà nghiên cứu từ Greynoise và Censys đã không có mặt ngay lập tức để giải thích làm thế nào họ đạt được ước tính thấp hơn nhiều là dưới 5.000.

Meyer cho biết ông đã liên tục quan sát thấy có tới 20.000 đến 30.000 địa chỉ IP tham gia vào các cuộc tấn công tiếp theo, mặc dù nhiều cuộc tấn công đến từ các tập hợp con nhỏ hơn nhiều. Anh ấy nói rằng kể từ đó anh ấy đã gửi danh sách tất cả khoảng 30.000 địa chỉ IP mà anh ấy đã quan sát cho Censys và dự định sẽ sớm gửi chúng đến Shadowserver với hy vọng nhận được sự đồng thuận về quy mô thực sự.

“Tôi vẫn tin tưởng vào con số ước tính vì đây là những gì chúng ta tiếp tục thấy trong các cuộc tấn công và sau khi con người xem xét các IP nguồn,” anh ấy viết.

Các botnet dựa trên Mirai sử dụng nhiều phương pháp khác nhau để lây nhiễm mục tiêu của chúng. Một phương pháp phổ biến là cố gắng đăng nhập vào tài khoản quản trị viên thiết bị bằng cách sử dụng các cặp tên người dùng/mật khẩu thường được nhà sản xuất đặt làm mặc định. Botnet Mirai cũng được biết là khai thác các lỗ hổng vượt qua cài đặt bảo mật.

Trong mọi trường hợp, bất kỳ ai chạy bất kỳ loại thiết bị IoT nào cũng nên đặt chúng phía sau bộ định tuyến hoặc dạng tường lửa khác để chúng không hiển thị từ bên ngoài mạng cục bộ. Quản trị từ xa từ bên ngoài Internet chỉ nên được kích hoạt khi cần thiết. Người dùng cũng nên đảm bảo mỗi thiết bị được bảo vệ bởi một mật khẩu duy nhất mạnh m. Cuối cùng, các thiết bị nên được cập nhật ngay khi có bản vá bảo mật.