ไม่กี่สัปดาห์ก่อน Cloudflare ประกาศว่าในไตรมาสที่ 2 ของปี 2025 (เม.ย.-มิ.ย.) บริษัทได้ช่วยป้องกันการโจมตีเว็บล่ม (DDoS) ไป 7.3 ล้านครั้ง ซึ่งลดลงเยอะมากจากไตรมาสก่อนที่ป้องกันไปถึง 20.5 ล้านครั้ง
คุณ Omer Yoachimik และ Jorge Pacheco บอกว่า “แต่ถ้าดูภาพรวมในไตรมาส 2 เนี่ย การโจมตี DDoS แบบ hyper-volumetric กลับพุ่งสูงขึ้นมาก” โดย Cloudflare ได้บล็อกการโจมตีแบบนี้ไปกว่า 6,500 ครั้ง เฉลี่ยแล้วก็วันละ 71 ครั้งเลยทีเดียว
ย้อนไปในไตรมาสแรกของปี 2025 บริษัทบอกว่ามีการโจมตีต่อเนื่องนาน 18 วันใส่ระบบของ Cloudflare เองและของลูกค้าคนสำคัญอื่นๆ ซึ่งการโจมตีครั้งนั้นคิดเป็น 13.5 ล้านครั้งจากยอดทั้งหมดที่เจอในช่วงนั้น
ถ้ารวมทั้งหมดตอนนี้ Cloudflare บล็อกการโจมตี DDoS ไปแล้วเกือบ 28 ล้านครั้ง ซึ่งมากกว่าจำนวนที่บล็อกได้ตลอดทั้งปี 2024 ไปเรียบร้อยแล้ว
การโจมตีที่พีคสุดๆ ในไตรมาส 2 ของปี 2025 คือการโจมตี DDoS ครั้งใหญ่ที่แรงถึง 7.3 เทราบิตต่อวินาที (Tbps) และส่งข้อมูลมาถล่ม 4.8 พันล้านแพ็กเก็ตต่อวินาที (Bpps) ภายในเวลาแค่ 45 วินาทีเท่านั้น
การโจมตีที่ทราฟฟิกพุ่งสูงปรี๊ดแบบนี้มักจะเป็นข่าวใหญ่ แต่สิ่งที่หลายคนมองข้ามไปก็คือ เดี๋ยวนี้แฮกเกอร์ไม่ได้โจมตีแบบถล่มดื้อๆ อย่างเดียวแล้ว แต่ผสมผสานการโจมตีหนักๆ เข้ากับการสแกนหาช่องโหว่แบบเงียบๆ เพื่อหาจุดอ่อนและลอบเจาะระบบป้องกันที่ตั้งค่าไว้ให้บล็อกแค่การโจมตีแบบพื้นฐาน
- การโจมตี DDoS ประเภท Layer 3/Layer 4 ลดลง 81% เมื่อเทียบกับไตรมาสก่อน เหลือ 3.2 ล้านครั้ง
- ในขณะที่ การโจมตี HTTP DDoS กลับเพิ่มขึ้น 9% เป็น 4.1 ล้านครั้ง โดยกว่า 70% ของการโจมตีแบบนี้มาจากเครือข่ายคอมพิวเตอร์ที่ติดไวรัส (botnets) ที่รู้จักกันดี ส่วนรูปแบบการโจมตี L3/4 ที่เจอบ่อยสุดคือการถล่มด้วยโปรโตคอล DNS, TCP SYN และ UDP
กลุ่มธุรกิจที่ตกเป็นเป้าหมายมากที่สุดคือ ผู้ให้บริการโทรคมนาคมและเครือข่าย รองลงมาคือ บริการอินเทอร์เน็ต, ไอที, เกม และธุรกิจพนัน
ส่วนประเทศที่ลูกค้าของ Cloudflare ถูกโจมตีมากที่สุดคือ จีน, บราซิล, เยอรมนี, อินเดีย, เกาหลีใต้, ตุรกี, ฮ่องกง, เวียดนาม, รัสเซีย และอาเซอร์ไบจาน ในขณะที่ 5 อันดับแรกของประเทศที่เป็นต้นตอการโจมตีคือ อินโดนีเซีย, สิงคโปร์, ฮ่องกง, อาร์เจนตินา และยูเครน
บริษัทยังเปิดเผยด้วยว่าการโจมตีแบบ Hyper-Volumetric ที่มีความแรงเกิน 100 ล้านแพ็กเก็ตต่อวินาที (pps) เพิ่มขึ้นถึง 592% เมื่อเทียบกับไตรมาสก่อน
อีกประเด็นที่น่าสนใจคือ การโจมตี DDoS เพื่อเรียกค่าไถ่ (Ransom DDoS) เพิ่มขึ้น 68% ซึ่งเป็นการโจมตีที่แฮกเกอร์ขู่จะทำให้เว็บล่มเพื่อรีดไถเงินจากองค์กร หรือบางครั้งก็ลงมือโจมตีก่อนแล้วค่อยเรียกเงินเพื่อแลกกับการหยุดโจมตี
Cloudflare บอกว่า “ถึงแม้การโจมตี DDoS ส่วนใหญ่จะยังเป็นการโจมตีเล็กๆ แต่การโจมตีแบบ Hyper-Volumetric ก็กำลังเพิ่มขึ้นทั้งความรุนแรงและความถี่” และให้ข้อมูลเพิ่มว่า “ในการโจมตีแบบ HTTP DDoS ทุกๆ 100 ครั้ง จะมี 6 ครั้งที่แรงเกิน 1 ล้านคำขอต่อวินาที และในการโจมตีแบบ L3/4 ทุกๆ 10,000 ครั้ง จะมี 5 ครั้งที่แรงเกิน 1 Tbps ซึ่งถือว่าเพิ่มขึ้นถึง 1,150% เมื่อเทียบกับไตรมาสที่แล้ว”
บริษัทยังได้พูดถึงบอทเน็ต (Botnet) สายพันธุ์ใหม่ที่ชื่อว่า DemonBot ซึ่งมักจะโจมตีระบบที่ใช้ Linux โดยเฉพาะอุปกรณ์ IoT (เช่น กล้องวงจรปิด, อุปกรณ์สมาร์ทโฮม) ที่มีระบบความปลอดภัยต่ำ โดยจะเจาะเข้ามาผ่านพอร์ตที่เปิดทิ้งไว้หรือรหัสผ่านที่เดาง่าย เพื่อดึงอุปกรณ์เหล่านั้นมาเป็นส่วนหนึ่งของเครือข่ายสำหรับโจมตี DDoS ต่อไป
“การโจมตีพวกนี้มักจะถูกสั่งการจากเซิร์ฟเวอร์ควบคุม (C2) และสามารถสร้างทราฟฟิกจำนวนมหาศาลได้ โดยมักจะพุ่งเป้าไปที่ธุรกิจเกม, โฮสติ้ง หรือบริการระดับองค์กร” บริษัทกล่าวเสริม “วิธีป้องกันคือให้ใช้โปรแกรมแอนตี้ไวรัส และเปิดใช้ระบบคัดกรองโดเมน (Domain Filtering)”
ช่องทางการติดไวรัสที่ DemonBot ใช้นั้น สะท้อนให้เห็นถึงปัญหาใหญ่ในวงกว้าง ไม่ว่าจะเป็นการปล่อยให้อุปกรณ์ IoT ไม่มีการป้องกัน, การใช้รหัสผ่าน SSH ที่อ่อนแอ และการไม่ยอมอัปเดตเฟิร์มแวร์ ซึ่งทั้งหมดนี้คือสาเหตุหลักที่ทำให้บอทเน็ต DDoS แพร่กระจายไปทั่ว นอกจากนี้ เทคนิคการโจมตีรูปแบบใหม่ๆ เช่น TCP reflection, DNS amplification และ burst-layer evasion ก็ถูกพูดถึงบ่อยขึ้นในรายงานภัยคุกคามของ Cloudflare เช่นกัน
ที่มา 1:Hyper-Volumetric DDoS Attacks Reach Record 7.3 Tbps, Targeting Key Global Sectors
ที่มา 2:Defending the Internet: how Cloudflare blocked a monumental 7.3 Tbps DDoS attack
