Accueil > Protection DDoS : comprendre et se défendre

Protection DDoS : comprendre et se défendre

6 min de lecture 1 197 mots Mis à jour 17 mai 2026

Une attaque DDoS (Distributed Denial of Service) consiste à saturer un service en ligne avec un volume massif de requêtes provenant de milliers de machines compromises. Résultat : le service devient inaccessible aux utilisateurs légitimes. C’est l’une des cyberattaques les plus simples à lancer et les plus difficiles à contrer sans préparation. Cette page explique les types d’attaques, les techniques de mitigation, les services spécialisés (Cloudflare, AWS Shield, OVH Anti-DDoS) et les bonnes pratiques de défense en amont.

DDoS vs DoS : la différence

  • DoS (Denial of Service) : une seule source attaque. Facile à bloquer en filtrant l’IP source avec fail2ban ou un pare-feu.
  • DDoS (Distributed) : des centaines de milliers d’IP attaquent en même temps (botnet). Bloquer une IP ne sert à rien, il faut des solutions à plus haut niveau.

Les 3 grandes familles d’attaques DDoS

1. Volumetric (saturation de bande passante)

Inonder la bande passante du serveur avec du trafic UDP, ICMP ou amplifié (DNS, NTP, Memcached). Mesuré en Gbps. Records : 3,8 Tbps (Cloudflare 2024). Une attaque de 100 Gbps suffit à saturer la majorité des serveurs non protégés.

  • UDP Flood : envoi massif de paquets UDP vers des ports aléatoires.
  • ICMP Flood : amplification du ping classique.
  • Amplification DNS / NTP / Memcached : utilise des serveurs mal configurés pour démultiplier l’attaque (1 octet émis → 100 octets reçus par la victime).

2. Protocol (exploitation des protocoles)

Épuiser les ressources du serveur (table de connexions, RAM) plutôt que la bande passante. Plus subtil, moins de volume nécessaire.

  • SYN Flood : remplir la table des connexions TCP avec des demandes ouvertes non finalisées.
  • Ping of Death : paquets ICMP malformés (rare aujourd’hui).
  • Smurf attack : amplification ICMP via broadcast (rare aujourd’hui, contre-mesures généralisées).

3. Application (couche 7)

Cibler une application web précise avec des requêtes en apparence normales mais coûteuses : recherches lourdes, login répétés, panier abandonné. Difficile à différencier du trafic légitime. Volume faible mais effet dévastateur (saturer la base de données).

  • HTTP Flood : milliers de GET / POST par seconde.
  • Slowloris : ouvre des connexions HTTP lentes pour saturer le pool worker.
  • RUDY (R-U-Dead-Yet) : POST très lents, idem.
  • Brute force credentials : tentatives massives sur la page login.

Détecter une attaque DDoS en cours

  • Site qui rame ou inaccessible sans raison évidente.
  • Logs Nginx / Apache qui explosent : tail -F /var/log/nginx/access.log | wc -l.
  • CPU/RAM saturés côté serveur sans nouveau déploiement.
  • Bande passante anormale visible sur le panel hébergeur.
  • Trafic massif depuis quelques pays ou IP étrangères (utiliser localiser une IP pour quelques échantillons).
  • Alertes hébergeur : OVH, AWS, Hetzner notifient automatiquement.

Mitigation : ce qui marche, ce qui ne marche pas

Ce qui ne marche PAS (à éviter)

  • Bloquer chaque IP attaquante au iptables : impossible avec un botnet de 100 000 IP.
  • Augmenter les ressources du serveur : un attaquant pousse plus fort, perd-perd financier.
  • Bloquer un pays entier (geo-IP) : limite mais ne suffit pas, et coupe du vrai trafic.
  • Réagir une fois saturé : trop tard, il faut préparer en amont.

Ce qui marche (à mettre en place)

  • CDN avec protection DDoS en amont (Cloudflare, Fastly, Akamai). Le trafic passe d’abord par leur réseau qui absorbe et filtre.
  • Hébergeur avec protection DDoS intégrée : OVH Anti-DDoS (gratuit, performant), AWS Shield Standard (gratuit), Hetzner DDoS Protection (gratuit), Scaleway.
  • Limit rate côté Nginx / HAProxy : limit_req_zone, limit_conn.
  • WAF (Web Application Firewall) : filtre les attaques applicatives. Cloudflare WAF, AWS WAF.
  • Auto-scaling : élargir temporairement les ressources, en absorbant le trafic le temps de filtrer.
  • fail2ban : utile contre les attaques modérées et les brute force.
  • Captcha / challenge JS en cas d’attaque applicative : filtre les bots peu sophistiqués.

Services DDoS protection les plus utilisés

  • Cloudflare : le standard. Plan Free protège déjà contre DDoS basique. Plans Pro/Business/Enterprise pour mitigation plus poussée. Réseau Anycast mondial absorbe les Tbps.
  • OVH Anti-DDoS : inclus gratuitement sur tous les VPS, dédiés et hébergements OVH. Performances solides (mitigation 1+ Tbps).
  • AWS Shield Standard : gratuit, inclus avec AWS. Shield Advanced (3000 $/mois) pour SLA fort.
  • Google Cloud Armor : équivalent côté GCP.
  • Imperva, Akamai Prolexic, F5 Silverline : solutions enterprise haut de gamme.
  • Fastly : CDN avec protection, populaire chez les médias.

Bonnes pratiques de défense

  • Cacher l’IP origine : si vous utilisez Cloudflare, votre serveur a une IP qu’un attaquant doit deviner avant de bypasser le CDN. Ne jamais exposer cette IP (DNS, emails sortants, anciens sous-domaines).
  • Filtrer en amont avec un firewall Cloud (iptables ou solution hébergeur) : bloquer tout sauf les ports indispensables.
  • Désactiver les services UDP non utilisés : amplificateurs DNS/NTP mal configurés sont fréquemment réutilisés dans des attaques.
  • Cacher dynamiquement : redis / varnish devant l’app pour absorber les pics.
  • Avoir un plan : qui contacter, comment activer le mode « under attack » sur Cloudflare, procédure de communication.
  • Monitorer en continu : Grafana, Datadog, statuspage.io. Si on ne voit pas l’attaque, on ne réagit pas à temps.
  • Sauvegardes à jour : si tout tombe, restaurer ailleurs vite.

Coût d’une attaque DDoS pour la cible

  • Sites e-commerce : perte directe de chiffre d’affaires pendant l’attaque.
  • Surcoûts hébergement en cas d’auto-scaling agressif.
  • Image de marque : réputation impactée, surtout en cas de récidive.
  • Pénalité SEO : Google considère la disponibilité comme un signal. Attaque longue = ranking baisse.
  • Statistiques moyennes : 20 000 €/heure de downtime pour un site e-commerce moyen (source : Gartner).
  • Coût d’une attaque pour l’attaquant : à partir de 10-50 €/heure sur les marchés noirs pour des attaques de quelques Gbps.

FAQ : protection DDoS

Cloudflare gratuit suffit-il ?

Pour 95 % des petits sites, oui. Le plan Free de Cloudflare inclut la protection DDoS de base avec leur réseau Anycast, le « I’m Under Attack Mode » qui demande à valider un JS challenge à chaque visite (filtre 99 % des bots). Pour des attaques sophistiquées ou un SLA, passer en Pro (20 $/mois) ou Business.

Mon hébergeur dit « protection DDoS incluse », c’est suffisant ?

Souvent oui pour les attaques volumetriques (couches 3/4). OVH, AWS, Hetzner ont des solutions gratuites efficaces. Mais pour les attaques applicatives (couche 7), il faut généralement un WAF en plus (Cloudflare, AWS WAF).

Peut-on retrouver les auteurs d’une attaque DDoS ?

Très difficile. Le trafic vient de milliers de machines compromises (ordinateurs domestiques piratés, caméras IoT non sécurisées). Les commanditaires se cachent derrière des relais et des cryptos. Quelques cas remontés (FBI, Europol), mais en pratique l’identification reste rare.

Une caméra IP mal sécurisée peut-elle participer à une attaque ?

Oui. Le botnet Mirai (2016) a infecté ~600 000 caméras IP et objets connectés mal sécurisés et a lancé certaines des plus grandes attaques de l’histoire (Dyn DNS, OVH). D’où l’importance de sécuriser ses caméras — voir notre fiche caméra IP.

Comment savoir si mon IP fait partie d’un botnet ?

Symptômes : connexion qui rame, IP qui apparaît dans des blacklists email, signalements de l’ABUSE de votre FAI. Solution : scan antivirus complet, mise à jour firmware de tous les objets connectés, changement mot de passe Wi-Fi, voir sécuriser son Wi-Fi.

Pages liées : fail2ban, nmap, sécuriser son Wi-Fi, caméra IP, encyclopédie IP.

Voir aussi dans l'encyclopédie

Autres fiches qui pourraient vous intéresser

Wi-Fi 6 vs Wi-Fi 7 : différences et débits

Lire la fiche

IP publique vs IP privée

Lire la fiche

NAT

Le NAT (Network Address Translation) permet à plusieurs appareils de partager une seule adresse IP publique. Fonctionnement, types (SNAT, DNAT, PAT), CGNAT,…

Lire la fiche
Voir toute l'encyclopédie
Copyright © 2026 Trouver IP — Tous droits réservés