Accueil > Blog > Cybersécurité > Protéger son site contre les DDoS : analyse IP, Cloudflare et géoblocage

Protéger son site contre les DDoS : analyse IP, Cloudflare et géoblocage

4 avril 2026 6 min Cybersécurité, Hébergement

Une attaque DDoS (Distributed Denial of Service) saturationne votre serveur en envoyant des requêtes massives depuis des milliers d’IP différentes. Le site devient inaccessible aux vrais visiteurs pendant la durée de l’attaque, parfois plusieurs heures ou jours. Cet article décrit comment fonctionne une DDoS, comment identifier les IP attaquantes dans vos logs, et surtout comment construire une défense efficace en s’appuyant sur l’analyse IP, le géoblocage et les services anti-DDoS modernes.

Comment fonctionne une attaque DDoS

Une DDoS exploite la disproportion entre les ressources de l’attaquant (un botnet de milliers de machines infectées, dispersées dans le monde) et celles de votre serveur. Les types principaux :

  • DDoS volumétrique : saturer la bande passante du serveur ou du datacenter. Mesurée en Gbps ou Tbps. C’est l’attaque la plus brutale, qui peut nécessiter une protection au niveau du fournisseur réseau.
  • DDoS protocolaire : saturer les ressources réseau (SYN flood, UDP flood). Mesurée en pps (paquets par seconde).
  • DDoS applicative (L7) : envoyer des milliers de requêtes HTTP/HTTPS légitimes en apparence, pour saturer PHP/MySQL. Moins de volume mais plus difficile à filtrer car le trafic ressemble à du vrai trafic.

Le point commun : des milliers d’IP source différentes, généralement réparties géographiquement, qui se coordonnent contre votre serveur.

Détecter une DDoS dans vos logs

Signaux qui doivent déclencher une alerte :

  • Augmentation brutale du nombre de requêtes par seconde (×10 ou ×100 du baseline).
  • TTFB qui s’effondre, erreurs 502/504 qui se multiplient.
  • Nombre d’IP source uniques anormalement élevé sur une fenêtre courte.
  • Répartition géographique inhabituelle des IP (pays sans clients réels).
  • User-Agents répétitifs et basiques (curl, python-requests, browsers anciens).

Pour qualifier les IP suspectes en cours d’attaque, notre outil de localisation IP donne immédiatement le pays, le FAI et le type d’allocation. Les IP de datacenter cloud (OVH cloud, DigitalOcean, AWS EC2, Hetzner) qui spamment votre site sont presque toujours des bots à bloquer sans hésitation.

Première ligne de défense : Cloudflare et autres CDN/WAF

Cloudflare (gratuit), Sucuri, Imperva, AWS Shield absorbent l’essentiel des attaques DDoS avant qu’elles atteignent votre serveur. Le principe : votre site est servi à travers les serveurs du CDN, qui filtrent le trafic en amont.

Côté Cloudflare gratuit, plusieurs niveaux de protection :

  • Always Online : sert une copie cachée si votre origine tombe.
  • Rate Limiting : limite les requêtes par IP (5 requêtes/seconde par IP, ajustable).
  • Under Attack Mode : challenge JavaScript ou captcha pour chaque visiteur, à activer en cas d’attaque en cours.
  • Bot Fight Mode : détection et blocage automatique des bots connus.

Pour la quasi-totalité des sites PME et personnels, Cloudflare gratuit suffit à neutraliser 95 % des DDoS rencontrées.

Géoblocage : bloquer les pays d’où viennent les attaques

La majorité des botnets ont des IP concentrées dans certains pays (Russie, Chine, Brésil, Inde, Vietnam, Indonésie). Si votre business est uniquement français, bloquer ces pays au niveau du WAF réduit drastiquement la surface d’attaque.

Deux approches :

  • Blocage total : interdire l’accès depuis ces pays. Risque : bloquer des clients légitimes en VPN.
  • Challenge conditionnel : afficher un captcha aux visiteurs de ces pays. Laisse passer les humains, bloque les bots.

Rate limiting par IP

En complément du géoblocage, limiter le nombre de requêtes par IP par minute filtre les bots qui martèlent un endpoint :

  • Endpoints publics : 60 requêtes/minute par IP est un seuil raisonnable.
  • Endpoints sensibles (login, API) : 10-20 requêtes/minute par IP.
  • Sur abus : blocage temporaire 15-60 minutes.

Côté serveur, Nginx propose limit_req, Apache propose mod_evasive. Côté CDN, Cloudflare propose le Rate Limiting en standard.

Masquer l’IP origine de votre serveur

Quand vous passez derrière Cloudflare, votre IP origine ne devrait jamais être révélée publiquement. Sinon, l’attaquant peut contourner le CDN en attaquant directement l’IP origine.

Bonnes pratiques :

  • Configurer le firewall serveur pour n’accepter que les IP Cloudflare en HTTP/HTTPS.
  • Vérifier qu’aucun sous-domaine (mail.exemple.com, ftp.exemple.com, dev.exemple.com) ne révèle l’IP origine en bypassant le CDN.
  • Désactiver les pings ICMP qui pourraient révéler l’IP.
  • Auditer les emails sortants : un en-tête email mal configuré peut leaker l’IP origine via le champ Received.

Pour vérifier ce qu’un attaquant peut voir de votre IP, notre outil trouver l’IP d’un site internet simule ce que ferait un attaquant : si l’outil retourne l’IP Cloudflare et non votre IP origine, vous êtes correctement protégé.

Plan de réaction en cas d’attaque en cours

  1. Confirmer qu’il s’agit bien d’une DDoS (vs un pic de trafic légitime).
  2. Activer « Under Attack Mode » sur Cloudflare (challenge JS systématique).
  3. Identifier le pattern d’attaque (volumétrique, protocolaire, applicative) dans les logs.
  4. Bloquer les pays d’origine identifiés via géoblocage.
  5. Ajuster le rate limiting plus agressif pendant l’incident.
  6. Documenter les IP source et les ajouter à des listes de blocage permanentes après.
  7. Communiquer aux utilisateurs si le site reste impacté plus de 30 minutes.

FAQ : protection DDoS et IP

Cloudflare gratuit protège-t-il vraiment contre les DDoS ?

Oui pour la majorité des attaques rencontrées par les sites PME et perso (jusqu’à plusieurs centaines de Gbps absorbés). Pour les attaques massives ciblées (Tbps), un plan Business ou Enterprise est nécessaire.

Faut-il bloquer toutes les IP datacenter ?

Pas systématiquement, car certains outils légitimes (scanners SEO, monitoring uptime) tournent sur datacenter. Mais sur les endpoints sensibles (login, API), bloquer ou rate-limiter agressivement les IP datacenter est une bonne pratique.

Un VPS suffit-il à encaisser une DDoS ?

Non. Même un VPS bien dimensionné est rapidement saturé par une attaque distribuée. La protection se joue avant votre serveur, au niveau du CDN/WAF.

Comment savoir si je suis vraiment ciblé ou si c’est aléatoire ?

Analyser les IP attaquantes et leurs comportements. Une attaque ciblée vise des endpoints précis (login admin, API spécifique), avec une régularité qui suggère une coordination. Une attaque aléatoire ou opportuniste cible les ports standard sans intelligence applicative.

4.8/5 - (34 votes)

À lire aussi sur le blog

Autres articles qui pourraient vous intéresser

internet
25 octobre 2023

Pourquoi faut-il éviter de partager ses codes connexion internet ?

Dans le monde connecté d'aujourd'hui, l'accès à Internet est devenu aussi essentiel que l'eau et l'électricité. Que ce soit pour travailler, étudier,…

Lire l'article
22 avril 2026

Améliorer la vitesse de chargement d’un site : 7 leviers IP, CDN et cache

Découvrez comment améliorer la vitesse de chargement d’un site web grâce à l’optimisation des images, du cache, du serveur et du CMS.

Lire l'article
données sécurisées entreprise
14 mars 2022

Logiciels de protection des données entreprise : VPN, EDR et analyse IP

Les gros titres sont presque banals à ce stade : "Violation de la sécurité des données dans l'entreprise X". Cela arrive tout…

Lire l'article
Tous les articles du blog
Copyright © 2026 Trouver IP — Tous droits réservés