Inscription expert
Notre fonctionnementDiagnostic gratuitTarificationBlogInscription expertConnexion
Réponse aux incidentsDDoS7 min de lecture

GUIDE OPÉRATIONNEL · ÉDITION 2026

DDoS.
Sous le déluge.

Le site ralentit, puis tombe. Les logs explosent. Le support téléphonique se retrouve débordé sans qu'on sache encore pourquoi. Les attaques DDoS prennent des formes très différentes, et le type d'attaque détermine entièrement ce qu'il faut faire. Une réponse adaptée au volumétrique ne sert à rien contre du Slowloris.

3,47 Tbpsrecord mondial (Azure, nov. 2021)
54 mindurée médiane d'une attaque DDoS
22 000 €/hcoût moyen d'indisponibilité e-commerce
VISUALISATION

Un botnet sous le capot

La grande majorité des attaques DDoS ne vient pas d'un seul serveur loué pour l'occasion. Elles viennent de machines compromises dont les propriétaires n'ont même pas connaissance qu'elles participent à une attaque : routeurs IoT jamais mis à jour, NAS exposés sur internet, serveurs d'entreprises avec des identifiants par défaut, PC infectés depuis des mois. Ces machines forment un botnet dont les propriétaires légitimes sont souvent les premières victimes.

En attente de déclenchement...○ IDLE
BOTBOTBOTBOTBOTBOTBOTBOTBOTBOTBOTBOTTARGETBOTNET (12 nodes)
Utilisation bande passante12% — Nominal
60%85%
NormalDégradéSaturé
📡

Le record actuel :3,47 Tbps enregistrés sur l'infrastructure Azure de Microsoft en novembre 2021, depuis des machines en Asie du Sud-Est. C'est l'équivalent de 3 470 liens fibre à 1 Gbps actifs simultanément. La plupart des hébergeurs classiques ont une capacité de transit autour de 10 Gbps.

TAXONOMIE

Les 3 familles d'attaques DDoS

Les attaques SYN flood se bloquent avec des SYN cookies au niveau du noyau. Slowloris nécessite des timeouts agressifs sur les connexions HTTP incomplètes pour abaisser la charge serveur. Un flood UDP amplifié ne se traite qu'au niveau des équipements de transit, en amont de la connexion. Appliquer la même réponse peu importe le type d'attaque, c'est mobiliser des ressources là où le problème n'est pas.

L3 / L4 · VOLUMÉTRIQUE

Sature la bande passante disponible ici avec pour objectif de noyer le lien d'accès sous un déluge de trafic brut.

UDP Flood100 Gbps–3 Tbps

Envoi massif de paquets UDP vers des ports aléatoires. La cible consomme ses ressources à répondre avec des messages ICMP « port unreachable ».

DNS Amplification× 50 amplification

Requête DNS de 60 octets avec IP source spoofée → réponse de 3 000 octets envoyée à la victime. Facteur d'amplification : 50×.

NTP Amplification× 556 amplification

Exploitation de la commande monlist des serveurs NTP. Un seul paquet déclenche l'envoi de 100 entrées de connexions récentes vers la victime.

ICMP Flood~1 Gbps–100 Gbps

Ping en masse (Smurf attack dans sa forme historique). Simples mais efficaces pour saturer des liens peu dimensionnés.

L3 / L4 · PROTOCOLE

Épuise les tables d'état des équipements réseau (pare-feux, load balancers). Le lien reste disponible mais c'est l'infrastructure qui tombe.

SYN FloodMillions de connexions

Envoie des SYN avec IP spoofées et n'achève jamais le handshake TCP. Chaque demi-connexion occupe une entrée dans la table d'état jusqu'au timeout.

ACK FloodSaturation CPU

Paquets ACK forgés envoyés sans SYN préalable. Le pare-feu doit vérifier chaque paquet — épuise le CPU des boîtiers stateful.

FragmentationÉpuisement mémoire

Paquets IP fragmentés jamais complètement réassemblés. Occupent les buffers de réassemblement jusqu'à leur expiration.

L7 · APPLICATIF

Imite le trafic web légitime ce qui le rend beaucoup plus difficile à détecter et à filtrer. Un volume faible mais un impact maximal sur les ressources serveur.

HTTP Flood10k–500k req/s

GET ou POST massifs vers des URLs coûteuses (recherche, API). Chaque requête déclenche une exécution côté serveur — base de données, cache, CPU.

SlowlorisMoins de 1 Mbps

Ouvre des centaines de connexions HTTP et envoie des en-têtes incomplets au compte-gouttes. Maintient les workers du serveur bloqués sans bande passante significative.

ReDoS1 req suffit

Exploitation de regex catastrophiques dans les applications web. Une seule requête malformée peut bloquer un thread pendant plusieurs secondes.

SSL/TLS Renegotiation× 15 CPU charge

Renégociation TLS répétée à la demande du client. Asymétrique : le client dépense peu, le serveur recalcule la clé de session complète à chaque fois.

DÉTECTION

Comment savoir que vous êtes attaqué

Au départ, rien ne laisse vraiment penser à une attaque. On commence par regarder les derniers déploiements, puis par contacter l'hébergeur et enfin, on vérifie si quelqu'un n'a pas touché à la configuration des équipements. Un DDoS, ça ressemble surtout à un souci réseau classique initialement ou à une montée en charge étrange. C'est seulement quand plusieurs signaux s'accumulent qu'on commence à envisager sérieusement l'hypothèse d'un flood.

NETLatence inexpliquée qui double ou triple en quelques minutes01
HTTPTaux d'erreur 503/504 en pic soudain sur des endpoints qui fonctionnaient02
BWTrafic entrant qui dépasse 80% de la capacité du lien sans explication03
GEOConcentration géographique anormale avec un seul pays qui représente 60%+ des requêtes04
UAUser-Agent vides, identiques ou invalides dans les logs access05
CPUCPU des pare-feux et load balancers à 95%+ sans pic applicatif visible06
triage réseau
netstat -an | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

Liste les 20 adresses IP avec le plus de connexions ouvertes. Si une IP apparaît des centaines de fois, vous avez probablement un SYN flood ou un HTTP flood ciblé.

CONTRE-MESURES

Atténuer dans l'ordre

Comme pour toute attaque, il y a un ordre à respecter. Passer directement au blackhole BGP sans avoir tenté le scrubbing, c'est prouver à l'attaquant qu'il a remporté une victoire sans que nous ne nous soyons battus. Le blackhole stoppe l'attaque, mais aussi tout le trafic légitime : le service devient alors totalement inaccessible. On l'utilise uniquement pour protéger l'infrastructure critique en attendant une solution moins radicale.

01
CDN et Anycast — Absorber le volume

Cloudflare, Akamai, AWS Shield Advanced : leur réseau distribue le trafic d'attaque sur des PoPs mondiaux. Chaque nœud absorbe une fraction de ce trafic et leur capacité combinée de plus de 100 Tbps leur permet de tout absorber. L'Activation est possible en moins de 5 minutes pour un domaine existant.

02
Scrubbing Center — Nettoyer le trafic

Le trafic est redirigé via BGP vers un centre de nettoyage qui sépare le trafic légitime de l'attaque. Seul le trafic propre est retransmis vers l'infrastructure réelle. Délai d'activation : 15–30 minutes pour une redirection BGP.

03
Rate Limiting et WAF — Filtrer en amont

WAF en mode challenge (Turnstile, hCaptcha) pour le trafic L7 et rate limiting par IP, ASN, pays. Les attaques HTTP Flood s'arrêtent souvent au défi JS qui ne peut être résolu par des bots simples.

04
BGP Blackhole — En dernier recours

Annonce BGP qui route tout le trafic vers /dev/null. Cela stoppe l'attaque mais rend aussi le service inaccessible. Cette solution est à utiliser uniquement pour protéger l'infrastructure sous-jacente en attendant une solution de scrubbing.

Fonctionnement du scrubbing BGP
INTERNETtrafic mixte — attaque + légitimeREDIRECTION BGPSCRUBBING CENTERAnalyse comportementale · Filtrage stateful · Rate limiting · ACLTRAFIC ATTAQUETRAFIC LÉGITIME/dev/nullsupprimé · bloquéSERVEUR CIBLEtrafic propre transmis
OBLIGATIONS

Ce que la loi impose

OIV / OSE
Déclarer à l'ANSSI

Opérateurs d'Importance Vitale et Opérateurs de Services Essentiels ont l'obligation de signaler tout incident de sécurité significatif à l'ANSSI. Un DDoS qui affecte la disponibilité d'un service critique entre dans ce périmètre.

72h
Notifier la CNIL (si données impactées)

Si l'indisponibilité a entraîné une perte d'accès à des données personnelles ou si l'attaque s'accompagnait d'une exfiltration, la notification CNIL sous 72h s'applique. Un DDoS seul, sans fuite de données, n'y est généralement pas soumis.

Dès que possible
Plainte — Cybermalveillance.gouv.fr

Condition nécessaire si vous souhaitez activer votre assurance cyber. Conservez tous les logs réseau, captures de trafic et horodatages — ils constituent la preuve de l'attaque.

⚖️

Lancer une contre-attaque est illégal.Même si l'IP d'un nœud du botnet est identifiée, toute tentative de perturber ces machines constitue une infraction à la loi Godfrain (art. 323-1 du Code pénal). Peu importe que vous soyez la victime. Il n'existe pas de droit à la riposte technique en France.

// réponse d'urgence

Vous faites face à une cyberattaque ?

Nos experts en réponse à incident interviennent en moins de 15 minutes, 24h/24 7j/7 sur tout le territoire. Diagnostic initial gratuit — vous ne payez que si vous choisissez de continuer.

Déclarer un incidentEn savoir plus sur le diagnostic

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit
← Tous les guides