Comprendre la Protection Anti-DDoS d'un Hébergement

Rédigé par · Publié le · Mis à jour le

Tout savoir sur les attaques DDoS et la protection Anti-DDoS de votre hébergeur. Niveaux L3, L4, L7 expliqués simplement.

Voir les offres VPS Demander un devis

Une attaque DDoS (Distributed Denial of Service) consiste à submerger votre serveur de requêtes pour le rendre inaccessible. Selon Cloudflare, plus de 30% des sites ont subi au moins une attaque DDoS dans l'année.

La protection Anti-DDoS de votre hébergeur filtre ces attaques avant qu'elles atteignent votre serveur. By-Hoster inclut une protection Anti-DDoS L3/L4/L7 sur toutes les offres.

En 2026, les attaques DDoS sont devenues banales : kits "DDoS-as-a-Service" disponibles pour quelques euros sur les forums, botnets IoT massifs (Mirai et ses variantes), capacités d'attaque dépassant le térabit par seconde. N'importe quel site ou serveur en ligne peut être ciblé, par hasard ou volontairement. Ce guide explique le fonctionnement réel d'une attaque DDoS, les types courants, les méthodes de mitigation, et comment vérifier que la protection annoncée par votre hébergeur est sérieuse.

Les 3 niveaux d'attaque DDoS

  • L3 (Network Layer) : attaques sur le réseau (ICMP flood, IP fragmentation). Volume massif (Tbps possibles)
  • L4 (Transport Layer) : attaques TCP/UDP (SYN flood, UDP flood). Saturent la table de connexions
  • L7 (Application Layer) : attaques HTTP/HTTPS (slowloris, HTTP flood). Imitent du trafic légitime, plus difficiles à filtrer

Types d'attaques DDoS courantes en 2026

Au-delà des niveaux OSI, les attaques DDoS se classent par technique. Connaître les principales aide à comprendre ce que doit savoir filtrer un Anti-DDoS sérieux.

  • SYN flood : l'attaquant envoie massivement des paquets TCP SYN sans jamais terminer la poignée de main (3-way handshake), saturant la table de connexions du serveur. Mitigation : SYN cookies, rate limiting par IP.
  • UDP flood : envoi massif de paquets UDP sur des ports aléatoires. Le serveur cherche à répondre "port unreachable", saturant la bande passante. Mitigation : rate limiting UDP, blackhole des ports inutilisés.
  • Amplification DNS / NTP / Memcached : l'attaquant interroge un serveur DNS/NTP/Memcached avec une IP source spoofée (votre IP), le serveur répond avec un payload 50-50000x plus gros. Capacité record observée : 2,5 Tbps via Memcached.
  • HTTP flood (L7) : milliers de bots envoient des requêtes GET/POST légitimes en apparence mais sur des URLs coûteuses (recherche, panier, login). Mitigation : challenge JavaScript, CAPTCHA, fingerprinting bot.
  • Slowloris : ouverture de milliers de connexions HTTP maintenues quasi-vides très lentement. Saturation des workers Apache/Nginx sans grosse bande passante. Mitigation : timeout aggressifs, mod_qos.
  • Ransom DDoS (RDoS) : extorsion type "payez X bitcoins ou on lance une attaque de Y Gbps". En 2026, plusieurs groupes (REvil, Lapsus$) ont relancé cette pratique.

Comment fonctionne l'Anti-DDoS By-Hoster

Notre infrastructure de filtrage en amont (capacité multi-Tbps) analyse le trafic en temps réel et bloque les paquets malveillants avant qu'ils n'atteignent votre serveur. Filtrage automatique L3/L4 et règles applicatives L7 personnalisables.

  • Filtrage en amont (BGP scrubbing) : le trafic destiné à nos plages IP transite par des collecteurs de filtrage avant d'atteindre notre datacenter DC-FR_NA(01) en Nouvelle-Aquitaine. Les paquets malveillants sont éliminés à la source.
  • Détection automatique : algorithmes de baseline (apprentissage du trafic normal) + signatures connues (kits DDoS) + heuristiques (taux de paquets/seconde par IP source). Déclenchement de la mitigation en quelques secondes.
  • Filtrage L3/L4 : géré automatiquement, transparent pour le client. Bloque SYN floods, UDP floods, amplifications réflexion (DNS, NTP, Memcached, SSDP), fragmentation abusive.
  • Mitigation L7 : règles applicatives configurables (rate limit par URL, challenge JS, blocage user-agent, géoblocking). Le client peut ajuster via le panel ou le support technique.
  • Pas de coupure de service : les utilisateurs légitimes ne perçoivent rien (peut-être +5-20 ms de latence pendant la mitigation active). Votre site reste accessible.

Que faire en cas d'attaque DDoS en cours ?

Même avec un Anti-DDoS sérieux en amont, certaines actions de votre côté améliorent la résilience. Voici la checklist à dérouler en cas d'attaque détectée (latence anormale, erreurs 503, alertes monitoring) :

  • Confirmer l'attaque : tail -f /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20 liste les IPs qui hitent le plus. Si vous voyez 50+ IPs étrangères avec des centaines de requêtes/seconde chacune, c'est probablement une attaque.
  • Contacter le support hébergeur immédiatement : un support sérieux active une mitigation renforcée en quelques minutes. Donnez-leur l'IP attaquée, les logs et l'heure de début.
  • Activer un mode "under attack" : Cloudflare propose un mode JS Challenge qui force tous les visiteurs à passer un challenge navigateur. Bloque 99 % des bots, dégrade légèrement l'UX humaine.
  • Rate-limiter au niveau applicatif : dans Nginx, ajoutez limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; puis limit_req zone=one burst=20; dans le location.
  • Géoblocking temporaire : si l'attaque vient majoritairement d'un pays où vous n'avez aucun trafic légitime, bloquez ce pays avec iptables + GeoIP ou via Cloudflare en quelques clics.
  • Documenter pour l'après : conservez les logs, les IPs, les patterns. Une attaque DDoS est souvent suivie d'autres tentatives, et vos logs permettent d'affiner les règles de mitigation.

Mythes et idées reçues sur l'Anti-DDoS

  • "Mon site est trop petit pour être attaqué" : faux. Les attaques opportunistes ciblent des plages IP entières, votre IP voisine est suffisante pour vous touché par effet de bord. Les RDoS ciblent des PME au hasard pour obtenir une rançon "modérée".
  • "Cloudflare gratuit suffit pour tout" : Cloudflare protège uniquement le trafic HTTP/HTTPS qui passe par leur réseau. Si quelqu'un connaît votre IP origine (via fuite DNS historique, certificat SSL, mail header), il bypass Cloudflare et attaque directement. Une protection au niveau hébergeur reste indispensable.
  • "L'Anti-DDoS ralentit mon site" : en condition normale (pas d'attaque), un Anti-DDoS bien fait ajoute < 1 ms de latence. Pendant une mitigation active, jusqu'à 5-20 ms. C'est invisible vs une attaque non mitigée qui rend le site inaccessible.
  • "Il faut un firewall sur mon VPS pour bloquer les DDoS" : faux pour les attaques volumétriques (L3/L4). Si votre lien 1 Gbps est saturé par 100 Gbps d'attaque, votre firewall ne sert à rien : le trafic est déjà dans votre interface. Le filtrage doit être en amont. Le firewall reste utile pour les attaques L7 ciblées.
  • "Si je mets de l'Anti-DDoS, je n'ai plus besoin de fail2ban" : faux. Anti-DDoS = volumétrique distribué. fail2ban = bruteforce/scan ciblé. Les deux sont complémentaires, pas substitutifs.

Comment vérifier que la protection annoncée par un hébergeur est sérieuse ?

Beaucoup d'hébergeurs annoncent "Anti-DDoS inclus" sans détailler. Voici les critères pour distinguer une vraie protection d'un marketing vide :

  • Capacité de filtrage annoncée : un Anti-DDoS sérieux annonce sa capacité (Gbps ou Tbps). Si la doc reste floue, demandez au support la capacité de mitigation par IP et globale.
  • Niveaux L3/L4/L7 : un Anti-DDoS pro filtre les 3 niveaux. Si l'offre ne mentionne que "filtrage réseau" sans L7, vous êtes vulnérable aux HTTP floods.
  • Toujours actif vs sur déclenchement : "always-on" est meilleur (mitigation immédiate). "Sur déclenchement" implique quelques secondes/minutes d'indisponibilité avant que la protection s'active.
  • Inclus vs option payante : un Anti-DDoS qui se facture en supplément est un signal négatif. Les hébergeurs sérieux l'incluent (le coût est marginal vs l'infra de filtrage).
  • Communication post-attaque : demandez à voir un rapport post-mortem typique. Un hébergeur sérieux fournit après une attaque : date, durée, volume, type d'attaque, IPs sources principales.

Questions fréquentes

Oui, n'importe quel site peut être victime, souvent par hasard (faisant partie d'une plage IP attaquée) ou de manière ciblée (concurrent, ex-utilisateur mécontent). C'est pourquoi l'Anti-DDoS doit être inclus, pas en option payante.

Notre capacité de filtrage est multi-Tbps, largement supérieure aux attaques typiques (1-50 Gbps). Les attaques mondiales record (3 Tbps) restent dans nos capacités de mitigation.

Très peu. Les services "DDoS-as-a-Service" (booter, stresser) sont disponibles pour 5 à 50 €/mois sur les forums underground, fournissant 10-100 Gbps d'attaque à la demande. C'est précisément pourquoi les attaques sont devenues banales : le ratio coût/dégâts est dramatiquement favorable à l'attaquant.

Cloudflare est excellent au niveau L7 et pour le trafic HTTP/HTTPS, mais nécessite que votre IP d'origine ne soit jamais exposée. En pratique, l'IP fuite souvent (vieux enregistrements DNS, certificats SSL historiques, headers email). Une protection Anti-DDoS au niveau de l'hébergeur reste complémentaire et indispensable pour bloquer les attaques bypass Cloudflare directement sur l'IP.

Un DoS (Denial of Service) vient d'une seule source (un attaquant, une IP). Facile à bloquer (firewall). Un DDoS (Distributed DoS) vient de milliers de sources distribuées (botnet de machines infectées). Impossible à bloquer côté serveur, nécessite un filtrage en amont chez l'hébergeur ou un service spécialisé.

Oui, si compromis. Un serveur mal sécurisé (mots de passe faibles, services exposés, paquets non patchés) peut être enrôlé dans un botnet et participer à des attaques. Conséquences : votre IP blacklistée, votre hébergeur peut suspendre le compte. Mesures : SSH par clés, fail2ban, UFW, mises à jour auto, monitoring de la bande passante sortante.

Le blackhole est la mesure ultime : l'hébergeur annonce votre IP comme "non routable" via BGP, ce qui jette tout le trafic à destination dans le vide. Votre site devient inaccessible, mais l'infrastructure de l'hébergeur est préservée. Un blackhole dure typiquement 1-4h, le temps que l'attaque se calme. Cette mesure n'est utilisée qu'en dernier recours pour des attaques massives qu'aucune mitigation ne peut absorber.

Découvrez aussi