Beaucoup de services exposés sur Internet reposent encore sur un modèle classique : un ou plusieurs transitaires, une facturation au 95e percentile ou au trafic consommé, et une protection amont standard qui n’a pas été pensée autour du comportement réel de l’application.
Ce modèle peut suffire jusqu’au premier vrai événement DDoS. Ensuite, il peut vite devenir coûteux, lent à s’adapter et, dans le pire des cas, brutal sur le plan opérationnel : les liens saturent, la facture explose et l’IP attaquée finit en blackhole pour préserver le reste de la plateforme.
Le transit IP protégé anti-DDoS a justement pour but de résoudre ce problème plus proprement. Au lieu de laisser le trafic légitime et malveillant arriver ensemble au bord de l’infrastructure et d’espérer qu’une protection générique suffise, le trafic passe d’abord par une couche de mitigation conçue pour filtrer l’attaque avant de livrer uniquement le trafic propre au client.
Pourquoi le modèle classique devient fragile et coûteux en cas de DDoS
Dans une architecture traditionnelle, une attaque peut nuire au client de trois façons en même temps. D’abord, elle peut saturer l’accès réseau. Un port 10G, 25G voire 100G peut être dépassé bien avant que l’application ait la moindre chance de réagir. Une fois l’entrée saturée, le service est déjà en échec.
Ensuite, le modèle de coût peut se retourner contre le client. Quand la connectivité est facturée au 95e percentile ou au trafic, une attaque ne crée pas seulement un incident technique. Elle peut aussi déformer la facture. Quelques heures de trafic indésirable soutenu suffisent parfois à changer le profil de coût du mois.
Enfin, si une IP est particulièrement visée, la réponse d’urgence en environnement classique devient souvent simple : blackhole de l’IP attaquée. Cela protège peut-être le reste du réseau, mais cela met aussi le service ciblé hors ligne. Pour le client derrière cette IP, le résultat reste une indisponibilité totale.
C’est la faiblesse structurelle du modèle classique : le trafic malveillant est autorisé à s’approcher beaucoup trop près de l’environnement de production avant qu’un filtrage vraiment décisif n’intervienne.
Ce qu’est réellement un transit IP protégé anti-DDoS
Le transit IP protégé anti-DDoS combine le transit réseau et la mitigation. Le client établit une relation BGP avec le fournisseur de mitigation et laisse transiter le trafic entrant destiné à ses préfixes à travers la couche anti-DDoS, avant que le trafic propre ne soit relivré vers l’infrastructure finale.
Cette livraison peut se faire avec ou sans annonce BGP côté remise du trafic. Selon l’architecture choisie, le trafic propre peut être livré par cross-connect, GRE, IPIP, VXLAN ou via une VM routeur qui laisse au client la possibilité de créer et gérer lui-même ses tunnels.
L’intérêt ne tient pas seulement au fait que le trafic est filtré en amont. Il tient au fait que le client garde une architecture réseau flexible tout en éloignant de son edge de production la partie la plus risquée du problème DDoS.
Comment fonctionne concrètement le modèle de livraison Peeryx
Chez Peeryx, le client peut utiliser le service en permanence ou l’activer uniquement pendant les attaques. Ce second modèle est possible, mais ce n’est pas le plus propre sur le plan opérationnel car le temps de convergence BGP reste un facteur réel. Le modèle le plus solide consiste à garder le chemin de protection actif pour que la mitigation soit immédiate dès le début de l’attaque.
Le service fonctionne aussi bien en routage symétrique qu’asymétrique. C’est un point important, car un client peut souhaiter faire entrer le trafic via Peeryx tout en sortant localement chez un autre transitaire. En pratique, cela peut réduire le coût de sortie et améliorer la latence egress sans dégrader la qualité du filtrage.
Une fois le trafic arrivé dans la fabric de mitigation, l’objectif n’est pas de faire du rate limit aveugle ni d’appliquer des restrictions statiques lourdes. L’objectif est de comprendre à quoi ressemble le trafic légitime du client, de détecter l’attaque, de générer la bonne logique de filtrage et de relivrer le trafic propre à pleine vitesse.
La fabric de mitigation elle-même repose sur une architecture de traitement de paquets basée sur DPDK, pensée pour tenir à la fois le débit et une très forte pression en packets per second. C’est important, car les vraies attaques ne mettent pas seulement à l’épreuve la bande passante affichée. Elles mettent aussi à l’épreuve la capacité à traiter énormément de paquets à coût CPU maîtrisé.
Mitigation adaptative plutôt que profils prédéfinis rigides
Un choix de conception assez courant sur le marché consiste à s’appuyer fortement sur des profils de mitigation prédéfinis. Cela peut bien fonctionner sur des schémas gaming très standard ou d’autres cas d’usage répétitifs, mais c’est naturellement moins flexible dès que le trafic légitime sort du gabarit attendu.
Peeryx adopte une autre logique. Par défaut, aucun filtre applicatif restrictif n’est imposé au trafic du client en temps normal. Des politiques applicatives optionnelles peuvent être activées si elles sont pertinentes, notamment pour certains jeux et pour des services comme SSH, WireGuard ou OpenVPN, mais la base du système reste adaptative et non rigide.
La plateforme observe en continu le trafic légitime hors mitigation pour comprendre le comportement normal du service. Quand une attaque est détectée, le système corrèle les signatures et patterns de l’attaque avec cette base de trafic légitime et génère automatiquement des règles de mitigation sur mesure en moins de 20 millisecondes. Le but n’est pas seulement d’arrêter vite l’attaque. Le but est de l’arrêter vite sans bloquer ce dont le client a réellement besoin.
C’est aussi pour cela que les chiffres de throughput seuls ne suffisent pas pour évaluer un anti-DDoS. Certaines solutions peuvent afficher d’énormes capacités en Gbps tout en tenant relativement moins bien certaines réalités en packets per second. En pratique, le Gbps et le Mpps comptent tous les deux.
Le routage symétrique et asymétrique sont tous les deux possibles
Certains clients partent du principe qu’un fournisseur de mitigation doit aussi devenir obligatoirement le chemin de sortie exclusif. Ici ce n’est pas le cas. Peeryx peut protéger le trafic entrant pendant que le client sort localement via un autre transitaire. Cette asymétrie peut être souhaitable à la fois pour des raisons de latence et de coût.
Ce qui compte, c’est que la couche anti-DDoS voie l’ingress protégé et dispose des informations de routage nécessaires pour relivrer correctement le trafic propre. Comme la logique de mitigation repose sur la compréhension du trafic légitime plutôt que sur des plafonds simplistes, la qualité du filtrage ne dépend pas du fait d’imposer un egress symétrique à travers la même plateforme.
Pour les clients qui veulent un fournisseur unique dans les deux sens, le mode symétrique est également possible. L’architecture est pensée pour être flexible, pas prescriptive.
Très grosses attaques volumétriques, absence de rate limit protocolaire et usage sélectif de FlowSpec
Un autre point différenciant important tient à ce qui ne se passe pas pendant la mitigation. Peeryx n’applique pas de rate limit générique sur des protocoles comme TCP, UDP ou GRE comme mécanisme de défense standard. Cela signifie que les transferts légitimes ne sont pas artificiellement ralentis simplement parce qu’une mitigation est en cours.
Pour les très gros floods volumétriques, en particulier certains scénarios d’amplification à très grande échelle, le BGP FlowSpec peut être utilisé automatiquement et intelligemment comme mécanisme amont de dégrossissement temporaire. L’objectif n’est pas de poser des filtres trop larges et destructeurs. L’objectif est de retirer juste assez de volume malveillant quand c’est absolument nécessaire, en se basant sur la même compréhension du trafic légitime, et seulement pendant un temps limité.
Utilisé de cette manière, FlowSpec devient un outil maîtrisé pour les cas extrêmes plutôt qu’un instrument brutal. Cela permet aussi à la plateforme de traiter, dans de bonnes conditions, des volumes d’attaque qui peuvent être significativement supérieurs au chiffre commercial affiché.
Ce qu’un acheteur sérieux doit évaluer avant de choisir un fournisseur anti-DDoS
Ne comparez pas les fournisseurs uniquement sur le nombre de térabits annoncés. Demandez comment la mitigation s’adapte au trafic légitime, combien de pression en packets per second la plateforme tient réellement, si le routage asymétrique est supporté, si des protocoles sont rate-limités, et comment le trafic propre vous est relivré.
Demandez aussi ce qu’il se passe sur votre modèle de coût pendant une attaque, si le fournisseur peut protéger un préfixe sans vous imposer une migration complète, et si vous pouvez conserver votre logique de filtrage en aval sur vos serveurs dédiés, appliances ou traitements de paquets custom.
Le meilleur design anti-DDoS n’est pas le plus théâtral. C’est celui qui laisse encore passer votre vrai trafic quand la situation devient tendue.
Questions fréquentes
Puis-je garder mon infrastructure actuelle et utiliser quand même un transit protégé ?
Oui. Le trafic propre peut être relivré via GRE, IPIP, VXLAN, cross-connect ou VM routeur selon l’architecture choisie.
Peeryx impose-t-il du routage symétrique ?
Non. Le service supporte le routage symétrique comme asymétrique, ce qui permet par exemple de faire entrer le trafic via Peeryx tout en sortant localement ailleurs.
La mitigation ralentit-elle le trafic légitime ?
La plateforme ne repose pas sur un rate limit protocolaire générique. L’objectif est de bloquer le trafic malveillant tout en préservant le débit légitime.
Pourquoi le packets per second est-il aussi important que le débit ?
Parce que beaucoup d’attaques mettent une plateforme en difficulté par la pression en paquets avant même que la bande passante brute ne soit la limite visible.
Conclusion
Le transit IP protégé anti-DDoS ne consiste pas simplement à afficher un plus gros chiffre devant un client. Il s’agit de changer l’endroit où l’attaque est gérée, la vitesse à laquelle le filtrage s’adapte et la quantité de trafic légitime qui continue à passer pendant l’attaque.
Pour les clients exposés à de gros volumes, sensibles à la latence ou facturés sur leur transit, cette différence est à la fois opérationnelle et économique. Le bon design peut éviter la saturation, éviter un blackhole inutile et protéger la logique métier du service, pas seulement son edge réseau.
Besoin d’un design de transit protégé adapté à votre vrai trafic ?
Échangez avec Peeryx sur le transit IP protégé, la relivraison de trafic propre, le routage asymétrique et les stratégies de mitigation construites autour de votre trafic légitime plutôt que sur des profils figés.