Comment Netrix a bloqué une attaque de 1,7 Tb/s en moins d’une seconde (et pourquoi la réactivité fait toute la différence)

L'équipe Netrix

L'équipe Netrix

2 min read
Comment Netrix a bloqué une attaque de 1,7 Tb/s en moins d’une seconde (et pourquoi la réactivité fait toute la différence)

Il y a quelques jours, Netrix a bloqué une attaque DDoS de plus de 1,7 Tb/s visant l’un de nos clients hébergeur, une PME avec quelques milliers de clients. L’attaque, très brève mais ultra-intense (une minute au total, en deux vagues de 30 secondes), avait pour unique objectif de saturer toute son infrastructure.

Comme l’ont récemment constaté nos confrères de Cloudflare dans leur article sur une attaque à 7,3 Tb/s, le marché voit émerger des attaques de plus en plus volumétriques… mais aussi de plus en plus courtes. Dans notre cas : une première vague en UDP random, suivie d’une seconde en TCP ACK flood, sur une cible loin d’être un géant du web.

Pourquoi la réactivité est clé (et ce que change la mitigation inline)

Sur ce type d’attaque, tout se joue à la seconde près. Beaucoup d’opérateurs traditionnels mettent plusieurs dizaines de secondes, voire des minutes, à activer leur mitigation : le temps de rerouter le trafic vers un scrubbing center ou d’appliquer des règles. Pour une attaque aussi courte, la réaction “classique” arrive trop tard : l’impact est déjà là.

Chez Netrix, notre mitigation inline analyse et filtre chaque paquet en temps réel, directement à l’entrée de notre réseau. Résultat : détection et blocage en moins d’une seconde, sans détour, sans latence supplémentaire, et sans intervention humaine. Le trafic légitime continue de circuler normalement, le client n’a rien à faire, et ses utilisateurs ne voient aucune différence.

Notre TTM (Time To Mitigate) est garanti à moins de 5 secondes, et dans la grande majorité des cas, la réaction est encore plus rapide.

Pas de blackhole, pas d’interruption : l’attaque est vraiment stoppée

Contrairement à de nombreux acteurs du marché qui activent un blackhole (coupure totale du trafic vers l’IP attaquée) dès qu’une attaque volumétrique est détectée, nous n’avons à aucun moment interrompu l’accès à l’IP visée. La mitigation a été appliquée de façon sélective et transparente :

  • L’IP ciblée est restée accessible pendant toute la durée de l’attaque,
  • Aucun service n’a été coupé,
  • Les utilisateurs finaux n’ont constaté aucune perturbation.

C’est un point clé : en évitant le blackhole, on ne fait pas “gagner” l’attaquant. L’objectif de l’attaque de rendre le service indisponible a été complètement déjoué.

Signature, heuristique et automatisation totale

Notre système combine analyse par signature (pour bloquer instantanément les attaques connues) et analyse heuristique (pour s’adapter en temps réel aux attaques inédites). Tout est automatisé et transparent, même pour des attaques de cette ampleur.

Ces deux mécanismes ont fonctionné en parfaite synergie pendant cette attaque :

Notre algorithme de signature (entièrement maison) a détecté l’attaque à T+0s, permettant une réaction instantanée. Quelques instants plus tard, à T+1s, notre algorithme heuristique est venu optimiser et affiner une partie des règles de mitigation pour s’adapter à la dynamique de l’attaque.

Ce que ça change pour nos clients

Même une PME peut aujourd’hui être la cible d’attaques autrefois réservées aux grandes entreprises. Ce week-end, notre client n’a rien vu passer : pas d’interruption, pas de coupure, pas de stress.

Et vous, votre opérateur de transit bloque aussi rapidement des attaques ultra-volumétriques ?

Nos offres de transit IP anti-DDoS sont disponibles dès 350 €/mois et nos experts sont disponibles pour échanger sur vos enjeux de sécurité réseau ou répondre à vos questions. Contactez-nous.

Read more