Mon compte | Contactez-nous | 01 76 23 10 11 |
EN EN
Retourner sur le site

Comprendre l'anti-DDoS HolyCloud

Couches de mitigation, tunnel GRE et principes de null route sur le réseau HolyCloud.

~10 min de lecture Débutant #antiddos #reseau #gre #mitigation

Comprendre l'anti-DDoS HolyCloud

Les attaques DDoS (Déni de service distribué) visent à saturer votre bande passante ou vos ressources jusqu'à rendre le service indisponible. HolyCloud applique une mitigation en plusieurs couches sur le réseau du datacenter, en amont de votre VPS, serveur dédié ou IP d'hébergement.

Prérequis

  • Aucune configuration obligatoire pour la protection de base sur les offres éligibles
  • Comprendre la différence entre trafic légitime et pic anormal (monitoring, logs)
  • Contact support en cas d'attaque en cours avec horodatage et IP impactée

Vue d'ensemble : les couches de mitigation

Internet → [Scrubbing / filtrage edge] → [Réseau HolyCloud] → Votre serveur

| Couche | Rôle |

|--------|------|

| Détection | Analyse des flux (volume, signatures, répartition géographique) |

| Filtrage | Blocage ou limitation des paquets malveillants (UDP flood, SYN flood, réflexion DNS/NTP) |

| Scrubbing | Séparation du trafic « propre » du trafic d'attaque avant routage vers votre IP |

| Rate limiting | Plafonnement pour protéger le reste du réseau |

La mitigation est automatique pour de nombreuses signatures courantes ; certaines offres entreprise peuvent inclure des réglages avancés ou une annonce BGP dédiée.

Que se passe-t-il pendant une attaque ?

  1. Le trafic vers votre IP publique augmente brutalement.
  2. Les systèmes anti-DDoS du datacenter identifient le pattern (ex. millions de paquets UDP vers un port jeu).
  3. Le trafic attaquant est absorbé ou filtré ; le trafic légitime (HTTP/TLS, SSH depuis IP connues) est laissé passer dans la mesure du possible.
  4. Vous pouvez constater une latence temporaire ou une coupure courte si l'attaque dépasse les seuils — le support peut appliquer des mesures complémentaires.

Vous n'avez généralement rien à installer sur le VPS pour la protection réseau de base : elle agit avant votre carte réseau virtuelle.

GRE et routage avancé (concept)

Pour les clients avec protection externe ou cluster scrubbing dédié, le trafic filtré peut être renvoyé vers votre serveur via un tunnel GRE (Generic Routing Encapsulation) :

[Centre de scrubbing] --tunnel GRE--> [IP de votre serveur HolyCloud]

Principes :

  • Le tunnel encapsule les paquets déjà nettoyés.
  • Votre serveur voit le trafic légitime sur une interface tunnel configurée côté OS (Linux ip tunnel, etc.).
  • La configuration GRE est provisonnée par HolyCloud sur demande (offres spécifiques) — ne créez pas de tunnel sans accord support.

Ce mécanisme évite d'exposer directement l'IP « brute » du serveur à Internet pendant une grosse attaque.

Null route (blackholing) : bases

Quand le volume dépasse la capacité de scrubbing ou menace le réseau voisin, l'opérateur peut annoncer une null route (blackhole) vers l'IP attaquée :

  • Tout le trafic vers cette IP est jeté (drop) au plus près de la source de l'attaque.
  • Effet : votre service devient injoignable sur cette IP, mais le reste du datacenter reste protégé.
  • La null route est temporaire ; elle est levée quand l'attaque retombe ou après analyse.

Ce n'est pas une défaillance de votre serveur : c'est une mesure de dernier recours pour protéger l'infrastructure collective.

Bonnes pratiques côté client

  • Ne publiez pas d'IP inutiles ; utilisez un CDN pour le web statique si vous êtes ciblé souvent.
  • Fermez les ports non utilisés (pare-feu OS + panel HolyCloud).
  • Désactivez les services de réflexion (DNS ouvert, NTP, SNMP publics).
  • Sur VPS game/voice, attendez-vous à des attaques UDP — choisissez une offre avec mitigation adaptée.

Signaler une attaque au support

Indiquez :

  • IP publique concernée
  • Heure de début (fuseau horaire)
  • Type de service (web, jeu, mail)
  • Captures ou graphiques de trafic si disponibles
# exemples utiles depuis un VPS Linux pendant un incident
ss -s
netstat -an | head
journalctl -u nginx --since "10 min ago"

FAQ rapide

| Question | Réponse courte |

|----------|----------------|

| L'anti-DDoS remplace-t-il un WAF ? | Non — le WAF filtre HTTP applicatif ; l'anti-DDoS cible le réseau |

| Puis-je être null-routé sans prévenir ? | Oui, en cas de seuil critique — le support informe ensuite |

| GRE est-il sur tous les plans ? | Non, réservé aux scénarios avancés |

Besoin d'aide ?

Pour une IP supplémentaire protégée, un rapport d'incident ou une offre avec mitigation renforcée, contactez le support HolyCloud depuis votre espace client.