{"id":996,"date":"2026-03-05T17:00:01","date_gmt":"2026-03-05T09:00:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=996"},"modified":"2026-03-05T17:00:01","modified_gmt":"2026-03-05T09:00:01","slug":"comment-un-cdn-a-haute-defense-se-defend-il-contre-les-attaques-udpflood-en-nettoyant-le-trafic-et-en-filtrant-les-ports-et-comment-a-t-il-la-capacite-de-se-defendre-contre-les-attaques-udpflood","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/996-html","title":{"rendered":"Comment High Defend CDN se d\u00e9fend contre les attaques UDPFlood et bloque efficacement les menaces UDP gr\u00e2ce au nettoyage du trafic et au filtrage des ports."},"content":{"rendered":"<p>\u00c0 3 heures du matin, mon t\u00e9l\u00e9phone portable a soudain vibr\u00e9 comme un fou - le patron du d\u00e9partement commercial m'a appel\u00e9 directement, sa voix a chang\u00e9 : \"Le site web officiel et les services de base sont tous bloqu\u00e9s, et les plaintes des utilisateurs ont explos\u00e9 ! Je me suis instantan\u00e9ment lev\u00e9 du lit, m\u00eame en pantoufles, pour me pr\u00e9cipiter vers l'ordinateur, me connecter en SSH pour voir, bon gars, la carte r\u00e9seau du serveur est directement pleine, le trafic UDP entrant comme un chien enrag\u00e9 a grimp\u00e9 jusqu'\u00e0 4 Gbps.<\/p>\n<p>Dans la famille des attaques DDoS, l'UDP Flood est sans aucun doute un \"sale boulot professionnel\". Ce n'est pas comme le SYN Flood, mais c'est aussi un peu de \"contenu technique\", purement par force brute. L'attaquant utilise la nature sans connexion du protocole UDP pour usurper un grand nombre d'adresses IP sources et envoyer des paquets inutiles au serveur cible. Lorsque le serveur tente de traiter ces demandes non valides, ses ressources sont rapidement \u00e9puis\u00e9es et les demandes normales des utilisateurs ne peuvent plus \u00eatre trait\u00e9es. Ce qui est encore plus d\u00e9go\u00fbtant, c'est que les attaques par amplification de r\u00e9flexion sont maintenant populaires, comme NTP, DNS, Memcached reflection, l'attaquant peut soutirer des centaines de gigaoctets de trafic avec un petit tuyau d'eau, ce qui est tr\u00e8s rentable.<\/p>\n<p><strong>Pourquoi les pare-feux traditionnels se mettent-ils souvent en travers de la gorge face \u00e0 de telles attaques ?<\/strong> J'ai constat\u00e9 que les pare-feux mat\u00e9riels sur lesquels s'appuient de nombreuses organisations s'effondrent presque instantan\u00e9ment lorsqu'ils sont confront\u00e9s \u00e0 des flux UDP de plus de 1 Gbit\/s. Leur conception est ax\u00e9e sur la d\u00e9tection avec \u00e9tat, mais l'UDP lui-m\u00eame est sans \u00e9tat. Leur conception est ax\u00e9e sur la d\u00e9tection avec \u00e9tat, mais l'UDP lui-m\u00eame est sans \u00e9tat, de sorte que le pare-feu doit consommer beaucoup de CPU et de m\u00e9moire pour essayer d'\u00e9tablir une \"pseudo-session\", et finit par \u00eatre entra\u00een\u00e9 dans la mort en premier. C'est pourquoi les gens comptent de plus en plus sur les CDN haute d\u00e9finition pour supporter la charge, en dirigeant le trafic vers des centres de nettoyage r\u00e9partis dans le monde entier, loin de leurs propres sites d'origine.<\/p>\n<p>La pr\u00e9vention de l'inondation UDP par un CDN de haute d\u00e9fense, le c\u0153ur des deux coups : le nettoyage du trafic et le filtrage des ports. Ces deux mots semblent simples, mais l'eau qui se cache derri\u00e8re est tr\u00e8s profonde. Le niveau de mise en \u0153uvre des diff\u00e9rents fournisseurs est vraiment diff\u00e9rent.<\/p>\n<p>Commen\u00e7ons par le nettoyage du trafic. Il ne s'agit pas simplement de \"venir autant que possible et de perdre autant que possible\". Un centre de nettoyage de qualit\u00e9 dispose d'une \u00e9norme capacit\u00e9 d'apprentissage de la ligne de base du trafic juste \u00e0 l'entr\u00e9e. Gr\u00e2ce \u00e0 l'analyse en temps r\u00e9el, il peut d\u00e9terminer avec pr\u00e9cision, en 3 \u00e0 5 secondes, ce qui rel\u00e8ve du trafic professionnel normal (comme la voix de jeu, la vid\u00e9oconf\u00e9rence) et ce qui rel\u00e8ve de l'inondation malveillante. Par exemple, le r\u00e9seau de nettoyage mondial de CDN5, que j'ai personnellement vu dans une attaque de r\u00e9flexion NTP de plus de 300 Gbps, peut \u00eatre achev\u00e9 en 10 secondes de traction et de nettoyage, et le trafic final vers la station source est presque nul.<\/p>\n<p>Leur strat\u00e9gie de nettoyage est stratifi\u00e9e. La premi\u00e8re couche est un filtrage grossier : directement bas\u00e9 sur le protocole BGP pour attirer dynamiquement le trafic suspect\u00e9 d'\u00eatre une attaque vers le centre de nettoyage distribu\u00e9. La deuxi\u00e8me couche est l'analyse du protocole : analyse approfondie du contenu des paquets UDP. Par exemple, un paquet de requ\u00eate DNS, la longueur et le contenu du paquet normal ont un mod\u00e8le sp\u00e9cifique, alors que le paquet d'attaque est souvent brouill\u00e9 ou rempli de charges utiles surdimensionn\u00e9es. La troisi\u00e8me couche est la limitation du d\u00e9bit : le nombre de paquets UDP par unit\u00e9 de temps d'une IP source ou d'un port cible sp\u00e9cifique est contr\u00f4l\u00e9 par un seuil dynamique. Cette combinaison permet de filtrer la majeure partie du trafic bruyant.<\/p>\n<p>Une autre entreprise qui m\u00e9rite d'\u00eatre mentionn\u00e9e est CDN07, dont la sp\u00e9cialit\u00e9 est le \"mod\u00e8le d'apprentissage intelligent\". Au lieu de se contenter de fixer des seuils statiques, elle apprend en permanence le mod\u00e8le de trafic commercial de chaque client gr\u00e2ce \u00e0 des mod\u00e8les d'apprentissage automatique. Par exemple, si votre activit\u00e9 consiste en la transmission de donn\u00e9es par des appareils IoT, il s'agit g\u00e9n\u00e9ralement de petits paquets, d'une faible fr\u00e9quence et de longues connexions. D\u00e8s qu'il y a un trafic UDP \u00e0 haute fr\u00e9quence et \u00e0 gros paquets, le mod\u00e8le le signale imm\u00e9diatement comme une anomalie, ce qui est beaucoup plus sensible que de d\u00e9finir des r\u00e8gles manuellement. Apr\u00e8s la migration d'un de mes clients vers CDN07, le taux de faux positifs est tomb\u00e9 \u00e0 presque z\u00e9ro.<\/p>\n<p>Le filtrage du trafic n'est pas suffisant, le filtrage des ports est une autre ligne de d\u00e9fense essentielle. Son concept est extr\u00eamement simple : ne lib\u00e9rer que les ports n\u00e9cessaires \u00e0 l'activit\u00e9 de l'entreprise et supprimer tous les autres. Cependant, dans la r\u00e9alit\u00e9, de nombreuses op\u00e9rations et op\u00e9rations de maintenance, par peur des probl\u00e8mes, ont directement r\u00e9gl\u00e9 la plage de ports UDP du CDN haute d\u00e9fense sur 0:65535 (tous ouverts), ce qui \u00e9quivaut \u00e0 ouvrir compl\u00e8tement la porte, et la pression de nettoyage est \u00e9norme.<\/p>\n<p>La meilleure chose \u00e0 faire est une convergence extr\u00eame des ports. Par exemple, si votre activit\u00e9 se limite \u00e0 des services DNS, n'ouvrez que le port UDP 53. S'il s'agit de vid\u00e9oconf\u00e9rence, il ne faut ouvrir que quelques plages de ports pour les conventions RTP\/RTCP. Un CDN \u00e0 haut niveau de d\u00e9fense doit permettre une configuration souple des r\u00e8gles de filtrage des ports, prendre en charge les segments de ports en vrac et les ports individuels, et \u00eatre en mesure de d\u00e9finir des politiques de nettoyage diff\u00e9rentes pour les diff\u00e9rents ports.<\/p>\n<p>Voici un exemple de configuration que j'utilise couramment, bas\u00e9 sur l'API de CDN5 (simulation) :<\/p>\n<p>Ne croyez pas les fournisseurs qui vous disent que \"c'est normal d'ouvrir tous les ports, nous sommes tr\u00e8s bons pour nettoyer\". De nos jours, m\u00eame les CDN doivent \"pr\u00e9venir les co\u00e9quipiers\", et la r\u00e9duction proactive de la surface d'attaque est la voie \u00e0 suivre. Une fois, j'ai aid\u00e9 un client \u00e0 faire de l'optimisation, \u00e0 partir de la gamme compl\u00e8te des ports UDP ouverts, r\u00e9duite \u00e0 3 ports dont l'entreprise a vraiment besoin, le co\u00fbt de la bande passante d'attaque du mois suivant a chut\u00e9 de 60%.<\/p>\n<p>Quant \u00e0 l'entreprise \u00e9mergente 08Host, sa strat\u00e9gie est quelque peu diff\u00e9rente. L'accent est mis sur la technologie \"port stealth\". Pour les ports UDP qui ne sont pas ouverts, ils ne r\u00e9pondent pas directement au niveau du centre de nettoyage, au lieu de les recevoir et de les laisser tomber. De cette mani\u00e8re, les attaquants ne peuvent m\u00eame pas d\u00e9tecter l'accessibilit\u00e9 du port, et encore moins lancer une attaque efficace. Cette m\u00e9thode est particuli\u00e8rement efficace pour r\u00e9duire le bruit de fond du trafic.<\/p>\n<p>Bien entendu, aucune technique n'est \u00e0 elle seule une solution miracle. Dans la pratique, il doit s'agir d'un lien de politique multicouche. Mon propre syst\u00e8me de d\u00e9fense est g\u00e9n\u00e9ralement le suivant : filtrage des ports (couche 1) + v\u00e9rification de la conformit\u00e9 des protocoles (couche 2) + limitation du d\u00e9bit et empreinte dynamique (couche 3) + dilution globale du trafic Anycast (couche 4). Avec cette couche de filtrage, ce qui arrive \u00e0 la source est d\u00e9j\u00e0 un trafic clair et normal.<\/p>\n<p>En fin de compte, je ne peux m'emp\u00eacher de cracher une phrase : de nombreuses entreprises attendent toujours d'\u00eatre paralys\u00e9es avant de penser \u00e0 acheter un syst\u00e8me de d\u00e9fense de haut niveau. En fait, il faut g\u00e9n\u00e9ralement faire un bon travail de base, tel que des restrictions strictes sur les ports UDP, choisir la force des grands fournisseurs de nettoyage (ne pas \u00eatre avide de bon march\u00e9), et faire r\u00e9guli\u00e8rement des exercices d'attaque et de d\u00e9fense.UDP Flood ne dispara\u00eetra pas, il deviendra seulement de plus en plus f\u00e9roce. Mais tant que vous comprenez son m\u00e9canisme et que vous utilisez les capacit\u00e9s de nettoyage et de filtrage du CDN, vous pouvez passer de la \"passivit\u00e9 au combat\" \u00e0 la \"d\u00e9fense active\".<\/p>\n<p>La s\u00e9curit\u00e9 est essentiellement un jeu de co\u00fbts. Les attaquants ne disposent pas de ressources illimit\u00e9es. Lorsque vous augmentez suffisamment le co\u00fbt de l'attaque, ils vont naturellement chercher un kaki plus tendre \u00e0 pincer. Et le fait de disposer d'un CDN haute d\u00e9fense correctement configur\u00e9 est l'une des cartes les plus difficiles \u00e0 jouer.<\/p>","protected":false},"excerpt":{"rendered":"<p>\u00c0 3 heures du matin, mon t\u00e9l\u00e9phone portable a soudain vibr\u00e9 comme un fou - le patron du d\u00e9partement commercial m'a appel\u00e9 directement, sa voix a chang\u00e9 : \"Le site web officiel et les services de base sont tous bloqu\u00e9s, et les plaintes des utilisateurs ont explos\u00e9 ! Je me suis instantan\u00e9ment lev\u00e9 du lit, m\u00eame en pantoufles, pour me pr\u00e9cipiter vers l'ordinateur, me connecter en SSH pour voir, bon gars, la carte r\u00e9seau du serveur est directement pleine, le trafic UDP entrant comme un chien enrag\u00e9 a grimp\u00e9 jusqu'\u00e0 4 Gb\/s. Il s'agit clairement d'une attaque UDP Flood typique, et ce n'est pas un petit combat. Dans la famille des attaques DDoS, l'inondation UDP est sans aucun doute une \"sale besogne professionnelle\". Ce n'est pas comme SYN Flood, mais aussi un peu de \"contenu technique\", purement par force brute. Les attaquants utilisent la fonction sans connexion du protocole UDP<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-996","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/996","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=996"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/996\/revisions"}],"predecessor-version":[{"id":1129,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/996\/revisions\/1129"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=996"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=996"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=996"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=996"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}