BGP & mitigation DDoSPublié le 23 mai 2026Temps de lecture : 14 min
BGP Blackhole vs BGP FlowSpec : choisir le bon filtrage DDoS
Le blackhole sauve la capacité en sacrifiant une destination. FlowSpec peut retirer l’attaque plus finement, mais seulement avec des règles courtes, mesurées et réversibles.
Blackhole protège le réseau
Il coupe une IP ou un préfixe pour éviter que la saturation ne se propage.
FlowSpec est plus ciblé
Il filtre selon protocole, ports, taille, flags ou fragments quand l’attaque est identifiable.
L’automatisation doit rester prudente
Chaque règle doit avoir un seuil, une durée de vie et un rollback.
Le blackhole BGP et BGP FlowSpec sont souvent présentés comme deux boutons d’urgence contre les attaques DDoS. En réalité, ils ne servent pas au même moment et ne produisent pas le même résultat. Le blackhole coupe une destination pour protéger le reste du réseau. FlowSpec pousse des règles plus précises dans l’infrastructure BGP pour supprimer certains paquets avant qu’ils ne saturent les ports. Pour un hébergeur, un opérateur ou un service gaming, la vraie question n’est pas “lequel est le meilleur”, mais “quel outil utiliser sans sacrifier le trafic légitime”.
Transit IP protégé
Peeryx combine capacité amont et filtrage maîtrisé
Le transit IP protégé Peeryx permet d’utiliser BGP, tunnels ou cross-connects pour absorber le trafic, réduire les volumes en amont et relivrer un trafic propre sans couper brutalement le service.
Le blackhole, souvent appelé RTBH, annonce une route spéciale à un transitaire ou à un routeur de bordure pour jeter tout le trafic vers une destination. C’est fiable, simple à comprendre et très utile quand une attaque menace la capacité globale. Son défaut est évident : le service visé devient indisponible, même pour les vrais utilisateurs.
FlowSpec fonctionne différemment. Une annonce BGP transporte une règle de filtrage : protocole UDP ou TCP, ports source ou destination, longueur de paquet, flags TCP, fragment, action de drop ou de limitation. La puissance de l’outil vient de cette précision, mais aussi son risque : une règle trop large peut casser une partie du trafic légitime sans que l’incident soit immédiatement visible.
Pourquoi c’est important
Pour un réseau commercial, le mauvais choix de mitigation peut être aussi coûteux que l’attaque. Blackholer une IP mutualisée, un serveur FiveM ou une passerelle client évite la saturation mais déclenche une panne complète. Pousser une règle FlowSpec mal qualifiée peut laisser le monitoring au vert tout en bloquant de vrais joueurs ou de vraies sessions.
Le sujet devient critique quand vous vendez du transit protégé. Le client ne paie pas seulement pour que votre backbone survive ; il paie pour que son service reste joignable. La décision doit donc se baser sur des mesures : pps, Gbps, ports touchés, profil des paquets, taux d’erreur côté client et évolution de la signature.
Les solutions possibles
La première option reste le RTBH manuel. Il est adapté quand l’IP attaquée ne doit pas menacer d’autres clients, ou quand le volume dépasse ce que les ports peuvent absorber. C’est un frein d’urgence, pas une mitigation fine.
La seconde option est FlowSpec manuel après capture et analyse. Elle convient aux attaques simples, stables et très caractéristiques. Elle devient insuffisante lorsque la signature change toutes les quelques minutes ou lorsque personne n’est disponible pour valider la règle.
La solution la plus robuste est une automatisation encadrée : seuils par port, génération de règles courtes, expiration automatique, observation du trafic légitime et blackhole uniquement comme dernier recours. Le but n’est pas de filtrer plus, mais de filtrer mieux.
RTBH
Simple, rapide, mais le service visé est sacrifié.
FlowSpec précis
Efficace quand plusieurs critères décrivent réellement l’attaque.
Pipeline hybride
FlowSpec dégrossit le volume, puis la mitigation spécialisée protège le service.
Critère
Blackhole BGP
BGP FlowSpec
Impact service
Destination coupée
Filtrage ciblé si la règle est précise
Complexité
Faible
Moyenne à élevée
Usage idéal
Dernier recours
Réduction du volume attaque
Choisir entre blackhole et FlowSpec sans couper le légitime
Chez Peeryx, FlowSpec est utilisé comme outil de dégrossissage amont. L’objectif est de réduire un volume d’attaque trop important avant qu’il ne consomme les ports de transit, pas de remplacer toute la logique Anti-DDoS par une règle BGP.
Une règle saine combine plusieurs critères : destination, protocole, plage de ports, longueur observée et contexte de débit. Elle doit être courte, documentée et supprimée si les indicateurs clients se dégradent. Cette discipline est indispensable pour du trafic gaming, où l’UDP légitime peut ressembler à du bruit si on regarde un seul champ.
Peeryx livre ensuite le trafic propre via tunnel GRE/IPIP/VXLAN, router VM ou cross-connect. Le client garde un modèle réseau lisible : où le trafic entre, où il est filtré, comment il revient et quelles actions sont possibles en cas de saturation.
Transit d’abord
La mitigation est pensée autour du chemin réseau, pas ajoutée après coup.
Règles limitées
Les filtres amont expirent et sont reliés à des métriques réelles.
Gaming compatible
Le filtrage évite les drops simplistes sur UDP quand des joueurs légitimes utilisent les mêmes ports.
Imaginez un serveur de jeu qui reçoit 80 Gbps d’UDP sur son port public. Le blackhole arrête la saturation, mais il déconnecte tout le monde. Un drop FlowSpec sur “UDP vers le port du jeu” serait presque aussi mauvais, car il supprime le trafic des joueurs.
La bonne approche consiste à observer la longueur des paquets, les plages de ports source, le ratio pps/Gbps et la présence éventuelle de fragments. Une règle combinée peut retirer une grande partie de l’attaque tout en laissant passer les clients réels. Si la signature change ou si le trafic légitime baisse, la règle doit disparaître rapidement.
Erreurs fréquentes
Les erreurs viennent souvent d’une envie de réagir trop vite. En DDoS, la rapidité est importante, mais une action fausse propagée chez un transitaire peut avoir un impact plus large qu’un filtre local mal réglé.
Utiliser FlowSpec comme si c’était un firewall applicatif.
Garder des règles permanentes après la fin de l’attaque.
Filtrer sur un seul critère, par exemple une taille de paquet.
Blackholer un préfixe entier alors qu’une seule IP est attaquée.
Ne pas mesurer l’impact sur le trafic légitime avant et après la règle.
FAQ
FlowSpec remplace-t-il un Anti-DDoS complet ?
Non. FlowSpec aide à retirer certains volumes en amont, mais il ne comprend pas à lui seul la légitimité applicative.
Le blackhole est-il encore utile ?
Oui, comme dernier recours lorsque la destination menace la stabilité du réseau ou d’autres clients.
Peut-on utiliser FlowSpec avec des jeux UDP ?
Oui, mais avec des règles combinées, courtes et surveillées, jamais avec un drop vague sur tout l’UDP.
Quelle est la durée idéale d’une règle ?
La plus courte possible : quelques minutes, renouvelées seulement si les signaux restent présents.
Conclusion
Blackhole et FlowSpec ne sont pas rivaux. Le premier est une coupure d’urgence, le second un outil de filtrage réseau précis quand l’attaque peut être décrite. Une stratégie mature définit quand déclencher, combien de temps garder la règle, comment mesurer le trafic légitime et quand revenir en arrière.
Ressources
Lectures liées
Pour approfondir le sujet, voici d’autres pages et articles utiles.
Besoin de filtrer sans blackholer tout un préfixe ?
Envoyez-nous vos préfixes, vos transitaires actuels, votre trafic moyen et vos contraintes de latence. On cadrera d’abord le modèle de relivraison propre avant de parler tarif.
