BGP est le protocole qui permet aux réseaux d’annoncer leur joignabilité. Comprendre préfixes, AS path, communautés et préférence de route est indispensable avant d’acheter du transit protégé.
Un AS indique quels blocs IP il sait joindre.
AS path, local-pref, MED et communautés influencent le choix.
Attirer, déplacer ou retirer une route change directement l’exposition réseau.
BGP, pour Border Gateway Protocol, est le protocole qui permet aux réseaux autonomes d’Internet de s’échanger des routes. Quand une entreprise annonce un préfixe IPv4 ou IPv6, elle dit au reste du monde : “pour joindre ces IP, passez par ce chemin”. BGP ne transporte pas les paquets utilisateurs ; il transporte des décisions de routage. Comprendre ce point est essentiel pour l’Anti-DDoS : la protection ne commence pas au firewall, elle commence souvent par la manière dont le trafic est attiré vers un réseau capable de l’absorber, de le filtrer et de relivrer ce qui est légitime.
Peeryx peut gérer un modèle avec votre ASN, un under-ASN, un AS-SET, des tunnels ou un cross-connect pour que le routage et la mitigation restent lisibles.
Beaucoup résument BGP à “le protocole d’Internet”. C’est vrai, mais insuffisant pour l’exploiter. BGP est un système d’annonces entre AS : chaque réseau publie des préfixes, reçoit ceux des autres et choisit une route selon sa politique locale. Il n’existe pas une autorité centrale qui choisit le meilleur chemin pour tout le monde.
Cette nature distribuée rend BGP puissant, mais parfois contre-intuitif. Le chemin choisi par un FAI peut être différent de celui choisi par un autre. Une route plus spécifique peut attirer plus de trafic. Une communauté peut demander à un transitaire de modifier la préférence, de prepender ou de blackholer. Pour acheter ou vendre du transit protégé, ces détails ne sont pas optionnels.
BGP est important pour le DDoS parce qu’il contrôle l’endroit où arrive le trafic avant filtrage. Si votre préfixe est annoncé uniquement depuis un petit port, une attaque volumétrique peut saturer avant que le moindre serveur n’ait l’occasion de répondre. Si le préfixe est annoncé vers un réseau de mitigation, le trafic arrive d’abord là où il peut être absorbé.
La relivraison est tout aussi importante. Après nettoyage, le trafic doit revenir vers l’infrastructure client par tunnel, cross-connect ou autre mécanisme. Sans modèle BGP clair, on obtient des asymétries imprévues, des routes qui se battent, des annonces plus spécifiques mal contrôlées ou des sessions clients instables.
La première solution est d’utiliser le BGP client classique : le client annonce ses préfixes à un fournisseur, reçoit une table complète ou une route par défaut, puis maîtrise son routage sortant. C’est adapté aux équipes réseau expérimentées.
La seconde solution est l’annonce sous ASN fournisseur. Le client délègue une partie du routage au prestataire, souvent plus simple pour démarrer. Le risque est de perdre en visibilité si le fournisseur n’explique pas comment les routes sont gérées.
La troisième solution, fréquente en mitigation, consiste à annoncer le préfixe vers le réseau Anti-DDoS puis à relivrer le trafic propre par GRE, IPIP, VXLAN, router VM ou cross-connect. C’est ce modèle qui doit être documenté avant une crise.
Contrôle fort, mais demande de la compétence réseau.
Plus simple à lancer, mais dépend de la transparence fournisseur.
Le trafic est attiré vers le filtrage puis relivré proprement.
| Élément BGP | Rôle | Impact Anti-DDoS |
|---|---|---|
| Préfixe | Bloc IP annoncé | Détermine ce qui est protégé |
| AS path | Chemin d’AS | Influence l’attraction trafic |
| Communauté | Instruction opérateur | Peut modifier préférence ou blackhole |
Peeryx pense BGP comme une brique de contrôle, pas comme une promesse marketing. Pour chaque client, il faut savoir qui annonce le préfixe, avec quel AS, sur quels ports, avec quelles limites de préfixes, quelles communautés et quel mode de retour trafic.
Dans un modèle de transit IP protégé, BGP sert à attirer le trafic vers la capacité de mitigation. Le filtrage Anti-DDoS traite ensuite le trafic, et la relivraison se fait selon l’intégration choisie. Ce découpage évite une confusion classique : BGP attire le trafic, mais il ne décide pas seul qu’un paquet est légitime.
Pour les clients gaming ou hébergeurs, cette clarté est critique. Une annonce plus spécifique, un mauvais retour par défaut ou une asymétrie non prévue peut changer la latence et la stabilité. Le design doit donc être écrit avant la mise en production.
Le transit protégé peut intégrer annonce BGP, under-ASN et AS-SET selon le besoin.
GRE, IPIP, VXLAN, router VM ou cross-connect selon la topologie client.
On parle préfixes, capacité, règles, sessions et retour trafic, pas seulement “protection”.
Un hébergeur possède un /24 IPv4 et veut protéger plusieurs clients. Avec BGP, il peut annoncer ce préfixe vers Peeryx, attirer le trafic entrant vers le filtrage, puis récupérer le trafic propre dans son réseau. Les clients conservent leurs IPs, ce qui évite une migration douloureuse.
Un autre client sans ASN peut préférer des IPs protégées opérées par Peeryx. Le modèle BGP reste présent, mais il est masqué côté client. Dans les deux cas, le succès dépend du même point : le chemin réseau doit être compris, testé et surveillé.
Les erreurs BGP sont rarement spectaculaires au début. Elles apparaissent quand le trafic augmente, quand un transitaire change de préférence ou quand une attaque force le réseau à utiliser des chemins prévus uniquement sur papier.
Non. On peut utiliser des IPs protégées ou des tunnels, mais BGP devient très utile dès qu’il faut protéger ses propres préfixes.
Non. Il choisit selon des politiques et attributs, pas uniquement selon la distance géographique.
Pas toujours. Certains clients utilisent une route par défaut ; d’autres veulent une full table pour contrôler précisément l’egress.
Non. BGP attire ou retire le trafic. Le filtrage doit être assuré par une couche Anti-DDoS.
BGP n’est pas magique, mais c’est l’un des leviers les plus importants d’un design Anti-DDoS sérieux. Il indique où va le trafic, comment les réseaux se joignent et comment une mitigation peut être insérée sans changer toutes les IPs. Le bon fournisseur doit donc expliquer son routage aussi clairement que sa capacité de filtrage.
Envoyez-nous vos préfixes, vos transitaires actuels, votre trafic moyen et vos contraintes de latence. On cadrera d’abord le modèle de relivraison propre avant de parler tarif.
