DDoS PPS vs Gbps : pourquoi le nombre de paquets compte

Définition du problème

Le Gbps mesure la quantité de données par seconde. Le PPS mesure le nombre de paquets par seconde. En DDoS, ces deux valeurs peuvent évoluer séparément : les gros paquets créent du volume, les petits paquets créent de la pression de traitement.

Une attaque à 5 Gbps en très petits paquets peut être plus difficile pour un serveur qu’une attaque à 50 Gbps en paquets plus gros, car chaque paquet déclenche parsing, file d’attente, compteurs, ACL ou décision d’état.

Pourquoi les PPS changent le design

Les PPS comptent parce que routeurs, firewalls, files NIC et kernels ont tous des limites de traitement paquet. Une fois atteintes, la latence augmente, la perte apparaît et les sessions légitimes échouent même si l’uplink n’est pas plein.

Pour le gaming, cela ressemble à du lag. Pour l’hébergement, à des VPS instables. Pour un client transit, à une pression CPU imprévue sur un équipement dimensionné uniquement en bande passante.

Les solutions possibles

Le dimensionnement doit combiner vitesse de port, capacité de filtrage, limites PPS, layout des queues et soulagement amont. Regarder uniquement la bande passante donne une fausse sécurité.

Le filtrage haute PPS gagne avec des drops très tôt, des chemins rapides simples, l’aide FlowSpec ou ACL amont quand utile, et une séparation claire entre mitigation volumétrique et logique service.

• Transit IP protégé — Pour les réseaux qui veulent recevoir du trafic propre avec BGP, tunnel ou handoff dédié.
• Serveur dédié protégé Anti-DDoS — Pour héberger la production près de la couche de filtrage.
• Reverse proxy gaming — Pour FiveM, Minecraft et autres services de jeu où le protocole compte.

Comment Peeryx lit PPS et Gbps ensemble

Peeryx traite Gbps et PPS comme deux indicateurs de risque différents. Le volume doit être réduit avant de remplir les liens ; le bruit haute PPS doit être traité avant de brûler le CPU de l’endpoint protégé.

Cette lecture sert au transit IP protégé, aux serveurs dédiés protégés et aux proxies gaming, car chaque modèle a un goulot différent et un chemin de retour propre différent.

Cas concret

Un client voit seulement 8 Gbps sur ses graphes, mais son firewall devient instable. Le vrai problème est 12 Mpps de petits paquets UDP. Acheter un port plus gros ne suffit pas : il faut filtrer plus tôt avec moins de travail stateful.

Un autre client reçoit 80 Gbps en paquets plus gros. Ici, le port est le premier goulot : la capacité amont et le shaving de trafic deviennent prioritaires.

Erreurs fréquentes

La première erreur est d’annoncer seulement des Tbps en ignorant les Mpps. La deuxième est de tester avec de gros paquets synthétiques et croire que le résultat s’applique aux attaques réelles.

La troisième est de placer un firewall stateful devant tout. Ces équipements sont utiles, mais en haute PPS ils peuvent devenir exactement le goulot que l’attaquant cherche à atteindre.

Pourquoi choisir Peeryx

La meilleure réponse pour le SEO est aussi la meilleure réponse technique : expliquer le type d’attaque, montrer l’impact opérationnel et choisir la mitigation adaptée au vrai service.

Ressources Peeryx liées

FAQ