Pourquoi les firewalls échouent face aux attaques DDoS

Le firewall est frappé au mauvais niveau

Un DDoS vise la disponibilité. Un firewall stateful reçoit souvent le flood une fois que la bande passante et le PPS ont déjà atteint le bord client. Il doit alors traiter des paquets que l’amont aurait dû réduire.

Si le firewall maintient sessions, compteurs, logs ou règles applicatives pour chaque paquet, l’attaquant transforme ces fonctions en charge. La profondeur de sécurité devient une surface de performance.

Pourquoi cela coûte cher opérationnellement

Quand le firewall tombe, tous les services derrière lui peuvent tomber ensemble : portails web, API, VPS, serveurs de jeu et outils d’administration. L’incident devient plus large que la cible initiale.

Pour l’hébergement et le gaming, c’est dangereux : un seul client attaqué peut dégrader une infrastructure partagée et créer une pression support sur toute la plateforme.

un firewall classique échoue souvent parce qu’il voit l’attaque trop tard, après la saturation du lien ou des états. Sans ce diagnostic, une protection peut afficher une forte capacité tout en laissant le vrai goulot casser l’expérience client.

Ce qui fonctionne mieux

Garder le firewall pour la politique, mais placer la réduction DDoS avant lui. Cela peut être du transit protégé, du scrubbing, de l’aide FlowSpec/ACL, un tunnel ou une couche de filtrage dédiée.

L’objectif est que le firewall voie un trafic proche de conditions normales, pas le volume brut de l’attaque. Il peut alors faire son vrai travail : segmentation et règles d’accès.

un firewall classique échoue souvent parce qu’il voit l’attaque trop tard, après la saturation du lien ou des états. Le bon modèle dépend du mode d’entrée du trafic, de la précision des filtres et de la relivraison propre vers la production.

Contrôles de routage pour Pourquoi les firewalls échouent face aux attaques DDoS

Peeryx ne considère pas le firewall client comme le premier absorbeur de l’attaque. Le trafic malveillant doit être réduit en amont, puis le trafic propre relivré vers le réseau, serveur ou proxy.

Le client conserve sa stratégie firewall tout en ajoutant une couche qui comprend pression volumétrique, PPS et relivraison réseau.

Un firewall classique échoue souvent parce qu’il voit l’attaque trop tard, après la saturation du lien ou des états.

Exemple concret

Une entreprise place un firewall 40 Gbps devant ses applications, mais reçoit 12 Mpps de petits paquets TCP. La bande passante n’est pas le seul sujet : les décisions paquet et l’état deviennent instables.

Avec du transit protégé, le motif bruyant est supprimé avant le handoff. Le firewall continue d’appliquer la politique, sans porter tout le poids du DDoS.

Erreurs fréquentes

Dimensionner uniquement en Gbps est une erreur fréquente. Le PPS et l’état sont souvent le vrai point de rupture.

Activer inspection profonde et logs verbeux pendant l’attaque peut aggraver la charge que l’attaquant cherche justement à créer.

Pourquoi choisir Peeryx

Ressources Peeryx liées

FAQ