Pourquoi les firewalls échouent face aux attaques DDoS

Le firewall est frappé au mauvais niveau

Un DDoS vise la disponibilité. Un firewall stateful reçoit souvent le flood une fois que la bande passante et le PPS ont déjà atteint le bord client. Il doit alors traiter des paquets que l’amont aurait dû réduire.

Si le firewall maintient sessions, compteurs, logs ou règles applicatives pour chaque paquet, l’attaquant transforme ces fonctions en charge. La profondeur de sécurité devient une surface de performance.

Pourquoi cela coûte cher opérationnellement

Quand le firewall tombe, tous les services derrière lui peuvent tomber ensemble : portails web, API, VPS, serveurs de jeu et outils d’administration. L’incident devient plus large que la cible initiale.

Pour l’hébergement et le gaming, c’est dangereux : un seul client attaqué peut dégrader une infrastructure partagée et créer une pression support sur toute la plateforme.

L’objectif pratique est de protéger le chiffre d’affaires, le support et la confiance client, pas seulement d’obtenir un graphe propre. Un bon article de mitigation doit donc relier les symptômes techniques à la continuité d’activité : ce qui reste en ligne, ce qui se dégrade et la vitesse de retour à la normale.

Ce qui fonctionne mieux

Garder le firewall pour la politique, mais placer la réduction DDoS avant lui. Cela peut être du transit protégé, du scrubbing, de l’aide FlowSpec/ACL, un tunnel ou une couche de filtrage dédiée.

L’objectif est que le firewall voie un trafic proche de conditions normales, pas le volume brut de l’attaque. Il peut alors faire son vrai travail : segmentation et règles d’accès.

Avant de choisir un modèle, il faut définir précisément l’actif protégé : ASN complet, préfixe unique, VPS, serveur dédié ou endpoint de jeu. La bonne solution change selon que le goulot est la bande passante amont, le PPS, l’état firewall ou le comportement protocolaire.

Comment Peeryx utilise les firewalls correctement

Peeryx ne considère pas le firewall client comme le premier absorbeur de l’attaque. Le trafic malveillant doit être réduit en amont, puis le trafic propre relivré vers le réseau, serveur ou proxy.

Le client conserve sa stratégie firewall tout en ajoutant une couche qui comprend pression volumétrique, PPS et relivraison réseau.

C’est aussi pour cela que Peeryx sépare les modèles de livraison au lieu d’imposer le même produit à tous. Un client transit a besoin de liberté de routage ; un client gaming ou serveur cherche souvent un chemin plus simple à exploiter.

Exemple concret

Une entreprise place un firewall 40 Gbps devant ses applications, mais reçoit 12 Mpps de petits paquets TCP. La bande passante n’est pas le seul sujet : les décisions paquet et l’état deviennent instables.

Avec du transit protégé, le motif bruyant est supprimé avant le handoff. Le firewall continue d’appliquer la politique, sans porter tout le poids du DDoS.

Erreurs fréquentes

Dimensionner uniquement en Gbps est une erreur fréquente. Le PPS et l’état sont souvent le vrai point de rupture.

Activer inspection profonde et logs verbeux pendant l’attaque peut aggraver la charge que l’attaquant cherche justement à créer.

Pourquoi choisir Peeryx

Le bon choix n’est pas seulement la capacité annoncée : c’est le point de filtrage, la précision, la relivraison propre et la capacité à garder les clients en ligne pendant l’attaque.

Ressources Peeryx liées

FAQ