Protection DDoS Anycast : quand ça aide, quand ça ne suffit pas

Définition du problème

Anycast consiste à annoncer le même préfixe depuis plusieurs emplacements. BGP sélectionne ensuite un chemin selon la politique des réseaux intermédiaires, pas selon une notion parfaite de distance géographique. Deux utilisateurs proches peuvent donc arriver sur des PoP différents selon leurs opérateurs.

En DDoS, ce modèle aide à répartir une attaque volumétrique sur plusieurs points d’entrée. Le piège est de croire que la répartition suffit. Si chaque PoP n’a pas assez de capacité, si le filtrage est trop générique ou si la relivraison vers l’origine est mal pensée, l’attaque est seulement déplacée.

Pourquoi c’est important

Anycast est important parce qu’il change la surface d’absorption. Au lieu d’un seul port ou d’un seul scrubbing center, plusieurs sites peuvent encaisser une partie du volume. Cela réduit le risque qu’une attaque localisée coupe un service mondial.

Mais pour un hébergeur européen, un serveur de jeu ou une plateforme SaaS, l’expérience finale dépend aussi de la latence, de l’asymétrie et de la stabilité des routes. Un Anycast mal conçu peut créer des changements de PoP pendant une session, des chemins retour trop longs ou une relivraison qui devient le vrai goulot d’étranglement.

Les solutions possibles

La première approche est l’unicast protégé : un préfixe est annoncé depuis un point de mitigation principal, avec livraison propre par tunnel ou cross-connect. C’est simple et souvent suffisant pour des clients régionaux.

La seconde approche est l’Anycast complet : même préfixe annoncé depuis plusieurs PoP, mitigation locale et politiques BGP contrôlées. C’est pertinent pour des services distribués, des APIs mondiales ou des clients ayant une vraie base internationale.

La troisième approche est hybride : Anycast pour l’entrée et architecture de relivraison adaptée au client. Ce modèle évite de forcer tous les services dans le même design, notamment quand le retour vers un serveur unique doit rester prévisible.

L’Anycast n’aide que si la relivraison propre est maîtrisée

Peeryx ne présente pas Anycast comme une formule magique. Nous partons du service à protéger : préfixes, utilisateurs, ports exposés, protocole, tolérance à la latence et contraintes de retour trafic.

Pour du transit IP protégé, le plus important est de choisir un modèle de handoff clair : cross-connect quand le client est proche, GRE/IPIP/VXLAN quand il faut traverser Internet, router VM quand le client veut piloter sa topologie. Anycast peut être utile au-dessus de ce design, mais il ne doit pas le masquer.

Cette approche est particulièrement importante pour le gaming. Répartir l’entrée est intéressant, mais les joueurs ont besoin d’une latence stable. Un design qui absorbe bien l’attaque mais ajoute un chemin retour instable n’est pas un bon produit.

Cas concret ou exemple d’usage

Un client SaaS européen veut protéger une API utilisée en France, Allemagne et Espagne. Anycast peut rapprocher les entrées et absorber une attaque distribuée. Si la plateforme est elle-même distribuée, le modèle est très cohérent.

À l’inverse, un serveur FiveM hébergé dans un seul datacenter peut avoir besoin d’une entrée protégée, mais pas forcément d’un Anycast mondial. Une relivraison propre depuis Marseille avec faible latence peut être plus pertinente qu’une annonce globale qui rend le chemin moins prévisible.

Erreurs fréquentes

La plupart des erreurs viennent d’une vision trop marketing de l’Anycast. Une carte avec plusieurs points lumineux ne prouve pas que le service sera mieux protégé.

• Croire qu’Anycast filtre automatiquement le trafic mauvais.
• Négliger la capacité et les règles de chaque PoP.
• Oublier la relivraison du trafic propre vers l’origine.
• Forcer du temps réel ou du gaming dans un modèle global instable.
• Ne pas tester les chemins depuis les principaux FAI clients.

FAQ