Lecture: 15 min.
Bienvenue dans la 22e édition du rapport Cloudflare sur les menaces DDoS. Publié chaque trimestre, ce rapport vous propose une analyse complète du panorama évolutif des menaces liées aux attaques par déni de service distribué (Distributed Denial of Service, DDoS), sur la base des données issues du réseau Cloudflare. Cette édition se concentrera sur le deuxième trimestre 2025. Pour consulter les rapports précédents, rendez-vous sur www.ddosreport.com.
Le mois de juin s'est révélé le plus chargé en matière d'attaques DDoS du deuxième trimestre 2025, en totalisant près de 38 % de l'ensemble de l'activité observée. L'une des cibles notables était un média indépendant d'Europe de l'Est protégé par Cloudflare, qui a signalé s'être retrouvé sous le feu d'attaques sous après avoir couvert une parade locale du Mois des fiertés LGBTQ.
Les attaques DDoS continuent de battre des records. Au cours du deuxième trimestre 2025, Cloudflare a automatiquement bloqué la plus volumineuse attaque DDoS jamais signalée, avec un pic à 7,3 térabits par seconde (Tb/s) et 4,8 milliards de paquets par seconde (Bp/s).
De manière générale, les attaques DDoS hyper-volumétriques ont atteint des sommets au deuxième trimestre 2025. Cloudflare a ainsi bloqué plus de 6 500 attaques DDoS de ce type, avec une moyenne de 71 par jour.
Si le nombre total d'attaques DDoS a effectivement baissé par rapport au trimestre précédent (qui avait connu une hausse sans précédent résultant d'une campagne d'attaques à grande échelle contre le réseau Cloudflare et l'infrastructure Internet critique protégée par notre entreprise), le nombre d'attaques au deuxième trimestre 2025 s'est avéré supérieur de 44 % par rapport à celui du deuxième trimestre 2024. Les infrastructures essentielles continuent de faire face à une pression soutenue, tandis que le secteur des télécommunications, des fournisseurs de services et des opérateurs s'est à nouveau hissé en tête des secteurs les plus visés.
Toutes les attaques présentées dans ce rapport ont été automatiquement détectées et bloquées par nos défenses autonomes.
N'hésitez pas à vous rendre dans notre centre d'apprentissage si vous souhaitez en savoir plus sur les attaques DDoS et les autres types de cybermenaces. Rendez-vous sur Cloudflare Radar pour consulter une version interactive de ce rapport qui vous permettra d'approfondir l'exploration de ces données. Radar propose également une API gratuite pour tous ceux qui s'intéressent aux dynamiques à l'œuvre derrière les tendances Internet. Enfin, la page vous permettra également d'en apprendre davantage sur les méthodologies employées pour préparer ces rapports.
Les attaques DDoS en chiffres
Cloudflare a atténué 7,3 millions d'attaques DDoS au deuxième trimestre 2025, soit une chute nette par rapport aux 20,5 millions du premier trimestre, dont 13,5 millions résultaient d'une campagne d'une durée de 18 jours contre l'infrastructure critique de Cloudflare et d'autres infrastructures protégées par Cloudflare.
Attaques DDoS, répartition trimestrielle
Nous venons de passer le cap de la moitié de l'année 2025 et, jusqu'à présent, Cloudflare a déjà bloqué 27,8 millions d'attaques DDoS, soit 130 % de l'ensemble des attaques DDoS que nous avions bloquées sur l'année complète 2024.
Attaques DDoS, répartition annuelle
En disséquant plus avant les données, on remarque que les attaques DDoS sur les couches 3/4 (L 3/4) ont chuté de 81 % par rapport au trimestre précédent pour atteindre les 3,2 millions, tandis que les attaques DDoS HTTP ont augmenté de 9 % pour atteindre les 4,1 millions. Les variations d'une année sur l'autre demeurent élevées. Si le nombre global d'attaques s'est montré 44 % plus élevé par rapport au deuxième trimestre 2024, ce sont les attaques DDoS HTTP qui ont enregistré la plus forte progression avec une augmentation de 129 % par rapport à l'année précédente.
Attaques DDoS, répartition mensuelle
Attaques DDoS hyper-volumétriques
Cloudflare a bloqué plus de 6 500 attaques DDoS hyper-volumétriques au deuxième trimestre 2025, avec une moyenne de 71 attaques de ce type par jour. Les attaques hyper-volumétriques incluent les attaques DDoS sur les couches 3/4 dépassant les 1 milliard de paquets par seconde (Bp/s) ou les 1 térabit par seconde (Tb/s), ainsi que les attaques DDoS HTTP dépassant les 1 million de requêtes par seconde (Mr/s).
Le nombre d'attaques DDoS hyper-volumétriques dépassant les 100 millions de paquets par seconde (p/s) a augmenté de 592 % par rapport au trimestre précédent, tandis que le nombre d'attaques dépassant les 1 milliard de p/s et les 1 térabit par seconde (Tb/s) a doublé sur la même période. Le nombre d'attaques DDoS HTTP dépassant le 1 million de requêtes par seconde (r/s) est resté stable à environ 20 millions d'événements au total, soit une moyenne de près de 220 000 attaques par jour.
Attaques DDoS hyper-volumétriques au deuxième trimestre 2025
À la question visant à savoir qui était à l'origine des attaques DDoS qu'ils ont subies au cours du deuxième trimestre 2025, la majorité (71 %) des personnes interrogées ont déclaré n'en avoir aucune idée. Parmi les 29 % restants de personnes interrogées qui ont affirmé avoir identifié les acteurs malveillants responsables, 63 % ont désigné des concurrents, une tendance particulièrement courante dans le secteur des jeux vidéo, des jeux de hasard et des cryptomonnaies. 21 % des personnes interrogées ont par ailleurs attribué les attaques à des acteurs mandatés ou soutenus financièrement par un État, tandis que 5 % ont déclaré s'être attaqués eux-mêmes (auto-DDoS) par inadvertance, avoir été pris pour cible par des extorqueurs ou avoir subi une attaque de la part de clients/utilisateurs mécontents.
Principaux acteurs malveillants signalés au deuxième trimestre 2025
Attaques DDoS avec demande de rançon
Le pourcentage de clients Cloudflare qui ont signalé avoir fait l'objet d'une attaque DDoS avec demande de rançon ou avoir été menacés d'une telle attaque a augmenté de 68 % par rapport au trimestre précédent et de 6 % sur la même période en 2024.
Attaques DDoS avec demande de rançon, répartition trimestrielle, deuxième trimestre 2025
En approfondissant l'exploration des données, on constate que les attaques DDoS avec demande de rançon ont explosé au mois de juin 2025. Près d'un tiers des personnes interrogées ont déclaré avoir été menacées d'attaques DDoS avec demande de rançon ou en avoir été la cible.
Attaques DDoS avec demande de rançon, répartition mensuelle, deuxième trimestre 2025
Principaux emplacements ciblés
Le classement des 10 pays les plus attaqués a considérablement évolué au deuxième trimestre 2025. La Chine a progressé de deux places pour reprendre la première place, le Brésil a bondi de quatre places pour se placer en deuxième position, l'Allemagne a reculé de deux places pour s'établir à la troisième place, l'Inde a progressé d'une place pour se hisser au quatrième rang et la Corée du Sud a progressé de quatre places pour se placer en cinquième position. La Turquie a reculé de quatre places pour se placer à la sixième position, Hong Kong a chuté de trois places pour atteindre la septième et le Vietnam a fait un bond impressionnant de quinze places pour se hisser à la huitième. En parallèle, la Russie a bondi de 40 places pour s'établir en neuvième position, tandis que l'Azerbaïdjan a grimpé de 31 places pour compléter le Top 10.
Les pays les plus ciblés par des attaques DDoS au deuxième trimestre 2025
Il est important de noter que la nature des pays attaqués est déterminée par le pays de facturation du client Cloudflare dont les services ont été ciblés et non par le fait que ces nations elles-mêmes aient été attaquées. En d'autres termes, un classement élevé signifie simplement qu'un plus grand nombre de nos clients enregistrés au sein de cette juridiction de facturation ont été pris pour cible par du trafic DDoS, plutôt que d'impliquer une volonté d'attaque directe soutenue par la géopolitique.
Principaux secteurs ciblés
Le classement des 10 secteurs les plus fréquemment attaqués au deuxième trimestre 2025 a également connu des changements notables. Le secteur des télécommunications, des fournisseurs de services et des opérateurs a grimpé d'une place pour prendre la tête du classement, tandis que le secteur de l'Internet a bondi de deux places pour se hisser en deuxième position. Le secteur des technologies et services de l'information a conservé sa troisième place des secteurs les plus visés, tandis que le secteur des jeux vidéo a progressé d'une place pour atteindre la quatrième position. Le secteur des jeux de hasard et des casinos a reculé de quatre rangs pour se positionner à la cinquième place, tandis que le secteur des services bancaires et financiers est resté à la sixième place. Le secteur du commerce a progressé d'une place pour s'établir à la septième position, tandis que le secteur de l'agriculture a fait un bond spectaculaire de 38 places pour se hisser à la huitième. Le secteur des logiciels a grimpé de deux places pour atteindre la neuvième position, tandis que le secteur administratif a bondi de deux places pour compléter le Top 10 des secteurs les plus touchés.
Les principaux secteurs visés par des attaques DDoS au deuxième trimestre 2025
Principales sources d'attaques DDoS
Le classement des 10 principales sources d'attaques DDoS au deuxième trimestre 2025 a également fait l'objet de plusieurs évolutions par rapport au trimestre précédent. L'Indonésie a progressé d'une place pour atteindre la première position, Singapour a bondi de deux places pour se hisser à la deuxième, Hong Kong a chuté de deux crans jusqu'à la troisième place, l'Argentine a reculé d'un rang pour se placer en quatrième position et l'Ukraine a conservé sa position en tant que cinquième plus grande source d'attaques DDoS. La Russie a progressé de six places pour devenir la sixième plus grande source d'attaques, suivie par l'Équateur, qui a progressé de sept places. Le Vietnam a progressé d'une place pour s'établir ainsi en huitième position. Les Pays-Bas ont progressé de quatre places pour devenir la neuvième plus grande source d'attaques DDoS, tandis que la Thaïlande a reculé de trois places pour fermer le classement.
Les principales sources d'attaques DDoS au deuxième trimestre 2025
Il est important de noter que ces classements « source » reflètent le pays de résidence des nœuds de botnets ou des points de terminaison de proxy/VPN, et non la position géographique réelle des acteurs malveillants. Pour les attaques DDoS sur les couches 3/4, dans lesquelles l'usurpation d'adresse IP pullule, nous géolocalisons chaque paquet vers le datacenter Cloudflare qui l'a ingéré et bloqué le premier, en tirant parti de notre présence dans plus de 330 villes pour bénéficier d'une précision véritablement granulaire.
Principaux réseaux sources d'attaques DDoS
Un ASN (Autonomous System Number, numéro de système autonome) est un identifiant unique attribué à un réseau ou à un groupe de réseaux IP opérant conformément à une politique de routage unique sur Internet. Un ASN permet d'échanger des informations de routage entre systèmes à l'aide de protocoles tels que BGP (Border Gateway Protocol).
Pour la première fois en près d'un an, le réseau allemand Hetzner (AS24940) a chuté de la première place de plus grande source d'attaques DDoS HTTP pour s'établir en troisième position. L'opérateur autrichien Drei (AS200373) lui a ainsi ravi la place après un bond de six rangs dans le classement. Enfin, l'opérateur DigitalOcean (AS14061) a gagné une place et occupe aujourd'hui la deuxième.
Les 10 principaux ASN sources d'attaques DDoS HTTP
Comme le montre le graphique ci-dessus, 8 ASN sur les 10 figurant dans la liste proposent des machines virtuelles (VM, Virtual Machines), des services d'hébergement ou des services cloud, qui indiquent un usage répandu des botnets basés sur VM. Ces botnets sont estimés à une puissance 5 000 fois supérieure à celle des botnets basés sur l'IdO. Seuls Drei (AS200373) et ChinaNet Backbone (AS4134) se présentent principalement comme des FAI ou des opérateurs de télécommunications sans offre publique significative en matière de VM/cloud.
Botnets basés sur l'IdO et botnets basés sur VM
Nous tirons parti de la position avantageuse de Cloudflare pour aider les fournisseurs d'hébergement, les fournisseurs d'informatique cloud et les fournisseurs d'accès Internet à identifier et à éliminer les comptes malveillants à l'origine de ces attaques en leur proposant notre flux d'informations gratuit sur les menaces liées aux botnets (DDoS Botnet Threat Feed for Service Providers). Plus de 600 entreprises à travers le monde entier se sont déjà inscrites à ce flux et nous avons déjà constaté une excellente collaboration s'établir au sein de la communauté pour éliminer les nœuds de botnets. Cette dernière est rendue possible grâce au flux d'informations sur les menaces qui met à disposition des fournisseurs de services une liste des adresses IP incriminées au sein de leur ASN que nous voyons lancer des attaques DDoS HTTP. Le flux d'informations est totalement gratuit. Il vous suffit de créer un compte Cloudflare gratuit, d'authentifier votre ASN via PeeringDB, puis de récupérer les informations sur les menaces à l'aide d'une API.
Grâce à un simple appel d'API, les fournisseurs de services peuvent ainsi obtenir une liste des adresses IP incriminées au sein de leur réseau. Vous trouverez un exemple de réponse ci-dessous.
{
"result": [
{
"cidr": "127.0.0.1/32",
"date": "2024-05-05T00:00:00Z",
"offense_count": 10000
},
// ... other entries ...
],
"success": true,
"errors": [],
"messages": []
}
Exemple de réponse de l'API du flux d'informations gratuit sur les menaces liées aux botnets DDoS destiné aux FAI
Se protéger contre les botnets DDoS
Au deuxième trimestre 2025, la majeure partie des attaques DDoS HTTP (71 %) ont été lancées par des botnets connus. Nous pouvons détecter et bloquer rapidement ces attaques grâce à l'étendue du réseau que nous exploitons, ainsi qu'à l'observation de nombreux types d'attaques et de botnets. Grâce à ce corpus d'informations sur les menaces en temps réel, nos systèmes peuvent identifier rapidement les botnets DDoS et ainsi contribuer à une atténuation plus efficace. Notre réseau et nos clients sont immédiatement protégés contre un botnet DDoS donné, même si ce dernier a été incriminé alors qu'il ne visait qu'un seul site web ou une seule adresse IP. Ce système d'informations sur les menaces en temps réel s'adapte à l'évolution des botnets au fur et à mesure qu'ils se transforment et changent de nœuds.
Les principaux vecteurs d'attaque DDoS HTTP au deuxième trimestre 2025
Vecteurs d'attaques sur les couches 3/4
Au deuxième trimestre 2025, les attaques de type flood DNS (saturation de DNS) se sont imposées comme le principal vecteur d'attaques visant les couches 3/4, avec près d'un tiers de l'ensemble des attaques DDoS lancées sur ces couches. Les attaques de type SYN flood (saturation SYN) ont été le deuxième vecteur d'attaque le plus fréquent sur la même période, en passant de 31 % au premier trimestre pour atteindre 27 % au deuxième trimestre.
En troisième position, les attaques de type UDP flood (saturation UDP) ont également connu une croissance significative, en passant de 9 % au premier trimestre à 13 % au deuxième trimestre. Le RST flood (saturation RST), une autre forme d'attaque DDoS basée sur TCP, totalisait 5 % de toutes les attaques lancées contre les couches 3/4 et constituait le quatrième vecteur le plus fréquent. Enfin, pour clôturer le Top 5, le SSDP flood (saturation SSDP) a atteint la cinquième place avec 3 % de l'ensemble des attaques, malgré une baisse par rapport aux 4,3 % du trimestre précédent. Le nombre d'attaques de ce type s'est néanmoins révélé suffisant pour écarter les attaques Mirai (passées de 18 % au premier trimestre à seulement 2 % au deuxième trimestre) du classement.
Les principaux vecteurs d'attaques DDoS sur les couches 3/4 au deuxième trimestre 2025
Répartition des trois principaux vecteurs d'attaque DDoS sur les couches 3/4
Vous trouverez ci-dessous davantage de détails concernant les trois types d'attaques DDoS les plus courants à l'encontre des couches 3/4. Nous formulons également des recommandations sur la manière dont les entreprises peuvent éviter de devenir un élément de réflexion et d'amplification, ainsi que sur les moyens grâce auxquels ces dernières peuvent se protéger contre ces attaques tout en évitant d'affecter le trafic légitime. Les clients Cloudflare sont protégés contre ces attaques.
Attaques par flood DNS
Type : flood (saturation)
Fonctionnement : une attaque par flood DNS vise à submerger un serveur DNS sous un volume élevé de requêtes DNS (qu'elles soient valides, aléatoires ou malformées) afin d'épuiser les ressources processeur, la mémoire ou la bande passante. Contrairement aux attaques par amplification, ce flood direct cherche à dégrader les performances ou à provoquer des pannes, le plus souvent sur le port UDP 53, mais parfois également sur TCP (notamment pour les zones activées par DNS-over-TCP ou DNSSEC).
Comment se protéger contre ces attaques : utilisez le DNS Cloudflare comme serveur principal ou secondaire, ainsi que le pare-feu DNS Cloudflare et/ou le service Cloudflare Magic Transit pour absorber et atténuer les flots de requêtes avant qu'ils n'atteignent votre serveur d'origine. Le réseau mondial Cloudflare traite des dizaines de millions de requêtes DNS par seconde grâce à des fonctionnalités intégrées de filtrage DDoS et de mise en cache des requêtes afin de bloquer le trafic malformé ou excessif, tout en restant disponible pour répondre aux requêtes légitimes.
Comment éviter les conséquences imprévues : évitez de bloquer l'ensemble du trafic DNS ou de désactiver le port UDP 53, car l'opération pourrait perturber le processus normal de résolution. Fiez-vous aux services spécifiques de protection du DNS proposés par Cloudflare, comme le système Advanced DNS Protection, et déployez une protection compatible DNSSEC pour gérer en toute sécurité les flots de requêtes basées sur TCP.
Attaques par flood SYN
Type : flood (saturation)
Fonctionnement : lors d'une attaque par flood SYN, les acteurs malveillants envoient un grand volume de paquets SYN TCP (souvent à l'aide d'adresses IP usurpées) afin d'initier des connexions qui n'arrivent jamais à leur conclusion. Cette opération laisse le système cible aux prises avec des liaisons à moitié ouvertes qui consomment de la mémoire et des ressources de suivi des connexions. Or, à terme, ce comportement peut épuiser les limites du serveur et empêcher les vrais clients de se connecter.
Comment se protéger contre ces attaques : utilisez le service Cloudflare Magic Transit pour intercepter et atténuer les attaques par flood SYN TCP à la périphérie du réseau. Cloudflare s'appuie sur les cookies SYN, les fonctions de suivi des connexions et l'analyse comportementale pour distinguer les clients réels des sources usurpées ou malveillantes afin de s'assurer que les connexions TCP légitimes ont bien été établies avec succès. Mettez en œuvre les services CDN/WAF de Cloudflare ou Cloudflare Spectrum, qui sont tous deux des services de proxy inverse pour HTTP ou TCP (respectivement). À un niveau fondamental, l'utilisation d'un proxy inverse élimine les effets potentiels des attaques DDoS basées sur TCP.
Comment éviter les conséquences imprévues : le blocage de l'ensemble du trafic SYN ou l'application de délais d'expiration agressifs peuvent gêner les véritables utilisateurs. À la place, faites appel au système avancé de protection du TCP proposé par Cloudflare, qui met en œuvre des fonctions de régulation du débit SYN, de détection des anomalies et de filtrage des paquets usurpés afin d'atténuer les attaques sans affecter la connexion des clients légitimes.
Attaques DDoS UDP
Type : flood (inondation)
Fonctionnement : un volume élevé de paquets UDP est envoyé vers des ports aléatoires ou spécifiques de la ou des adresses IP cibles. Ces attaques peuvent tenter de saturer la liaison Internet ou de surcharger les appareils internes (in-line) sous un flot de paquets plus volumineux que ces éléments ne peuvent en gérer afin de donner naissance à une perturbation ou à une panne.
Comment se protéger contre ces attaques : déployez une protection anti-DDoS volumétrique basée sur le cloud et capable de détecter les empreintes numériques du trafic hostile en temps réel, comme Cloudflare Magic Transit ou Cloudflare Spectrum. Mettez en place des mesures intelligentes de contrôle du volume des requêtes sur le trafic UDP et éliminez complètement le trafic UDP indésirable grâce au service Magic Firewall.
Comment éviter les conséquences imprévues : un filtrage agressif peut venir perturber les services UDP légitimes, comme la VoIP, la vidéoconférence ou les jeux en ligne. Appliquez les seuils avec la plus grande prudence.
Parmi les menaces DDoS émergentes sur les couches 3 et 4 au deuxième trimestre 2025, c'est dans la catégorie du flood Teeworlds que nous avons relevé le pic le plus volumineux. Ces attaques ont bondi de 385 % par rapport au trimestre précédent, suivies des attaques par flood RIPv1 qui ont augmenté de 296 %. Le nombre d'attaques par flood RDP s'est élevé de 173 %, tandis que le nombre d'attaques par flood DemonBot a augmenté de 149 %. Même le vénérable flood VxWorks a fait son retour, avec une hausse de 71 % par rapport au trimestre précédent. Ces augmentations spectaculaires soulignent les efforts d'expérimentation permanents dans lesquels les acteurs malveillants se lancent autour de protocoles moins connus et d'ancienne génération afin d'échapper aux moyens de défense habituels.
Les principales menaces émergentes au deuxième trimestre 2025
Analyse des principales menaces émergentes
Vous trouverez ci-dessous davantage de détails sur les menaces émergentes au deuxième trimestre 2025, principalement axées autour du recyclage de vecteurs d'attaque très anciens. Nous formulons également des recommandations sur la manière dont les entreprises peuvent éviter de devenir un élément de réflexion et d'amplification, ainsi que sur les moyens grâce auxquels ces dernières peuvent se protéger contre ces attaques tout en évitant d'affecter le trafic légitime. Les clients Cloudflare sont protégés contre ces attaques.
Type : flood (saturation)
Fonctionnement : Teeworlds est un jeu de tir multijoueur 2D open source et au rythme rapide qui fait appel à un protocole basé sur UDP personnalisé pour proposer des parties en temps réel. Les acteurs malveillants inondent le serveur de jeu de la cible sous un volume excessif ou un flot de paquets UDP usurpés qui imitent des actions en jeu ou des tentatives de connexion. Cette opération peut submerger les ressources du serveur et entraîner des ralentissements ou des pannes.
Comment se protéger contre ces attaques : mettez en œuvre les solutions Cloudflare Spectrum ou Cloudflare Magic Transit pour protéger les serveurs. La plateforme Cloudflare détecte et atténue automatiquement ces types d'attaques grâce à l'analyse des empreintes numériques en temps réel afin de bloquer le trafic hostile, tout en laissant le chemin libre aux véritables utilisateurs. Le service Magic Transit propose également une fonctionnalité de pare-feu au niveau des paquets, le Magic Firewall, qui peut être utilisée pour mettre en place une protection sur mesure.
Comment éviter les conséquences imprévues : évitez de bloquer directement ou de limiter de manière agressive le trafic du port UDP 8303 lorsque vous rédigez des règles personnalisées, car l'opération pourrait nuire à l'expérience de jeu générale. À la place, faites appel à des services de détection et d'atténuation intelligents afin d'éviter de perturber l'expérience des utilisateurs légitimes.
Capture d'écran Teeworlds : jungle. Source : Wikipédia
Attaques DDoS RIPv1
Type : réflexion + (faible) amplification
Fonctionnement : ces attaques exploitent la version 1 du protocole RIP (Routing Information Protocol, protocole d'information de routage), un ancien protocole de routage à vecteur de distances non authentifié qui fait appel au port UDP/520. Les acteurs malveillants envoient des mises à jour de routage usurpées afin de submerger ou de perturber les réseaux.
Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le protocole RIPv1 sur les routeurs. Utilisez le RIPv2 avec authentification là où le routage est nécessaire.
Comment se protéger contre ces attaques : bloquez le trafic UDP/520 entrant en provenance de réseaux non fiables. Surveillez les mises à jour de routage inattendues.
Comment éviter les conséquences imprévues : le protocole RIPv1 est quasiment obsolète. Sa désactivation s'avère généralement sûre. Si d'anciens systèmes y font néanmoins appel, validez le comportement de routage avant d'effectuer des modifications.
Attaques DDoS RDP
Type : réflexion + amplification
Fonctionnement : le protocole RDP (Remote Desktop Protocol) est utilisé pour gérer l'accès à distance aux systèmes Windows et s'exécute généralement sur le port TCP 3389. Dans certaines configurations mal configurées ou d'ancienne génération, le RDP peut répondre à des tentatives de connexion non authentifiées. Or, des acteurs malveillants peuvent abuser de cette particularité pour lancer des attaques par réflexion ou amplification. Ils envoient alors des paquets d'initialisation RDP usurpés aux serveurs exposés afin de les forcer à répondre à une victime, en générant ainsi des volumes élevés de trafic indésirable.
Comment se protéger contre ces attaques : déployez la solution Cloudflare Magic Transit pour protéger votre infrastructure réseau. Le service Magic Transit assure une protection contre les attaques DDoS visant les couches 3 et 4, en filtrant le trafic RDP usurpé ou malformé avant qu'il n'atteigne votre serveur d'origine. En cas d'abus ciblés sur la couche applicative, les solutions Cloudflare Gateway ou Zero Trust Network Access (ZTNA, accès réseau Zero Trust) peuvent contribuer à sécuriser l'accès aux bureaux à distance derrière des tunnels authentifiés.
Comment éviter les conséquences imprévues : ne bloquez pas le protocole TCP/3389 à l'échelle mondiale si le protocole RDP est utilisé de manière active. À la place, contrôlez l'accès RDP aux adresses IP ou aux réseaux internes connus. Vous pouvez également utiliser le service Cloudflare Tunnel avec l'accès réseau Zero Trust (ZTNA) pour supprimer complètement l'exposition publique, tout en assurant un accès sécurisé pour les utilisateurs légitimes.
Attaques DDoS DemonBot
Type : flood basé sur botnet
Fonctionnement : DemonBot est une souche de logiciel malveillant qui infecte les systèmes basés sur Linux (notamment les appareils IdO non sécurisés) par l'intermédiaire de ports ouverts ou d'identifiants faibles. Une fois infectés, les appareils deviennent partie d'un botnet capable de lancer des floods de fort volume par UDP et TCP, ainsi que via la couche applicative. Généralement basées sur le modèle Command-and-Control (C2, prise de contrôle directe), ces attaques peuvent générer un trafic volumétrique important. Elles s'en prennent également souvent aux services de jeux vidéo, d'hébergement ou pour entreprises. Déployez des logiciels antivirus et activez le filtrage de domaine pour éviter les infections.
Comment se protéger contre ces attaques : utilisez la solution Cloudflare Magic Transit pour absorber et filtrer les floods de grande ampleur sur la couche réseau avant que ces menaces n'atteignent votre infrastructure. Les fonctions d'analyse du trafic en temps réel et de détection basée sur les signatures proposées par Cloudflare neutralisent le trafic provenant des appareils infectés par DemonBot. La protection contre les attaques DDoS et le pare-feu WAF de Cloudflare peuvent atténuer les floods HTTP ciblés et les abus de connexion afin de protéger les services de la couche applicative.
Comment éviter les conséquences imprévues : plutôt que de bloquer l'ensemble des types de trafic ou les ports de manière globale, déployez la fonctionnalité d'atténuation adaptative de Cloudflare afin de distinguer le trafic des utilisateurs légitimes de celui des botnets. Combinez-la avec le filtrage de réputation d'adresse IP, le géoblocage et le contrôle du volume des requêtes pour réduire les faux positifs et assurer la disponibilité de vos services.
Attaques DDoS par flood VxWorks
Type : flood (basé sur IdO)
Fonctionnement : VxWorks est un système d'exploitation en temps réel (RTOS, Real-Time Operating System) utilisé dans des millions d'appareils embarqués et liés à l'IdO (p. ex. routeurs, contrôleurs industriels, etc.). Les appareils qui exécutent des versions obsolètes ou mal configurées de VxWorks peuvent être compromis et utilisés pour lancer des attaques DDoS. Une fois infectés (souvent du fait d'exploits publics ou d'identifiants faibles), ces appareils envoient de grands volumes de trafic UDP, TCP ou ICMP afin de submerger les cibles, sur le même principe que les botnets IdO traditionnels.
Comment se protéger contre ces attaques : déployez le service Cloudflare Magic Transit pour bloquer le trafic volumétrique à la périphérie du réseau. Cloudflare utilise une fonctionnalité de détection des empreintes numériques en temps réel et des outils heuristiques propriétaires afin d'identifier le trafic des appareils VxWorks compromis et de l'atténuer en temps réel. La fonctionnalité d'atténuation des attaques DDoS et les services Gateway proposés par Cloudflare assurent une protection supplémentaire aux services pour applications contre les abus au niveau du protocole.
Comment éviter les conséquences imprévues : évitez de trop bloquer le trafic UDP ou ICMP, car ce blocage pourrait perturber les diagnostics légitimes ou les services en temps réel. À la place, utilisez les outils de filtrage intelligent, de contrôle du volume des requêtes et de réputation de la position géographique/l'adresse IP proposés par Cloudflare pour atténuer les attaques en toute sécurité, tout en évitant les effets indésirables sur le trafic légitime.
Organigramme de la génération d'empreintes numériques en temps réel de Cloudflare
Taille et durée des attaques
La plupart des attaques DDoS sont de faible ampleur et de courte durée. 94 % des attaques DDoS lancées contre les couches 3/4 au deuxième trimestre 2025 n'ont pas dépassé les 500 Mb/s. De la même manière, près de 85 % des attaques DDoS visant ces mêmes couches ne dépassaient pas les 50 000 paquets par seconde. La majeure partie des attaques DDoS HTTP se révèlent également de faible ampleur. 65 % d'entre elles ne dépassent pas les 50 000 requêtes par seconde. L'adjectif « petit » demeure toutefois un terme relatif.
Un serveur moderne moyen désigne généralement une machine physique ou virtuelle à usage général comprenant un processeur d'environ 4 à 8 cœurs (p. ex. Intel Xeon Silver), 16 à 64 Go de RAM et une carte réseau 1 Gb/s. Il exécute un système d'exploitation Linux, comme Ubuntu ou CentOS, à l'aide de NGINX ou d'un logiciel similaire. Selon le réglage et la charge de travail, cette configuration peut traiter un débit compris entre 100 000 – 500 000 p/s et près de 940 Mb/s, ainsi qu'environ 10 000 – 100 000 r/s pour le contenu statique ou 500 à 1 000 r/s pour les applications dynamiques soutenues par une base de données.
Ill est très probable qu'un serveur non protégé par un service anti-DDoS dans le cloud ne puisse pas gérer de « petites » attaques DDoS pendant les périodes de pic de trafic. Toutes les attaques DDoS, même les « petites », peuvent avoir des effets considérables sur les serveurs laissés sans protection.
Taille et durée des attaques DDoS au cours du deuxième 2025
Si la majeure partie des attaques DDoS sont de faible ampleur, les attaques DDoS hyper-volumétriques augmentent néanmoins en taille et en fréquence. 6 attaques DDoS HTTP sur 100 dépassent désormais les 1 million de r/s, et 5 attaques DDoS sur 10 000 visant les couches 3/4 dépassent les 1 Tb/s, soit une augmentation de 1 150 % par rapport au trimestre précédent.
L'attaque la plus volumineuse du monde : 7,3 Tb/s
La plupart des attaques DDoS sont de courte durée, même les plus volumineuses et les plus intenses. Les acteurs malveillants s'appuient souvent sur de brefs pics de trafic concentré (de parfois tout juste 45 secondes, comme nous avons pu l'observer lors de l'attaque DDoS monumentale de 7,3 Tb/s) afin d'essayer d'éviter la détection, de submerger les cibles et de provoquer un maximum de perturbations avant que les défenses ne puissent totalement s'activer. Cette tactique reposant sur des salves courtes et intenses complique la détection et l'atténuation, tout en mettant en valeur la nécessité de déploiement d'une protection active en permanence et en temps réel. Fort heureusement, les systèmes autonomes de protection contre les attaques DDoS proposés par Cloudflare se déclenchent immédiatement.
Contribuer à bâtir un Internet meilleur
Cloudflare s'est engagée à contribuer à bâtir un Internet meilleur. Une partie de cette mission consiste à proposer une protection anti-DDoS gratuite et illimitée, quelle que soit l'ampleur, la durée ou la quantité des attaques. Or, notre activité ne s'arrête pas à la protection contre les attaques DDoS. La meilleure défense restera toujours l'attaque. De ce fait, nous contribuons à la neutralisation des botnets grâce à notre flux gratuit d'informations sur les menaces liées aux botnets et destiné aux FAI.
Si bon nombre d'entreprises adoptent toujours leurs protections en réaction à un événement ou s'appuient sur des solutions obsolètes, nos données montrent toutefois qu'une sécurité proactive et active en permanence se révèle bien plus efficace. Soutenus dans nos efforts par un réseau mondial d'une capacité de 388 Tb/s et couvrant plus de 330 villes, nous vous proposons des moyens de défense automatisés, en ligne et éprouvés au combat contre tous les types d'attaques DDoS.