Premiers pas avec l'offre gratuite|Contacter le service commercial|

Le blog Cloudflare

Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Défendre Internet : comment Cloudflare a bloqué une gigantesque attaque DDoS de 7,3 Tb/s

2025-06-19

Lecture: 9 min.
Cet article est également disponible en English, en Nederlands et en Español.

À la mi-mai 2025, Cloudflare a bloqué l'attaque DDoS la plus volumineuse jamais enregistrée, avec un débit stupéfiant de 7,3 térabits par seconde (Tb/s)./ L'événement survient peu après le 27 avril 2025, soit la date de publication de notre rapport sur les menaces DDoS au premier trimestre 2025, dans lequel nous attirons l'attention sur des attaques culminant à 6,5 Tb/s et 4,8 milliards de paquets par seconde (p/s). Cette attaque de 7,3 Tb/s se révèle 12 % plus massive que notre précédent record et 1 Tb/s plus volumineuse qu'une récente attaque signalée par le journaliste en cybersécurité Brian Krebs sur sa page KrebsOnSecurity.

Nouveau record mondial : une attaque DDoS culminant à 7,3 Tb/s bloquée de manière autonome par Cloudflare

L'attaque visait un client Cloudflare, sous la forme d'un fournisseur d'hébergement qui s'appuie sur Magic Transit pour protéger son réseau IP. Comme nous l'avons signalé dans notre dernier rapport sur les menaces DDoS, les fournisseurs d'hébergement sont de plus en plus souvent la cible d'attaques DDoS, de même que les infrastructures Internet essentielles. L'image ci-dessous illustre une campagne d'attaques menées de janvier à février 2025 avec plus de 13,5 millions d'attaques DDoS lancées contre l'infrastructure Cloudflare et les fournisseurs d'hébergement protégés par Cloudflare.

Une campagne d'attaques DDoS vise l'infrastructure Cloudflare et les fournisseurs d'hébergement protégés par Cloudflare

Avant de nous intéresser à la manière dont nos systèmes ont détecté et atténué cette attaque, commençons par quelques statistiques.

L'attaque de 7,3 Tb/s a déversé 37,4 téraoctets en 45 secondes

Si le chiffre de 37,4 téraoctets ne s'avère pas particulièrement impressionnant en termes de volume pur à l'échelle actuelle, une décharge de 37,4 To en seulement 45 secondes l'est assurément. L'opération revient à saturer votre réseau en lui envoyant un trafic équivalent à plus de 9 350 films complets en HD ou à la diffusion sans interruption de 7 480 h de vidéo haute définition (soit près d'un an de visionnage non-stop) en seulement 45 secondes. S'il s'agissait de musique, l'ordre de grandeur serait le téléchargement d'environ 9,35 millions de titres en moins d'une minute, soit de quoi occuper un auditeur pendant 57 ans s'il devait écouter chaque titre à la suite pendant cette période. Vous pouvez également imaginer l'équivalent comme le fait de prendre 12,5 millions de photos haute résolution sur votre smartphone (en imaginant que vous ne manquiez jamais de stockage, si vous deviez ne prendre qu'une photo par jour, vous seriez encore en train d'appuyer sur le déclencheur de l'appareil 4 000 ans plus tard). Or, le processus s'est effectué ici en seulement 45 secondes. 

L'attaque record de 7,3 Tb/s a diffusé 37,4 To en 45 secondes

Les détails de l'attaque

L'attaque a bombardé en moyenne 21 925 ports de destination d'une unique adresse IP possédée par notre client (et utilisée par ce dernier), avec un pic culminant à 34 517 ports de destination par seconde. La répartition des ports source de l'attaque était plus ou moins similaire. 

Répartition des ports de destination

Vecteurs d'attaque

L'attaque de 7,3 Tb/s se présentait sous la forme d'une attaque DDoS multivectorielle. Près de 99,996 % du trafic hostile était classé dans la catégorie des floods UDP. Toutefois, les 0,004 % restants, qui représentaient donc 1,3 Go du trafic hostile, étaient identifiés comme attaques par réflexion (QOTD, Echo, NTP), comme, attaques par flood (UDP Mirai, Portmap) et comme attaques par amplification RIPv1.

Les autres vecteurs d'attaque que le flood UDP

Répartition des vecteurs d'attaque

Vous trouverez ci-dessous les détails concernant les différents vecteurs d'attaque observés lors de cette attaque, comment les entreprises peuvent éviter de participer aux attaques par réflexion et par amplification, ainsi que des recommandations pour se protéger contre ces attaques tout en évitant d'affecter le trafic légitime. Les clients Cloudflare sont protégés contre ces attaques.

Attaque DDoS UDP

  • Type : flood (inondation)

  • Fonctionnement : un volume élevé de paquets UDP est envoyé vers des ports aléatoires ou spécifiques de la ou des adresses IP cibles. Cette attaque peut tenter de saturer la liaison Internet ou de surcharger les appareils internes (in-line) sous un flot de paquets plus élevé que ces éléments ne peuvent en gérer.

  • Comment se protéger contre cette attaque : déployez une protection contre les attaques DDoS basée sur le cloud, mettez en place un contrôle du volume des requêtes intelligent sur le trafic UDP et abandonnez totalement le trafic UDP indésirable.

  • Comment éviter les conséquences imprévues : un filtrage agressif peut venir perturber les services UDP légitimes, comme la VoIP, la vidéoconférence ou les jeux en ligne. Appliquez vos seuils avec la plus grande prudence.

Attaque DDoS QOTD

  • Type : réflexion + amplification

  • Fonctionnement : cette attaque exploite le protocole Quote of the Day (QOTD, citation du jour) qui écoute le port UDP 17 et répond par une courte citation ou un bref message. Les acteurs malveillants adressent des requêtes QOTD aux serveurs exposés depuis une adresse IP usurpée afin de provoquer une amplification des réponses amplifiées et de submerger la victime sous le trafic.

  • Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le service QOTD et bloquez le port UDP/17 sur l'ensemble des serveurs et des pare-feu.

  • Comment se protéger contre l'attaque : bloquez le trafic UDP/17 entrant. Abandonnez le trafic présentant des pics anormaux de requêtes UDP à petits paquets.

  • Comment éviter les conséquences imprévues : le protocole QOTD est un protocole de diagnostic/débogage obsolète. Les applications modernes n'y font pas appel. Sa désactivation ne devrait pas avoir d'effet négatif sur les services légitimes.

Attaque DDoS Echo

  • Type : réflexion + amplification

  • Fonctionnement : cette attaque exploite le protocole Echo (port UDP/TCP 7), qui répond avec les données qu'il reçoit. Les acteurs malveillants usurpent l'adresse IP de la victime afin d'amener les appareils à renvoyer les données et, par conséquent, d'amplifier l'attaque.

  • Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le service Echo sur l'ensemble des appareils. Bloquez le port UDP/TCP 7 à la périphérie du réseau.

  • Comment se protéger contre l'attaque : désactivez le service Echo et bloquez le port TCP/UDP 7 au niveau du périmètre réseau.

  • Comment éviter les conséquences imprévues : Echo est un outil de diagnostic obsolète. Sa désactivation ou son blocage n'a aucun effet négatif sur les systèmes modernes.

Attaque DDoS NTP

  • Type : réflexion + amplification

  • Fonctionnement : cette attaque utilise abusivement le protocole NTP (Network Time Protocol, protocole de temps réseau) utilisé pour synchroniser les horloges sur Internet. Les acteurs malveillants exploitent la commande « monlist » sur les anciens serveurs NTP (UDP/123). Or, cette commande renvoie une longue liste des connexions récentes. Les requêtes usurpées entraînent une amplification des réflexions.

  • Comment éviter de devenir un élément de la réflexion ou de l'amplification : mettez à niveau ou configurez vos serveurs NTP afin de désactiver la commande « monlist ». Limitez les requêtes NTP aux adresses IP de confiance uniquement.

  • Comment se protéger contre l'attaque : désactivez la commande « monlist », mettez à jour le logiciel NTP et filtrez ou limitez le trafic UDP/123.

  • Comment éviter les conséquences imprévues : la désactivation de la commande « monlist » n'a aucun effet sur la synchronisation temporelle. Toutefois, le filtrage ou le blocage du port UDP/123 pourrait affecter la synchronisation de l'heure si le filtre/le blocage est trop large. Assurez-vous que seules les sources non fiables ou externes soient bloquées.

Attaque Mirai UDP

  • Type : flood (inondation)

  • Fonctionnement : le botnet Mirai est composé d'appareils IdO compromis. Il noie les victimes sous un flot de paquets UDP aléatoires ou spécifiques à un service (p. ex., DNS, services de jeu).

  • Comment éviter de participer à un botnet : sécurisez vos appareils IdO, changez vos mots de passe par défaut, mettez à jour vos appareils vers la dernière version du firmware et suivez les bonnes pratiques en matière de sécurité IdO. Dans la mesure du possible, surveillez le trafic sortant afin de détecter les irrégularités.

  • Comment se protéger contre l'attaque : déployez une protection contre les attaques DDoS volumétriques basée dans le cloud et mettez en place un contrôle du volume de requêtes sur le trafic UDP.

  • Comment éviter les conséquences imprévues : veillez tout d'abord à comprendre votre réseau et le type de trafic que vous recevez, notamment les protocoles, leurs sources et leurs destinations. Identifiez les services exécutés sur UDP que vous souhaitez éviter d'affecter. Une fois ces derniers identifiés, vous pouvez mettre en place le contrôle du volume des requêtes d'une manière qui exclut ces points de terminaison ou qui prend vos niveaux de trafic habituels en compte. Dans le cas contraire, un contrôle agressif du volume des requêtes liées au trafic UDP peut affecter votre trafic légitime et impacter les services fonctionnant sur UDP, comme les appels VoIP et le trafic VPN.

Attaque DDoS Portmap

  • Type : réflexion + amplification

  • Fonctionnement : cette attaque vise le service Portmapper (UDP/111) utilisé par les applications basées sur le protocole RPC (Remote Procedure Call, appel de procédure à distance) afin d'identifier les services disponibles. Les requêtes usurpées entraînent une réflexion des réponses.

  • Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le service Portmapper s'il n'est pas nécessaire. Si le service s'avère nécessaire en interne, limitez-le aux adresses IP de confiance uniquement.

  • Comment se protéger contre l'attaque : désactivez le service Portmapper s'il n'est pas nécessaire et bloquez le trafic entrant UDP/111. Mettez en place des listes de contrôle des accès (Access Control Lists, ACL) ou des pare-feu pour limiter l'accès aux services RPC connus.

  • Comment éviter les conséquences imprévues : la désactivation du service Portmapper peut venir perturber les applications reposant sur RPC (p. ex. le protocole Network File System). Validez les dépendances des services avant leur suppression.

Attaque DDoS RIPv1

  • Type : réflexion + (faible) amplification

  • Fonctionnement : cette attaque exploite la version 1 du protocole RIP (Routing Information Protocol, protocole d'information de routage), un ancien protocole de routage à vecteur de distances non authentifié qui fait appel au port UDP/520. Les acteurs malveillants envoient des mises à jour de routage usurpées afin de submerger ou de perturber les réseaux.

  • Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le protocole RIPv1 sur les routeurs. Utilisez le RIPv2 avec authentification là où le routage est nécessaire.

  • Comment se protéger contre l'attaque : bloquez le trafic UDP/520 entrant en provenance de réseaux non fiables. Surveillez les mises à jour de routage inattendues.

  • Comment éviter les conséquences imprévues : le protocole RIPv1 est quasiment obsolète. Sa désactivation s'avère généralement sûre. Si d'anciens systèmes y font néanmoins appel, validez le comportement de routage avant d'effectuer des modifications.

Afin d'éviter les effets indésirables sur le trafic légitime, toutes les recommandations présentées ici doivent être prises en considération en tenant compte du contexte et du comportement de chaque réseau ou de chaque application.

Origines de l'attaque

L'attaque émanait de plus de 122 145 adresses IP source couvrant 5 433 systèmes autonomes (AS) répartis dans 161 pays. 

Près de la moitié du trafic hostile provenait du Brésil et du Vietnam, avec une part d'environ un quart pour chaque pays. Un autre tiers (cumulé) du trafic provenait de Taïwan, de Chine, d'Indonésie, d'Ukraine, d'Équateur, de Thaïlande, des États-Unis et d'Arabie saoudite.

Les dix principaux pays d'origine du trafic hostile

Le nombre moyen d'adresses IP source uniques par seconde était de 26 855, avec un pic culminant à 45 097.  

Répartition des adresses IP source uniques

L'attaque provenait de 5 433 réseaux (AS) différents. Avec 10,5 % de l'ensemble, Telefonica Brazil (AS27699) représentait la plus grande part du trafic de l'attaque DDoS. Le système autonome Viettel Group (AS7552) lui emboîtait le pas avec 9,8 %, tandis que China Unicom (AS4837) et Chunghwa Telecom (AS3462) contribuaient respectivement au total à hauteur de 3,9 % et 2,9 %. China Telecom (AS4134) représentait 2,8 % du trafic. Les ASN restants dans le top 10, comme Claro NXT (AS28573), VNPT Corp (AS45899), UFINET Panama (AS52468), STC (AS25019) et FPT Telecom Company (AS18403) ont chacun contribué au trafic hostile total de l'attaque DDoS dans une proportion comprise entre 1,3 % et 1,8 %.

Top 10 des systèmes autonomes source

Flux gratuit d'informations sur les menaces

Afin d'aider les fournisseurs d'hébergement, les fournisseurs de solutions d'informatique cloud et les FAI à identifier et à éliminer les comptes abusifs à l'origine de ces attaques, nous tirons parti du point de vue unique de Cloudflare pour proposer le flux d'informations gratuit sur les menaces liées aux botnets et destiné aux fournisseurs de services (free DDoS Botnet Threat Feed for Service Providers). Plus de 600 entreprises à travers le monde se sont déjà abonnées à ce flux. Ce dernier informe les fournisseurs de services sur leur ASN en leur présentant une liste d'adresses IP impliquées dans le lancement d'attaques DDoS HTTP. Le service est entièrement gratuit. Il vous suffit d'ouvrir un compte Cloudflare gratuit, d'authentifier l'ASN via PeeringDB, puis de récupérer le flux par l'intermédiaire d'une API.

Comment l'attaque a été détectée et atténuée

Utiliser la nature distribuée des attaques DDoS contre elles

L'adresse IP attaquée a été annoncée depuis le réseau Cloudflare en Global Anycast. L'utilisation de cette méthode implique ainsi que les paquets hostiles qui ciblaient l'adresse IP ont été acheminés vers le datacenter Cloudflare le plus proche. L'utilisation du Global Anycast nous permet de répartir le trafic hostile et d'exploiter sa nature distribuée pour contrer ce dernier. Nous pouvons dès lors l'atténuer près des nœuds de botnet, tout en continuant à servir les utilisateurs depuis les datacenters les plus proches de leur position géographique. L'attaque qui nous intéresse dans cet article a été détectée et atténuée dans 477 datacenters répartis sur 293 points d'implantation à travers le monde. Nous disposons d'une présence au sein de plusieurs datacenters dans les zones à trafic intense. 

Détection et atténuation autonomes des attaques DDoS

Le réseau mondial de Cloudflare exécute chaque service dans chaque datacenter. C'est notamment le cas de nos systèmes de détection et d'atténuation des attaques DDoS. Les attaques peuvent ainsi être détectées et atténuées de manière totalement autonome, indépendamment de leur origine. 

Analyse des empreintes numériques en temps réel

Lorsqu'un paquet entre dans notre datacenter, il fait l'objet d'un équilibrage de charge intelligent vers un serveur disponible. Nous échantillonnons ensuite les paquets directement depuis les profondeurs du noyau Linux, c'est-à-dire l'eXpress Data Path (XDP), à l'aide d'un programme eBPF (extended Berkeley Packet Filter, filtre de paquets Berkeley étendu) de manière à acheminer les échantillons de paquets vers l'espace utilisateur dans lequel nous procédons à l'analyse.

Notre système analyse les échantillons de paquets afin d'identifier les schémas suspects grâce à notre moteur heuristique unique nommé dosd (denial of service daemon, daemon de déni de service). Dosd se met à l'affût de certains schémas au sein des échantillons de paquets, comme les similitudes dans les champs d'en-tête des paquets et la recherche d'anomalies dans les paquets, tout en appliquant également d'autres techniques propriétaires.

 Organigramme de la génération d'empreintes numériques en temps réel

Pour nos clients, ce système complexe d'empreintes numériques se présente sous la forme d'un ensemble convivial de règles gérées, les ensembles de règles gérées pour la protection contre les attaques DDoS

Lorsque dosd détecte des schémas particuliers, il génère plusieurs permutations de ces empreintes afin de déterminer l'empreinte la plus précise, celle qui offrira la meilleure efficacité et la plus grande finesse en matière d'atténuation (p. ex. essayer de correspondre avec une précision chirurgicale au trafic hostile sans affecter le trafic légitime. 

Schéma des systèmes de protection Cloudflare contre les attaques DDoS 

Atténuation

Nous comptabilisons les différents échantillons de paquets qui correspondent à chaque permutation d'empreintes numériques et mettons en avant l'empreinte numérique comptant le plus de correspondances grâce à un algorithme de recherche au sein des flux de données. Pour éviter les faux positifs, en cas de dépassement des seuils d'activation, une règle d'atténuation reposant sur la syntaxe des empreintes est compilée sous forme de programme eBPF afin d'abandonner les paquets correspondant au modèle de l'attaque. Lorsque l'attaque prend fin, la règle expire et est supprimée automatiquement.

Rumeurs sur les attaques

Comme nous l'avons mentionné, chaque serveur détecte et atténue les attaques de manière entièrement autonome. Notre réseau s'avère donc très efficace, résilient et rapide en ce qui concerne le blocage des attaques. Chaque serveur transmet (multidiffuse) en outre les principales permutations d'empreintes numériques au sein d'un datacenter et à l'échelle mondiale. Ce principe de partage d'informations sur les menaces en temps réel contribue à améliorer l'efficacité des mesures d'atténuation au sein d'un datacenter et, là encore, à l'échelle mondiale. 

Protéger Internet

Nos systèmes ont réussi à bloquer cette attaque DDoS record de 7,3 Tb/s de manière totalement autonome, sans intervention humaine, sans déclencher d'alertes et sans provoquer d'incidents. Cet exemple illustre dès lors l'efficacité de nos systèmes de protection contre les attaques DDoS. Nous avons construit ce système dans le cadre de notre mission visant à contribuer à bâtir un Internet meilleur, conçu pour proposer une protection contre les attaques DDoS gratuite et illimitée.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Attaques DDoSRapports DDoS

Suivre sur X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Publications associées