Attaque DDoS : une cyber attaque à hauteur de 7,3 Tbps arrêtée !

Fin mai 2025, Cloudflare a repoussé une attaque DDoS atteignant 7,3 Tbps, un nouveau seuil jamais observé auparavant.

À la mi-mai 2025, Cloudflare a bloqué la plus importante attaque DDoS jamais enregistrée, culminant à 7,3 Tbps (terabits par seconde). Une performance 12 % supérieure à leur précédent record.

L’attaque visait un client hébergeur utilisant Magic Transit pour protéger son réseau IP. Les infrastructures critiques sont devenues des cibles privilégiées, avec plus de 13,5 millions d’attaques DDoS rapportées entre janvier et février 2025.

« 37,4 TB en 45 secondes, soit l’équivalent de 9 350 films HD diffusés en continu »

En 45 secondes, l’attaque a délivré 37,4 To de données, équivalant à des milliers d’heures de vidéo HD ou des millions de chansons. Ce niveau de débit extrême a submergé les capacités normales des réseaux de transmission.

Du point de vue technique, ce DDoS était un multivecteur : 99,996 % du trafic provenait de flux UDP, tandis que les 0,004 % restants (1,3 Go) incluaient des attaques par amplification via QOTD, Echo, NTP, Mirai, Portmap et RIPv1.

Quand on dit que l’attaque « provenait de flux UDP« , cela veut dire que les ordinateurs attaquants ont envoyé plein de petits messages appelés « paquets UDP » à un autre ordinateur, pour le faire ralentir ou le faire tomber en panne. Imaginez que votre ordinateur est une boîte aux lettres. L’UDP, c’est comme des cartes postales très simples qu’on peut envoyer sans vérifier si elles arrivent bien. Pendant cette attaque, plein d’ordinateurs du monde entier ont envoyé des milliards de ces cartes postales à la même boîte aux lettres, en même temps. Tellement de cartes que la boîte aux lettres a été complètement remplie et n’a plus pu rien recevoir d’important.

Bref, les flux UDP inondent le réseau de paquets aléatoires, saturant les liens ou équipements. Les attaques par amplification exploitent des protocoles anciens qui renvoient des réponses volumineuses à des requêtes falsifiées. Ainsi, des services obsolètes comme QOTD (UDP/17), Echo (UDP/TCP 7), NTP (UDP/123), Portmap (UDP/111) ou RIPv1 (UDP/520) sont détournés à leur insu.

Chaque attaque dispose de recommandations précises : désactiver les services anciens ou bloquer les ports concernés, mettre à jour les logiciels (ex. désactivation de monlist pour NTP), et filtrer correctement le trafic UDP.

Les attaquants utilisaient plus de 122 145 adresses IP sources, réparties sur 5 433 systèmes autonomes dans 161 pays. Les principaux contributeurs étaient le Brésil et le Vietnam (près de la moitié du trafic), suivis de Taiwan, Chine, Indonésie, Ukraine, Équateur, Thaïlande, États-Unis, Arabie Saoudite.

Chez les ASN, Telefônica Brésil (AS27699) fournissait 10,5 % du trafic, Viettel (AS7552) 9,8 %, puis China Unicom, Chunghwa Telecom, China Telecom et d’autres.

Cloudflare propose aux FAI et hébergeurs une « botnet threat feed », liste gratuite d’IP suspectes, accessible via API après vérification de l’ASN via PeeringDB ; plus de 600 organisations en bénéficient.

Détection et mitigation

L’usage de l’anycast permet de répartir automatiquement l’attaque dans 477 centres de données répartis sur 293 emplacements, dispersant le flot et protégeant les clients.

Le réseau Cloudflare fonctionne en mode distribué : chaque centre détecte et bloque les attaques sans intervention humaine . Les serveurs prélèvent des échantillons UDP via eBPF/XDP dans le noyau Linux, transmettent les paquets au démon dosd, générant des « empreintes » (fingerprints) des comportements malveillants.

Ces empreintes sont affinées en permutations, puis compilées en règles eBPF dès que les seuils sont atteints, filtrant les paquets malveillants avec précision, avant un retrait automatique une fois l’attaque terminée.

Une diffusion des empreintes au niveau mondial via gossip renforce le système : chaque centre partage ses découvertes en temps réel pour une réponse rapide et coordonnée.

C’est quoi : QOTD, Mirai, RIPv1, Etc. ?

Plus haut, je vous parlais d’amplification via QOTD, Echo, NTP, Mirai, Portmap et RIPv1. Mais c’est quoi ?

QOTD (Quote of the Day)
C’était un vieux service informatique qui envoyait une petite phrase chaque fois qu’on lui demandait. Les pirates l’utilisent pour demander cette phrase à plein d’ordinateurs en se faisant passer pour la victime. Résultat : tous les ordinateurs envoient leurs phrases à la victime en même temps, comme une avalanche de messages.

Echo
Ce service sert à « répéter » ce qu’on lui envoie, comme un écho dans une grotte. Les pirates lui disent : « répète ceci » en prétendant que c’est la victime qui parle. Le service obéit, et la victime reçoit plein d’échos inutiles qui la submergent.

NTP (Network Time Protocol)
Ce service donne l’heure exacte aux ordinateurs. Les pirates posent une vieille question spéciale appelée « monlist » à plein d’horloges informatiques, en disant que la victime attend la réponse. Ces horloges répondent avec beaucoup d’informations, que la victime n’a jamais demandées.

Mirai
C’est un méchant programme (un « botnet ») qui prend le contrôle de plein d’objets connectés, comme des caméras ou des routeurs, quand ils ne sont pas bien protégés. Ensuite, il utilise tous ces objets ensemble pour attaquer un site web ou un service, un peu comme si une armée de robots lançait des boules de neige en même temps.

Portmap
Ce service dit aux ordinateurs comment parler à d’autres programmes sur un réseau. Les pirates lui demandent une info, toujours en se faisant passer pour la victime. Le service répond avec une grosse réponse, que la victime reçoit encore et encore, ce qui la ralentit.

RIPv1 (Routing Information Protocol version 1)
C’est un ancien outil utilisé par les routeurs pour savoir comment envoyer les données dans un réseau. Les pirates lui posent des questions en se faisant passer pour la victime, et tous les routeurs répondent en même temps à la victime avec beaucoup d’infos sur leurs routes.

Bref. Pagaille assurée avec ces attaques par amplification. Un peu comme si on criait « ZATAZ » dans une montagne et qu’un écho géant revenait sur quelqu’un d’autre et lui faisait perdre son audition.