{"id":14008,"date":"2026-03-05T16:38:04","date_gmt":"2026-03-05T13:38:04","guid":{"rendered":"https:\/\/vasexperts.com\/?p=14008"},"modified":"2026-03-05T17:07:50","modified_gmt":"2026-03-05T14:07:50","slug":"udp-flood-why-terabit-attacks-have-become-the-norm-and-how-to-prepare","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/fr\/blog\/security\/udp-flood-why-terabit-attacks-have-become-the-norm-and-how-to-prepare\/","title":{"rendered":"UDP Flood : pourquoi les attaques t\u00e9rabit sont devenues la norme et comment s’y pr\u00e9parer"},"content":{"rendered":"

Le d\u00e9veloppement des services cloud et des solutions IoT sans attention suffisante \u00e0 la s\u00e9curit\u00e9 de l\u2019information conduit \u00e0 des infections par des botnets tels que Mirai. Selon les donn\u00e9es de Cloudflare<\/a>, d\u00e9but septembre 2025, plusieurs fournisseurs de services IoT et de services cloud, dont Google Cloud, ont \u00e9t\u00e9 sources d\u2019une attaque UDP Flood d\u2019une puissance de 11,5 Tbps d\u2019une dur\u00e9e de 35 secondes.<\/strong> C\u2019est comparable \u00e0 la diffusion en continu de 10 000 heures de vid\u00e9o haute qualit\u00e9 en \u00e0 peine une demi-minute. De telles attaques d\u00e9montrent clairement les capacit\u00e9s des attaquants : les attaques DDoS de plusieurs centaines de Gbps peuvent d\u00e9sormais \u00eatre men\u00e9es avec un effort minimal, provoquant des interruptions d\u2019activit\u00e9 de plusieurs heures, voire plusieurs jours.<\/p>\r\n\r\n

Quelle est la puissance de ces attaques et comment les contrer ? Nous l\u2019expliquons dans cet article et sugg\u00e9rons les mesures \u00e0 prendre pour en att\u00e9nuer les cons\u00e9quences.<\/p>\r\n\r\n

Comment fonctionne l\u2019UDP Flood<\/h2>\r\n

L\u2019UDP Flood<\/strong> est un type d\u2019attaque DDoS volum\u00e9trique au niveau de la couche transport (L4) du r\u00e9seau, dans laquelle l\u2019attaquant envoie un grand nombre de paquets UDP vers des ports al\u00e9atoires ou pr\u00e9d\u00e9finis de l\u2019h\u00f4te cible.<\/p>\r\n\r\n

\u00c0 l\u2019origine, le protocole UDP (User Datagram Protocol) a \u00e9t\u00e9 con\u00e7u comme un transport minimaliste sur IP pour les applications ne n\u00e9cessitant pas de m\u00e9canismes de livraison fiable : accus\u00e9 de r\u00e9ception, retransmissions ou contr\u00f4le de l\u2019ordre des paquets. C\u2019est pr\u00e9cis\u00e9ment pourquoi un attaquant peut continuellement \u00ab inonder \u00bb la cible dans un seul sens sans attendre aucune r\u00e9ponse. Ces propri\u00e9t\u00e9s ont ensuite fait d\u2019UDP une base pratique pour la VoIP, le streaming vid\u00e9o et les jeux en ligne, o\u00f9 la perte de paquets individuels n\u2019est pas critique.<\/p>\r\n\r\n[important]La latence a \u00e9t\u00e9 consid\u00e9rablement r\u00e9duite en supprimant l\u2019exigence d\u2019\u00e9tablissement de connexion. Les attaquants ont exploit\u00e9 cela, poussant au maximum les ressources des cartes r\u00e9seau des h\u00f4tes infect\u00e9s. En d\u00e9ployant m\u00eame un petit botnet, il est possible de saturer le canal et de mettre hors service un routeur frontalier ou un pare-feu d\u2019un op\u00e9rateur local.[\/important]\r\n\r\n

Une autre caract\u00e9ristique du protocole UDP est que l\u2019h\u00f4te de destination r\u00e9pond par un message ICMP \u00ab service indisponible \u00bb si le port est ferm\u00e9 et qu\u2019ICMP n\u2019est pas restreint par des politiques de s\u00e9curit\u00e9. Ce processus charge le serveur attaqu\u00e9 avec le traitement de la requ\u00eate, la v\u00e9rification de l\u2019existence d\u2019un service sur le port indiqu\u00e9 et la formulation d\u2019une r\u00e9ponse. Le message de r\u00e9ponse chargerait \u00e9galement la source de l\u2019attaque elle-m\u00eame, mais les attaquants ont commenc\u00e9 \u00e0 utiliser la technique d\u2019IP Spoofing, rempla\u00e7ant l\u2019adresse IP de l\u2019exp\u00e9diteur dans le paquet par une adresse al\u00e9atoire. Ainsi, avec des ressources minimales, l\u2019attaquant parvient \u00e0 saturer \u00e0 la fois le canal de communication descendant et montant.<\/p>\r\n\r\n

Nous avons pr\u00e9c\u00e9demment examin\u00e9 en d\u00e9tail le SYN Flood<\/a> \u2014 une attaque TCP classique visant \u00e0 \u00e9puiser les tables de connexions et les ressources de la pile TCP.<\/p>\r\n\r\n

Comparons UDP Flood et TCP SYN Flood.<\/p>\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n
Crit\u00e8re<\/strong><\/td>\r\nUDP Flood<\/strong><\/td>\r\nTCP SYN Flood<\/strong><\/td>\r\n<\/tr>\r\n
Co\u00fbt computationnel de l\u2019attaquant<\/td>\r\nFaible<\/td>\r\n\u00c9lev\u00e9<\/td>\r\n<\/tr>\r\n
\u00c9volutivit\u00e9<\/td>\r\n\u00c9lev\u00e9e<\/td>\r\nLimit\u00e9e par le maintien des connexions semi-ouvertes<\/td>\r\n<\/tr>\r\n
Facilit\u00e9 d\u2019usurpation d\u2019adresse IP<\/td>\r\n\u00c9lev\u00e9e<\/td>\r\nMoyenne<\/td>\r\n<\/tr>\r\n
\u00c9puisement des ressources<\/td>\r\nBande passante \/ limites mat\u00e9rielles (tables TCAM, session tables, CPU du plan de contr\u00f4le) \/ CPU de l\u2019h\u00f4te de destination<\/td>\r\nNombre d\u2019utilisateurs du service \/ CPU de l\u2019h\u00f4te de destination<\/td>\r\n<\/tr>\r\n
Impact sur l\u2019op\u00e9rateur<\/td>\r\n\u00c9lev\u00e9<\/td>\r\nFaible<\/td>\r\n<\/tr>\r\n
M\u00e9thode de d\u00e9tection<\/td>\r\nAnomalies du profil de trafic (PPS\/BPS, asym\u00e9trie de flux, augmentation multiple des sources)<\/td>\r\nRatio de paquets SYN par rapport au total (SYN ratio)<\/td>\r\n<\/tr>\r\n
M\u00e9thode de protection au niveau de l\u2019h\u00f4te attaqu\u00e9<\/td>\r\nLimitation du flux UDP (Rate-limiting), m\u00e9canismes de protection des services (DNS RRL, SIP rate control, QUIC Retry Token)<\/td>\r\nSYN Cookies<\/td>\r\n<\/tr>\r\n<\/tbody>\r\n<\/table>\r\n\r\n

Types d\u2019UDP Flood<\/h2>\r\n

Savoir qu\u2019une attaque op\u00e8re au niveau de la couche transport via UDP n\u2019est que la premi\u00e8re \u00e9tape. Pour une protection efficace, il est important d\u2019identifier son type sp\u00e9cifique : le m\u00e9canisme, la source du trafic et les protocoles applicatifs impliqu\u00e9s.<\/strong> Sans cela, les contre-mesures peuvent s\u2019av\u00e9rer soit excessives, soit inefficaces. Examinons les principales variantes d\u2019UDP Flood auxquelles les op\u00e9rateurs sont le plus fr\u00e9quemment confront\u00e9s.<\/p>\r\n\r\n

UDP Flood via Botnet (non-spoofed)<\/h3>\r\n

C\u2019est aujourd\u2019hui le sc\u00e9nario le plus courant. Le nombre croissant de dispositifs IoT vuln\u00e9rables, de serveurs obsol\u00e8tes et de routeurs domestiques cr\u00e9e une base massive pour les botnets. Le trafic provient des IPs r\u00e9elles des appareils infect\u00e9s, de sorte que les paquets semblent l\u00e9gitimes et sont difficilement filtr\u00e9s.<\/p>\r\n\r\n

Les risques vont au-del\u00e0 de la partie attaqu\u00e9e : un op\u00e9rateur dont le r\u00e9seau contient des abonn\u00e9s infect\u00e9s peut \u00eatre confront\u00e9 \u00e0 un d\u00e9bordement des tables CG-NAT en raison du trafic sortant massif. En cons\u00e9quence, les utilisateurs ordinaires sont affect\u00e9s et l\u2019op\u00e9rateur devient de facto un participant involontaire \u00e0 l\u2019attaque.<\/p>\r\n\r\n

UDP Flood Classique (spoofed)<\/h3>\r\n

Une m\u00e9thode ancienne mais toujours d\u2019actualit\u00e9 : un flux de paquets UDP est g\u00e9n\u00e9r\u00e9 avec des adresses d\u2019exp\u00e9diteur falsifi\u00e9es, souvent \u00e0 l\u2019aide d\u2019utilitaires facilement disponibles. Le faible seuil d\u2019entr\u00e9e le rend populaire aupr\u00e8s des attaquants d\u00e9butants.<\/p>\r\n\r\n

Sa pr\u00e9valence diminue progressivement gr\u00e2ce \u00e0 la mise en \u0153uvre du filtrage BCP38 et \u00e0 l\u2019\u00e9mergence de m\u00e9thodes d\u2019amplification plus efficaces. N\u00e9anmoins, avec un filtrage insuffisant, ce type d\u2019attaque peut encore saturer les canaux.<\/p>\r\n\r\n

Ces deux types peuvent attaquer un seul port ou de nombreux ports al\u00e9atoires. Dans le second cas, l\u2019h\u00f4te cible est en outre charg\u00e9 du traitement des r\u00e9ponses ICMP.<\/p>\r\n\r\n

UDP Flood par R\u00e9flexion (reflection\/amplification)<\/h3>\r\n

Un sous-type particuli\u00e8rement dangereux qui utilise des services r\u00e9flecteurs ouverts. L\u2019attaquant envoie une petite requ\u00eate avec l\u2019adresse usurp\u00e9e de la victime, et le serveur renvoie une r\u00e9ponse nettement plus volumineuse \u00e0 la victime. Le facteur d\u2019amplification peut atteindre des dizaines, des centaines, voire des milliers de fois, permettant de g\u00e9n\u00e9rer un trafic \u00e9norme avec des ressources minimales de l\u2019attaquant.<\/p>\r\n\r\n

Attaques par Tapis de Bombes et Multivectorielles<\/h3>\r\n

N\u2019importe lequel de ces types peut \u00eatre dirig\u00e9 non pas vers un seul h\u00f4te mais vers un sous-r\u00e9seau entier \u2014 le carpet bombing, o\u00f9 le trafic est r\u00e9parti sur de nombreuses adresses et est plus difficile \u00e0 d\u00e9tecter. En pratique, les attaquants combinent souvent plusieurs m\u00e9thodes simultan\u00e9ment, formant des attaques multivectorielles n\u00e9cessitant une protection globale.<\/p>\r\n\r\n

Comment d\u00e9tecter un UDP Flood<\/h2>\r\n

La premi\u00e8re \u00e9tape pour construire une protection est d\u2019apprendre \u00e0 identifier en temps opportun quel type d\u2019attaque a touch\u00e9 l\u2019infrastructure.<\/p>\r\n\r\n[important]En r\u00e8gle g\u00e9n\u00e9rale, une attaque UDP Flood se manifeste par une combinaison de sympt\u00f4mes difficiles \u00e0 ignorer si l\u2019on sait quoi observer.[\/important]\r\n\r\n

Le premier signe, et le plus \u00e9vident, est une augmentation soudaine et anormale du trafic entrant.<\/strong> Contrairement \u00e0 la croissance organique de la charge caract\u00e9ristique des heures de pointe, une attaque appara\u00eet comme un pic vertical sur le graphique : le trafic augmente en quelques secondes de plusieurs fois ou de plusieurs ordres de grandeur. Dans le m\u00eame temps, la charge CPU du routeur frontalier ou du pare-feu augmente rapidement, car l\u2019\u00e9quipement est contraint de traiter chaque paquet entrant.<\/p>\r\n\r\n

Simultan\u00e9ment, on constate une d\u00e9gradation de la qualit\u00e9 de service :<\/strong> la latence augmente, le taux de perte de paquets cro\u00eet pour les utilisateurs l\u00e9gitimes, les services commencent \u00e0 r\u00e9pondre avec retard ou cessent de r\u00e9pondre. En cas d\u2019attaque sur le CG-NAT, l\u2019op\u00e9rateur re\u00e7oit des plaintes d\u2019abonn\u00e9s sur l\u2019impossibilit\u00e9 d\u2019\u00e9tablir de nouvelles connexions \u2014 signe certain de l\u2019\u00e9puisement des tables de traduction.<\/p>\r\n\r\n

Lors de l\u2019analyse du trafic, on observe un tableau caract\u00e9ristique : une forte proportion de paquets UDP de taille minimale ou fixe,<\/strong> des ports de destination pseudo-al\u00e9atoires ou clairement r\u00e9p\u00e9titifs, un nombre anormalement \u00e9lev\u00e9 d\u2019adresses IP uniques d\u2019exp\u00e9diteurs (lors d\u2019attaques spoofed) ou, au contraire, du trafic provenant de certains ASN ou r\u00e9gions g\u00e9ographiques (lors d\u2019attaques botnet). Lors d\u2019attaques par r\u00e9flexion, le trafic provient des adresses de serveurs DNS ou NTP publics connus, ce qui constitue en soi une anomalie. La liste des serveurs vuln\u00e9rables est souvent distribu\u00e9e via des plateformes de Threat Intelligence, fournissant une liste pr\u00eate pour le blocage ou la limitation de d\u00e9bit.<\/p>\r\n\r\n

Pour la d\u00e9tection rapide des attaques, les op\u00e9rateurs utilisent g\u00e9n\u00e9ralement plusieurs sources de surveillance.<\/p>\r\n