{"id":14246,"date":"2026-05-07T17:35:12","date_gmt":"2026-05-07T14:35:12","guid":{"rendered":"https:\/\/vasexperts.com\/?p=14246"},"modified":"2026-05-07T18:10:10","modified_gmt":"2026-05-07T15:10:10","slug":"neutralizing-a-botnet-in-an-operator-network","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/fr\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/","title":{"rendered":"Neutraliser un botnet dans le r\u00e9seau d&rsquo;un op\u00e9rateur"},"content":{"rendered":"Examinons ce qui se passe \u00e0 l\u2019int\u00e9rieur du CG-NAT sous charge de botnet, pourquoi les abonn\u00e9s ordinaires en souffrent et quels outils permettent d\u2019y mettre fin.\r\n\r\n<h2>Comment un botnet \u00ab d\u00e9vore \u00bb les ressources du CG-NAT<\/h2>\r\nLa plupart des op\u00e9rateurs utilise la technologie CG-NAT (Carrier-Grade NAT). Il s\u2019agit d\u2019une technologie par laquelle l\u2019op\u00e9rateur de t\u00e9l\u00e9communications utilise une seule adresse IPv4 publique pour un groupe d\u2019abonn\u00e9s simultan\u00e9ment. Les abonn\u00e9s re\u00e7oivent des adresses IP priv\u00e9es et, lors de l\u2019acc\u00e8s \u00e0 internet, leur trafic passe par une passerelle partag\u00e9e o\u00f9 il est traduit vers l\u2019une des adresses publiques de l\u2019op\u00e9rateur.\r\n\r\nCela r\u00e9sout le probl\u00e8me de p\u00e9nurie d\u2019espace d\u2019adressage, mais cr\u00e9e simultan\u00e9ment une d\u00e9pendance : la ressource NAT est finie.\r\n\r\n<a href=\"\/wp-content\/uploads\/2026\/05\/port_allocation_cg-nat.svg\"><noscript><img decoding=\"async\" src=\"\/wp-content\/uploads\/2026\/05\/port_allocation_cg-nat.svg\" alt=\"port allocation cg-nat\" width=\"100%\" height=\"auto\" class=\"alignnone size-full wp-image-14249\"><\/noscript><img decoding=\"async\" src=\"\/wp-content\/uploads\/2026\/05\/port_allocation_cg-nat.svg\" alt=\"port allocation cg-nat\" width=\"100%\" height=\"auto\" class=\"alignnone size-full wp-image-14249 lazyload\" data-src=\"\/wp-content\/uploads\/2026\/05\/port_allocation_cg-nat.svg\"><\/a>\r\n\r\nLes op\u00e9rateurs distribuent g\u00e9n\u00e9ralement les ports NAT avec sursouscription. Un seul abonn\u00e9 peut se voir attribuer jusqu\u2019\u00e0 2 000 ports, tandis que des dizaines d\u2019utilisateurs partagent simultan\u00e9ment la m\u00eame IP publique. En th\u00e9orie, cela offre des centaines de milliers de connexions, mais la limite physique reste inchang\u00e9e : environ 64 000 ports par adresse IP.\r\n\r\nLorsque plusieurs abonn\u00e9s avec des appareils infect\u00e9s partageant la m\u00eame adresse publique commencent \u00e0 g\u00e9n\u00e9rer des milliers de sessions UDP courtes, ils \u00e9puisent instantan\u00e9ment l\u2019int\u00e9gralit\u00e9 du pool de ports allou\u00e9.\r\n\r\nEn cons\u00e9quence, les abonn\u00e9s l\u00e9gitimes utilisant cette m\u00eame adresse sont contraints de rivaliser avec les appareils du botnet pour l\u2019obtention de ports et cessent de recevoir de nouvelles connexions : les navigateurs se bloquent, les appels sont coup\u00e9s, le streaming s\u2019interrompt. Pendant ce temps, l\u2019utilisateur infect\u00e9 ignore souvent que son appareil participe \u00e0 une attaque.\r\n\r\n<h2>Ce qui arrive au NAT sous charge de botnet<\/h2>\r\nAu-del\u00e0 de l\u2019\u00e9puisement des ports, les attaques de botnet impactent directement les performances du CG-NAT. Le flood de botnet devient un test de charge pour des chemins de recherche lin\u00e9aire peu \u00e9vidents dans le code du NAT. Un abonn\u00e9 ordinaire maintient en moyenne quelques dizaines \u00e0 quelques centaines de connexions simultan\u00e9es. Un appareil infect\u00e9, en revanche, en cr\u00e9e des milliers par seconde, avec des sch\u00e9mas de trafic fondamentalement diff\u00e9rents du comportement d\u2019un utilisateur normal.\r\n\r\nCe trafic produit ainsi les effets suivants :\r\n<ul>\r\n  <li>il remplit rapidement les tables de traduction ;<\/li>\r\n  <li>il surcharge les files d\u2019attente ;<\/li>\r\n  <li>il cr\u00e9e une contention de ressources entre les threads.<\/li>\r\n<\/ul>\r\nS\u2019il existe ne serait-ce qu\u2019un seul chemin de code non optimis\u00e9, un botnet en fera tr\u00e8s probablement un goulot d\u2019\u00e9tranglement. Le r\u00e9sultat final est une d\u00e9gradation non seulement de la disponibilit\u00e9, mais des performances de l\u2019ensemble du syst\u00e8me NAT. C\u2019est pourquoi, lors de l\u2019optimisation du produit <a href=\"\/fr\/products\/cgnat\/\">CG-NAT<\/a>, les d\u00e9veloppeurs de VAS Experts tiennent compte non seulement du comportement du trafic normal, mais aussi des sc\u00e9narios d\u2019attaque susceptibles d\u2019affecter la stabilit\u00e9 globale du syst\u00e8me.\r\n\r\n<h2>La principale source de botnets : les appareils des abonn\u00e9s<\/h2>\r\nLe vecteur d\u2019infection principal est constitu\u00e9 des routeurs domestiques et SOHO n\u2019ayant pas re\u00e7u de mises \u00e0 jour de s\u00e9curit\u00e9 depuis longtemps. En avril 2026, la NSA am\u00e9ricaine a <a href=\"https:\/\/media.defense.gov\/2023\/Feb\/22\/2003165170\/-1\/-1\/0\/CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF\" rel=\"nofollow\">officiellement appel\u00e9<\/a> les utilisateurs \u00e0 mettre \u00e0 jour le firmware de leurs routeurs, ayant constat\u00e9 une vague d\u2019attaques via des appareils obsol\u00e8tes.\r\n\r\n<blockquote><strong>Avertissement NSA \/ FBI (avril 2026)<\/strong>\r\nL\u2019Agence de s\u00e9curit\u00e9 nationale am\u00e9ricaine a appuy\u00e9 un avertissement du FBI selon lequel des groupes de hackers \u00e9trangers ciblent d\u00e9lib\u00e9r\u00e9ment les routeurs vuln\u00e9rables dans le monde entier, notamment via la vuln\u00e9rabilit\u00e9 CVE-2023-50224 dans les appareils TP-Link. Les attaquants exploitent des routeurs domestiques insuffisamment s\u00e9curis\u00e9s pour intercepter des donn\u00e9es et constituer une infrastructure de botnet.<\/blockquote>\r\n\r\nLes recommandations des r\u00e9gulateurs se r\u00e9sument \u00e0 une hygi\u00e8ne de base : changer les identifiants et mots de passe par d\u00e9faut, d\u00e9sactiver la gestion \u00e0 distance depuis internet, installer le firmware le plus r\u00e9cent et remplacer les appareils qui ne b\u00e9n\u00e9ficient plus du support du fabricant. Dans la pratique, cependant, la plupart des utilisateurs domestiques ne r\u00e9alisent pas ces op\u00e9rations de mani\u00e8re autonome.\r\n\r\nCela signifie que l\u2019op\u00e9rateur doit prot\u00e9ger non seulement sa propre infrastructure, mais aussi les appareils des abonn\u00e9s \u2014 sinon, le pr\u00e9judice caus\u00e9 par le botnet se r\u00e9partit sur l\u2019ensemble des clients.\r\n\r\n<h2>Listes noires d\u2019IP : un probl\u00e8me pour toute la base d\u2019abonn\u00e9s<\/h2>\r\nLe deuxi\u00e8me effet critique d\u2019un botnet est l\u2019inscription des adresses IP de l\u2019op\u00e9rateur dans des listes de blocage. Lorsque les h\u00f4tes infect\u00e9s commencent \u00e0 envoyer du spam, \u00e0 participer \u00e0 des attaques DDoS ou \u00e0 scanner internet, les IP publiques de l\u2019op\u00e9rateur sont enregistr\u00e9es dans des listes noires de services tels que Spamhaus, AbuseIPDB, Cloudflare Radar et d\u2019autres.\r\n\r\n<blockquote>\r\nL\u2019impact d\u2019une infection de botnet s\u2019\u00e9tend \u00e0 tous. Bloquer une seule IP publique dans une liste de blocage affecte instantan\u00e9ment jusqu\u2019\u00e0 100 abonn\u00e9s \u00ab propres \u00bb qui se trouvent derri\u00e8re cette m\u00eame adresse NAT. Ils commencent \u00e0 essuyer des refus lorsqu\u2019ils tentent d\u2019envoyer des e-mails, de s\u2019inscrire sur des sites, d\u2019utiliser des services CDN ou d\u2019acc\u00e9der \u00e0 des espaces de stockage en ligne. Les plaintes arrivent au support technique, tandis que la source du probl\u00e8me se situe chez un abonn\u00e9 voisin.\r\n<\/blockquote>\r\n\r\nEn cons\u00e9quence, le probl\u00e8me d\u00e9passe le cadre d\u2019un incident isol\u00e9. L\u2019op\u00e9rateur est confront\u00e9 non seulement \u00e0 un risque technique, mais aussi \u00e0 des pertes de r\u00e9putation. Les utilisateurs per\u00e7oivent les restrictions comme une panne de service et non comme les cons\u00e9quences d\u2019une infection dans le r\u00e9seau.\r\n\r\nLe diagnostic se complique \u00e9galement. Dans un environnement CG-NAT, relier une activit\u00e9 malveillante \u00e0 un abonn\u00e9 pr\u00e9cis est plus difficile, et le processus de nettoyage de la r\u00e9putation IP prend du temps et n\u00e9cessite une coordination avec des services externes.\r\n\r\nPour l\u2019op\u00e9rateur, il ne s\u2019agit plus d\u2019un probl\u00e8me de s\u00e9curit\u00e9 local, mais d\u2019un facteur affectant directement la qualit\u00e9 du service et la fid\u00e9lisation des abonn\u00e9s.\r\n\r\n<h2>Comment cela fonctionne en pratique : d\u00e9tection et mitigation du UDP flood<\/h2>\r\nVoici un exemple pratique de d\u00e9tection d\u2019activit\u00e9 de botnet et de sa neutralisation chez l\u2019un des op\u00e9rateurs clients de VAS Experts.\r\n\r\n<h3>\u00c9tape 1. D\u00e9tection de l\u2019attaque via QoE Analytics<\/h3>\r\nDans le module QoE Analytics, dans la section QoE Analytics \u2192 DDoS Attacks \u2192 Top Attacks, les statistiques des derni\u00e8res 24 heures ont \u00e9t\u00e9 export\u00e9es. Le tri a \u00e9t\u00e9 configur\u00e9 par la colonne Sessions par ordre d\u00e9croissant afin d\u2019identifier imm\u00e9diatement les directions g\u00e9n\u00e9rant le plus de sessions.\r\n\r\nEn situation normale, le haut de la liste est assez uniforme : les valeurs peuvent diff\u00e9rer, mais sans pics marqu\u00e9s. Dans ce cas, cependant, le sommet de la liste r\u00e9v\u00e9lait une activit\u00e9 anormale sur une adresse interne \u2014 10.248.90.181 \u2014 avec un nombre de sessions radicalement sup\u00e9rieur \u00e0 la norme.\r\n\r\n<h3>\u00c9tape 2. Analyse du trafic et signature de l\u2019attaque<\/h3>\r\nLa navigation vers QoE Analytics \u2192 DDoS Attacks Log a permis d\u2019examiner pr\u00e9cis\u00e9ment ce qui composait cette charge. La p\u00e9riode a \u00e9t\u00e9 maintenue \u00e0 Last 24 Hours, un filtre a \u00e9t\u00e9 ajout\u00e9 pour Target IP address = 10.248.90.181, et le tri par Sessions a de nouveau \u00e9t\u00e9 appliqu\u00e9.\r\n\r\n<noscript><img decoding=\"async\" src=\"\/wp-content\/uploads\/2026\/05\/botnet-sessions.png\" alt=\"Botnet sessions\" width=\"100%\" height=\"auto\" class=\"alignnone size-full wp-image-14250\" srcset=\"\/wp-content\/uploads\/2026\/05\/botnet-sessions.png 1693w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-300x159.png 300w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-1024x542.png 1024w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-768x406.png 768w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-1536x813.png 1536w\" sizes=\"(max-width: 1693px) 100vw, 1693px\"><\/noscript><img decoding=\"async\" src=\"\/wp-content\/uploads\/2026\/05\/botnet-sessions.png\" alt=\"Botnet sessions\" width=\"100%\" height=\"auto\" class=\"alignnone size-full wp-image-14250 lazyload\" sizes=\"(max-width: 1693px) 100vw, 1693px\" data-src=\"\/wp-content\/uploads\/2026\/05\/botnet-sessions.png\" data-srcset=\"\/wp-content\/uploads\/2026\/05\/botnet-sessions.png 1693w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-300x159.png 300w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-1024x542.png 1024w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-768x406.png 768w, \/wp-content\/uploads\/2026\/05\/botnet-sessions-1536x813.png 1536w\">\r\n\r\nLe filtrage du journal par l\u2019adresse IP cible 10.248.90.181 a r\u00e9v\u00e9l\u00e9 un tableau caract\u00e9ristique :\r\n\r\n<table>\r\n<tbody>\r\n<tr>\r\n<td><strong>Protocole<\/strong><br>~99 % du trafic \u2014 UDP (Net protocol: 17)<\/td>\r\n<td><strong>Sessions par enregistrement<\/strong><br>~12 000\u201313 000 par entr\u00e9e de journal<\/td>\r\n<td><strong>Paquets par flux<\/strong><br>M\u00e9diane 2\u20134 paquets (flux tr\u00e8s courts)<\/td>\r\n<\/tr>\r\n<tr>\r\n<td><strong>Port de destination<\/strong><br>Presque tout le trafic visant le port 41880<\/td>\r\n<td><strong>Ports de l\u2019attaquant<\/strong><br>Grande dispersion \u2014 typique d\u2019un botnet<\/td>\r\n<td><strong>Conclusion<\/strong><br>UDP Flood \u2014 attaque DDoS volum\u00e9trique depuis un botnet<\/td>\r\n<\/tr>\r\n<\/tbody>\r\n<\/table>\r\n\r\nLa quasi-totalit\u00e9 du trafic s\u2019est r\u00e9v\u00e9l\u00e9e \u00eatre de l\u2019UDP (Net protocol: 17). Le TCP \u00e9tait pratiquement absent, ce qui permet d\u2019\u00e9carter d\u2019embl\u00e9e l\u2019hypoth\u00e8se d\u2019une activit\u00e9 utilisateur ordinaire \u2014 navigation web, streaming, messagerie.\r\n\r\nEn examinant la structure des enregistrements : le journal contenait de nombreuses lignes, chacune d\u00e9crivant un flux court avec un tr\u00e8s grand nombre de sessions \u2014 environ 12 000\u201313 000 sessions par entr\u00e9e, mais seulement 2 \u00e0 4 paquets par flux.\r\n\r\nUn grand nombre d\u2019enregistrements (des dizaines de milliers) avec un faible nombre de paquets par flux et un nombre de sessions consid\u00e9rable est la signature classique d\u2019un botnet g\u00e9n\u00e9rant des sessions UDP courtes.\r\n\r\nEn analysant la destination du trafic : le rapport affichait un grand nombre de ports dans la colonne Event Object, tandis que presque toutes les entr\u00e9es pointaient vers le m\u00eame port de destination \u2014 41880. La charge n\u2019\u00e9tait donc pas al\u00e9atoire, mais dirig\u00e9e vers un point pr\u00e9cis. La dispersion des ports c\u00f4t\u00e9 source exclut une origine unique et confirme la participation coordonn\u00e9e de nombreux appareils infect\u00e9s.\r\n\r\n<noscript><img decoding=\"async\" src=\"\/wp-content\/uploads\/2026\/05\/botnet-ports.png\" alt=\"Botnet ports\" width=\"100%\" height=\"auto\" class=\"alignnone size-full wp-image-14252\" srcset=\"\/wp-content\/uploads\/2026\/05\/botnet-ports.png 1916w, \/wp-content\/uploads\/2026\/05\/botnet-ports-300x146.png 300w, \/wp-content\/uploads\/2026\/05\/botnet-ports-1024x499.png 1024w, \/wp-content\/uploads\/2026\/05\/botnet-ports-768x374.png 768w, \/wp-content\/uploads\/2026\/05\/botnet-ports-1536x748.png 1536w\" sizes=\"(max-width: 1916px) 100vw, 1916px\"><\/noscript><img decoding=\"async\" src=\"\/wp-content\/uploads\/2026\/05\/botnet-ports.png\" alt=\"Botnet ports\" width=\"100%\" height=\"auto\" class=\"alignnone size-full wp-image-14252 lazyload\" sizes=\"(max-width: 1916px) 100vw, 1916px\" data-src=\"\/wp-content\/uploads\/2026\/05\/botnet-ports.png\" data-srcset=\"\/wp-content\/uploads\/2026\/05\/botnet-ports.png 1916w, \/wp-content\/uploads\/2026\/05\/botnet-ports-300x146.png 300w, \/wp-content\/uploads\/2026\/05\/botnet-ports-1024x499.png 1024w, \/wp-content\/uploads\/2026\/05\/botnet-ports-768x374.png 768w, \/wp-content\/uploads\/2026\/05\/botnet-ports-1536x748.png 1536w\">\r\n\r\nUn tableau classique d\u2019UDP Flood, distribu\u00e9 sur de nombreuses sources.\r\n\r\n<h3>\u00c9tape 3. Mitigation automatis\u00e9e<\/h3>\r\nLe processus de neutralisation est d\u00e9clench\u00e9 automatiquement selon la cha\u00eene suivante :\r\n<ol>\r\n  <li><strong>D\u00e9tecteur QoE.<\/strong> D\u00e9tection d\u2019anomalie par nombre de sessions.<\/li>\r\n  <li><strong>Liste des IP attaquantes.<\/strong> Formation du conteneur Attacks.<\/li>\r\n  <li><strong>Interface graphique \/ script.<\/strong> Attribution du profil UDP UNKNOWN DROP.<\/li>\r\n  <li><strong>D\u00e9ploiement sur le DPI.<\/strong> Application du blocage sur les n\u0153uds du r\u00e9seau.<\/li>\r\n  <li><strong>Lev\u00e9e du blocage.<\/strong> Une fois par jour en l\u2019absence d\u2019attaques.<\/li>\r\n<\/ol>\r\nL\u2019ensemble du cycle \u2014 de l\u2019insertion du dump \u00e0 l\u2019application du profil sur le DPI \u2014 prend quelques minutes. Lors de la d\u00e9tection d\u2019une attaque, le profil UDP UNKNOWN \u2013 DROP est appliqu\u00e9 sur le DPI pour les abonn\u00e9s figurant dans le conteneur. Tout le trafic UDP classifi\u00e9 comme UNKNOWN est bloqu\u00e9.\r\n\r\nLe conteneur est r\u00e9examin\u00e9 une fois par jour. Si aucune activit\u00e9 r\u00e9p\u00e9t\u00e9e n\u2019a \u00e9t\u00e9 constat\u00e9e pendant ce d\u00e9lai, l\u2019IP est automatiquement exclue et le blocage est lev\u00e9 automatiquement.\r\n\r\nPour la surveillance en temps r\u00e9el, des notifications vers un canal Telegram sont configur\u00e9es \u00e0 chaque modification du conteneur d\u2019attaques :\r\n<ul>\r\n  <li>IP ajout\u00e9e \u2192 instantan\u00e9ment lors de la d\u00e9tection.<\/li>\r\n  <li>IP supprim\u00e9e \u2192 une fois par jour \u00e0 minuit.<\/li>\r\n<\/ul>\r\nUn ing\u00e9nieur peut v\u00e9rifier \u00e0 tout moment l\u2019\u00e9tat actuel des conteneurs et des blocages dans le CLI.\r\n\r\n<h2>Stingray AntiDDoS \u2014 protection du r\u00e9seau de l\u2019op\u00e9rateur contre les DDoS et les botnets<\/h2>\r\nLa plateforme <a href=\"\/fr\/products\/antiddos\/\">Stingray AntiDDoS<\/a> d\u00e9tecte et bloque les attaques en temps r\u00e9el. Le module QoE Analytics collecte des donn\u00e9es IPFIX Fullflow depuis le StingrayDPI, construit un profil de r\u00e9f\u00e9rence du trafic normal et, gr\u00e2ce \u00e0 des algorithmes de r\u00e9seaux de neurones, identifie les anomalies \u2014 notamment les activit\u00e9s de botnet, les UDP Flood et les SYN Flood.\r\n\r\nLors de la d\u00e9tection d\u2019une attaque, le syst\u00e8me automatiquement :\r\n<ul>\r\n  <li>constitue une liste des IP attaquantes,<\/li>\r\n  <li>applique un profil de blocage sur le DPI,<\/li>\r\n  <li>supprime les restrictions apr\u00e8s normalisation du trafic.<\/li>\r\n<\/ul>\r\n[product id=\u00a0\u00bb13414\u2033 type=\u00a0\u00bbdark\u00a0\u00bb]\r\n\r\n<h2>Pourquoi l\u2019op\u00e9rateur est tenu de lutter contre les botnets dans son r\u00e9seau<\/h2>\r\nPremi\u00e8rement, le trafic de botnet \u00e9puise directement la ressource NAT. Un seul abonn\u00e9 infect\u00e9 peut occuper les ports pr\u00e9vus pour des dizaines d\u2019autres utilisateurs. Deuxi\u00e8mement, les adresses IP publiques de l\u2019op\u00e9rateur se retrouvent sur des listes de blocage internationales, et les restrictions commencent \u00e0 affecter tous les clients derri\u00e8re cette adresse, pas seulement la source du probl\u00e8me. Troisi\u00e8mement, les appareils dot\u00e9s de firmware obsol\u00e8te sont r\u00e9infect\u00e9s si aucune mesure centralis\u00e9e n\u2019est prise.\r\n\r\nDans ces conditions, l\u2019automatisation devient obligatoire. La r\u00e9ponse manuelle prend des heures et ne passe pas \u00e0 l\u2019\u00e9chelle. Les sc\u00e9narios automatis\u00e9s bas\u00e9s sur le QoE et le DPI permettent de d\u00e9tecter les anomalies et de restreindre l\u2019activit\u00e9 malveillante en quelques minutes, sans n\u00e9cessiter l\u2019intervention des ing\u00e9nieurs \u00e0 chaque incident.","protected":false},"excerpt":{"rendered":"<p>Les appareils infect\u00e9s des abonn\u00e9s ne constituent pas seulement un probl\u00e8me personnel. \u00c0 l&rsquo;int\u00e9rieur du r\u00e9seau d&rsquo;un op\u00e9rateur, ce trafic commence \u00e0 concurrencer les ressources partag\u00e9es. Les pools NAT s&rsquo;\u00e9puisent les premiers. Les plaintes concernant des connexions instables et des pannes de services suivent rapidement. Un seul segment infect\u00e9 peut entra\u00eener dans sa chute des dizaines d&rsquo;utilisateurs \u00ab propres \u00bb.<\/p>\n","protected":false},"author":7,"featured_media":14247,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[110],"tags":[],"class_list":["post-14246","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v23.1 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>(English) VASExperts<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/\",\"url\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/\",\"name\":\"[:en]Neutralizing a Botnet in an Operator Network \u2014 VAS Experts[:es]Neutralizaci\u00f3n de una botnet en la red de un operador \u2014 VAS Experts[:fr]Neutraliser un botnet dans le r\u00e9seau d'un op\u00e9rateur \u2014 VAS Experts[:br]Neutralizando uma botnet na rede de uma operadora \u2014 VAS Experts\",\"isPartOf\":{\"@id\":\"https:\/\/vasexperts.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#primaryimage\"},\"thumbnailUrl\":\"\/wp-content\/uploads\/2026\/05\/neutralize_botnet.jpg\",\"datePublished\":\"2026-05-07T14:35:12+00:00\",\"dateModified\":\"2026-05-07T15:10:10+00:00\",\"author\":{\"@id\":\"https:\/\/vasexperts.com\/#\/schema\/person\/f4edcaef26fe49b6b59baf8ac5b62170\"},\"description\":\"[:en]Why a botnet is dangerous not only for infected subscribers but for the entire operator network. We analyze the impact on CG-NAT, port exhaustion, IP blacklisting, and show a real UDP flood detection and mitigation case using Stingray DPI[:es]Por qu\u00e9 una botnet es peligrosa no solo para los suscriptores infectados, sino para toda la red del operador. Analizamos el impacto en CG-NAT, el agotamiento de puertos, la inclusi\u00f3n de IPs en listas negras y presentamos un caso real de detecci\u00f3n y mitigaci\u00f3n de UDP flood con Stingray DPI[:fr]Pourquoi un botnet est dangereux non seulement pour les abonn\u00e9s infect\u00e9s, mais pour l'ensemble du r\u00e9seau de l'op\u00e9rateur. Analyse de l'impact sur le CG-NAT, l'\u00e9puisement des ports, le r\u00e9f\u00e9rencement des IP dans les listes noires, et \u00e9tude de cas r\u00e9elle de d\u00e9tection et mitigation d'un UDP flood via Stingray DPI[:br]Por que uma botnet \u00e9 perigosa n\u00e3o apenas para os assinantes infectados, mas para toda a rede da operadora. Analisamos o impacto no CG-NAT, o esgotamento de portas, a inser\u00e7\u00e3o de IPs em listas negras e apresentamos um caso real de detec\u00e7\u00e3o e mitiga\u00e7\u00e3o de UDP flood com Stingray DPI.\",\"breadcrumb\":{\"@id\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#primaryimage\",\"url\":\"\/wp-content\/uploads\/2026\/05\/neutralize_botnet.jpg\",\"contentUrl\":\"\/wp-content\/uploads\/2026\/05\/neutralize_botnet.jpg\",\"width\":1280,\"height\":720,\"caption\":\"neutralize botnet\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"\u0413\u043b\u0430\u0432\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430\",\"item\":\"https:\/\/vasexperts.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Neutralizing a Botnet in an Operator Network\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/vasexperts.com\/#website\",\"url\":\"https:\/\/vasexperts.com\/\",\"name\":\"ITGLOBAL.COM\",\"description\":\"(English) VASExperts\",\"inLanguage\":\"fr-FR\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/vasexperts.com\/#\/schema\/person\/f4edcaef26fe49b6b59baf8ac5b62170\",\"name\":\"Elena Rudich\",\"url\":\"https:\/\/vasexperts.com\/fr\/blog\/author\/elena-rudich\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"(English) VASExperts","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/","url":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/","name":"[:en]Neutralizing a Botnet in an Operator Network \u2014 VAS Experts[:es]Neutralizaci\u00f3n de una botnet en la red de un operador \u2014 VAS Experts[:fr]Neutraliser un botnet dans le r\u00e9seau d'un op\u00e9rateur \u2014 VAS Experts[:br]Neutralizando uma botnet na rede de uma operadora \u2014 VAS Experts","isPartOf":{"@id":"https:\/\/vasexperts.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#primaryimage"},"image":{"@id":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#primaryimage"},"thumbnailUrl":"\/wp-content\/uploads\/2026\/05\/neutralize_botnet.jpg","datePublished":"2026-05-07T14:35:12+00:00","dateModified":"2026-05-07T15:10:10+00:00","author":{"@id":"https:\/\/vasexperts.com\/#\/schema\/person\/f4edcaef26fe49b6b59baf8ac5b62170"},"description":"[:en]Why a botnet is dangerous not only for infected subscribers but for the entire operator network. We analyze the impact on CG-NAT, port exhaustion, IP blacklisting, and show a real UDP flood detection and mitigation case using Stingray DPI[:es]Por qu\u00e9 una botnet es peligrosa no solo para los suscriptores infectados, sino para toda la red del operador. Analizamos el impacto en CG-NAT, el agotamiento de puertos, la inclusi\u00f3n de IPs en listas negras y presentamos un caso real de detecci\u00f3n y mitigaci\u00f3n de UDP flood con Stingray DPI[:fr]Pourquoi un botnet est dangereux non seulement pour les abonn\u00e9s infect\u00e9s, mais pour l'ensemble du r\u00e9seau de l'op\u00e9rateur. Analyse de l'impact sur le CG-NAT, l'\u00e9puisement des ports, le r\u00e9f\u00e9rencement des IP dans les listes noires, et \u00e9tude de cas r\u00e9elle de d\u00e9tection et mitigation d'un UDP flood via Stingray DPI[:br]Por que uma botnet \u00e9 perigosa n\u00e3o apenas para os assinantes infectados, mas para toda a rede da operadora. Analisamos o impacto no CG-NAT, o esgotamento de portas, a inser\u00e7\u00e3o de IPs em listas negras e apresentamos um caso real de detec\u00e7\u00e3o e mitiga\u00e7\u00e3o de UDP flood com Stingray DPI.","breadcrumb":{"@id":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#primaryimage","url":"\/wp-content\/uploads\/2026\/05\/neutralize_botnet.jpg","contentUrl":"\/wp-content\/uploads\/2026\/05\/neutralize_botnet.jpg","width":1280,"height":720,"caption":"neutralize botnet"},{"@type":"BreadcrumbList","@id":"https:\/\/vasexperts.com\/blog\/security\/neutralizing-a-botnet-in-an-operator-network\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"\u0413\u043b\u0430\u0432\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430","item":"https:\/\/vasexperts.com\/"},{"@type":"ListItem","position":2,"name":"Neutralizing a Botnet in an Operator Network"}]},{"@type":"WebSite","@id":"https:\/\/vasexperts.com\/#website","url":"https:\/\/vasexperts.com\/","name":"ITGLOBAL.COM","description":"(English) VASExperts","inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/vasexperts.com\/#\/schema\/person\/f4edcaef26fe49b6b59baf8ac5b62170","name":"Elena Rudich","url":"https:\/\/vasexperts.com\/fr\/blog\/author\/elena-rudich\/"}]}},"_links":{"self":[{"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/posts\/14246"}],"collection":[{"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/comments?post=14246"}],"version-history":[{"count":6,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/posts\/14246\/revisions"}],"predecessor-version":[{"id":14256,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/posts\/14246\/revisions\/14256"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/media\/14247"}],"wp:attachment":[{"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/media?parent=14246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/categories?post=14246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vasexperts.com\/fr\/wp-json\/wp\/v2\/tags?post=14246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}