Mitigation DDoS.
Les défenses d'edge qui empêchent les attaques volumétriques d'atteindre votre VPS. Toujours actives. Incluses. Jamais en upsell.
L'ensemble des mesures techniques — rate-limiting d'edge, centres de scrubbing, déroutement anycast, classification comportementale du trafic — qui empêchent une attaque par déni de service distribué de saturer la bande passante ou le compute du serveur cible. Sur NordBastion, la mitigation est always-on à l'edge des quatre bastions, incluse sur toutes les formules, sans opt-in ni opt-out.
La mitigation est un plancher, pas une formule premium.
Le problème structurel de la protection DDoS facturable, c'est qu'elle laisse l'attaquant fixer le prix du client. Si un Gbps de flood absorbé vous coûte de l'argent, alors un attaquant capable de jeter quelques centaines de Gbps sur votre IP peut vous forcer hors de la plateforme par l'économie seule — sans jamais violer quoi que ce soit. NordBastion traite cela comme un coût au niveau plateforme et l'amortit à travers le catalogue : chaque VPS et chaque formule dédiée livre la même mitigation volumétrique et L7 always-on, et le trafic d'attaque absorbé n'est jamais facturé.
Mécaniquement, les quatre bastions peerent chacun à 1,6–2,4 Tbps d'entrée agrégée avec scrubbing always-on proche du handoff opérateur. Les floods volumétriques (amplification UDP, SYN floods, IP fragmentés) sont droppés au routeur d'edge ; les tempêtes couche 7 (slow-POST, floods HTTP GET avec user-agents rotatifs) sont classées comportementalement avant d'atteindre votre formule. Le plan de contrôle est anycast à travers les quatre sites, donc une attaque assez grande pour menacer un bastion est automatiquement déroutée à travers les autres.
Ce que la mitigation ne fait pas : elle n'inspecte pas vos charges utiles applicatives, elle ne termine pas TLS, elle ne voit pas qui est connecté à votre service. C'est un plancher couche réseau qui laisse votre application se concentrer sur les requêtes qui l'ont effectivement atteinte. Si votre charge a besoin de filtrage couche application (gardes anti-injection SQL, scoring de bots abusifs), faites tourner un WAF par-dessus — mais ne confondez pas les deux.
Suivez la mitigation à travers NordBastion.
- · /network/ — la carte de peering par bastion, la topologie de scrubbing et le diagramme de plan anycast.
- · /vps/ — chaque formule VPS (du Sentinel au Bastille) livre la mitigation always-on par défaut.
- · /dedicated/ — les formules bare-metal héritent de la même protection d'edge à des vitesses de liaison supérieures.
- · /status/ — saturation de liaison par bastion en direct et l'historique public des incidents mitigés.
- · /peering/ — la présence aux IX et le mix de transit qui déterminent le plafond volumétrique à chaque site.
- · / — la page d'accueil fait apparaître la garantie de mitigation always-on dans la bande des fonctionnalités.
Questions sur la mitigation, répondues.
Quelles tailles d'attaque l'edge gère-t-il ?
Chaque bastion peere à 1,6–2,4 Tbps de capacité d'entrée agrégée avec scrubbing volumétrique always-on, qui absorbe l'écrasante majorité des attaques du monde réel — la télémétrie publique du T4-2025 a montré que 99,4 % des événements DDoS internet étaient sous 100 Gbps. Les floods couche 7 (tempêtes HTTP GET/POST) sont classés comportementalement et droppés avant d'atteindre votre VPS. Le plafond dur par bastion est le total de peering ; les attaques véritablement d'échelle nationale (multi-Tbps) sont déroutées à travers le plan anycast à quatre bastions.
Y a-t-il des frais supplémentaires pour la protection DDoS ?
Non — et c'est délibéré. D'autres hébergeurs tarifient la protection DDoS comme option au Gbps ou comme formule enterprise séparée, ce qui signifie en effet qu'une petite cible est facturée pour être attaquée. NordBastion inclut la mitigation always-on dans chaque formule VPS du Sentinel (5,90 $/mois) au Bastille (23,90 $/mois) et dans chaque formule dédiée, sans facturation à l'usage sur le trafic d'attaque absorbé. L'économie fonctionne parce que le coût de mitigation est amorti à travers la plateforme, pas facturé par incident.
En quoi cela diffère-t-il d'un WAF style Cloudflare ?
Un WAF (Web Application Firewall) opère à la couche OSI 7 — il inspecte les requêtes HTTP pour des signatures d'attaque couche application (injection SQL, XSS, schémas de bots abusifs) et est lui-même un reverse proxy qui termine TLS. La mitigation DDoS de NordBastion opère aux couches 3–4 — elle écarte les paquets malformés, les réflexions d'amplification et les floods volumétriques à l'edge réseau avant qu'ils ne consomment votre bande passante, et elle ne termine pas TLS ni ne voit vos charges utiles applicatives. Les deux sont complémentaires ; faites tourner un WAF par-dessus si votre app en a besoin.
Et si ma charge cause elle-même le pic ?
Un événement de trafic viral légitime — un lancement, un coup de presse, une une de Hacker News — a la forme d'un rate-limit, pas d'une attaque, et le classifieur comportemental le laissera passer. Si vous saturez la liaison de votre formule avec du trafic légitime, le chemin de mise à niveau est un clic dans le panneau vers un VPS plus grand ou une formule dédiée à liaison plus grosse ; aucun ticket de support requis. L'abus sortant (votre serveur étant la source de trafic d'attaque, par ex. un brute-forcer SSH ou un relais mail ouvert) est traité séparément — voir /doctrine/ sur ce que nous hébergerons ou non.