Accueil/Solutions/Protection DDoS
OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

Détectez et stoppez les attaques DDoS en moins de 2 s, sur votre réseau.

OcNOS avec FastNetMon offre une détection et mitigation DDoS automatisées directement à l'edge du réseau — sans centre de scrubbing, sans déviation cloud, sans latence ajoutée. Les attaques sont détectées via la télémétrie sFlow/NetFlow et mitigées au débit du lien dans le matériel ASIC.

Réserver une démo DDoS Voir le matériel
Pourquoi atténuation DDoS dans le réseau ?

Les centres de scrubbing ajoutent latence et coût. Le Flowspec matériel n'en ajoute aucun.

La protection DDoS traditionnelle redirige tout le trafic via un centre de scrubbing hors chemin — ajoutant 10 à 50 ms de latence par paquet, même en fonctionnement normal, ainsi qu'un coût par Gbps pour la capacité de scrubbing. Ce modèle se justifiait quand les attaques étaient rares et la détection lente.

Les attaques d'aujourd'hui sont plus rapides, plus larges et plus fréquentes. OcNOS avec FastNetMon place la logique de détection et de mitigation directement à la bordure du réseau : La télémétrie sFlow/NetFlow circule en continu d'OcNOS vers FastNetMon ; lorsqu'une attaque est détectée, FastNetMon pousse des règles BGP Flowspec vers OcNOS ; OcNOS installe les règles dans le matériel ASIC au débit de ligne. La boucle complète s'effectue en moins de 2 secondes — et aucune latence supplémentaire n'est ajoutée au trafic légitime.

Types d'attaques détectées et atténuées :

Amplification UDP SYN Flood TCP RST Flood ICMP Flood Flood de requêtes DNS Amplification NTP Réflexion Memcached Saturation de bande passante volumétrique Attaque par paquets fragmentés

Intégration FastNetMon — Moteur de détection DDoS production

FastNetMon Advanced est un système de détection DDoS de niveau production utilisé par des centaines d'ISP et hébergeurs dans le monde. Il consomme les données sFlow, NetFlow v5/v9, IPFIX et le trafic port-mirror depuis OcNOS, et déclenche des actions de mitigation automatiques avec des seuils configurables par hôte et par sous-réseau.

BGP Flowspec (RFC 5575) — Filtrage chirurgical du trafic

Faites correspondre et filtrez le trafic d'attaque par IP source/destination, protocole, port, longueur de paquet, flags TCP, DSCP et type de fragment. Les règles sont poussées via BGP et installées en quelques millisecondes dans les ASIC matériels — filtrage au débit du lien sans surcharge CPU. Drop, rate-limit ou redirection du trafic correspondant.

RTBH Blackholing — Protection rapide en force

Blackholing basé sur BGP pour les attaques volumétriques importantes. Déclenché par le client ou automatiquement via FastNetMon lorsque le trafic vers un préfixe dépasse un seuil. Les routes RTBH se propagent aux peers en amont et aux opérateurs de transit — stoppant le trafic d'attaque avant qu'il n'entre dans votre réseau.

Télémétrie sFlow & NetFlow — Visibilité continue du trafic

OcNOS exporte sFlow (RFC 3176), NetFlow v5/v9 et IPFIX depuis toutes les interfaces edge — échantillonnage accéléré matériellement avec taux configurable. Alimente FastNetMon pour la détection DDoS, et simultanément Kentik, PRTG, Prometheus ou tout autre collecteur de flux pour l'analyse trafic.

Filtrage ACL matériel — Statique, blocage sans CPU

Listes de contrôle d'accès accélérées par ASIC pour bloquer en permanence les acteurs malveillants connus — IPs spécifiques, sous-réseaux, protocoles ou ports. Rate limiting par interface, par VLAN ou par préfixe. Configuré une fois, appliqué en hardware en permanence sans surcharge de routage ou de traitement.

FastNetMon → OcNOS — réponse automatisée ALERTE
1 — FastNetMon détecte l'anomalie via sFlow
ALERTE UDP flood → 203.0.113.50
14 Gbps — seuil de 5 Gbps dépassé
2 — FastNetMon pousse BGP Flowspec vers OcNOS
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action : rate-limit 100Mbps
→ règle installée dans l'ASIC : 0,8 s
3 — OcNOS applique au débit ligne dans le matériel
Règles Flowspec actives 14
Rejeté (attaque) 2.4M pps
Limité en débit 180K pps
✓ trafic légitime passe normalement

FastNetMon — le moteur de détection

FastNetMon Advanced est un moteur de détection DDoS dédié, utilisé par des centaines d'ISP dans le monde. Il s'intègre nativement à OcNOS via BGP Flowspec et RTBH. Prend en charge sFlow, NetFlow et IPFIX avec des seuils configurables par hôte, par sous-réseau et par protocole.

En savoir plus sur FastNetMon →
<2s
Boucle détection-mitigation — de l'anomalie sFlow à la règle Flowspec dans le matériel
0ms
Aucune latence ajoutée au trafic légitime — le filtrage est in-line dans l'ASIC, pas dans un scrubber hors trajet
0%
Surcharge CPU pour l'application des ACL matérielles et de Flowspec — accéléré par ASIC
600+Déploiements opérateurs
60+Pays
26Années dans le réseau
Architecture de référence

In-network DDoS detection and mitigation — full topology

A complete picture of where each protection layer sits. Attack traffic from the internet hits the OcNOS edge routers, where sFlow telemetry continuously feeds FastNetMon. When FastNetMon detects an anomaly, it pushes BGP Flowspec or RTBH back to the edge — installed in ASIC hardware in milliseconds. Upstream peers can also receive RTBH announcements to drop attack traffic before it reaches your network.

In-network DDoS protection topology with OcNOS edge and FastNetMon Attack traffic from botnet sources transits an upstream peer to two OcNOS-SP edge routers. The edge routers export sFlow and NetFlow telemetry to a FastNetMon detection engine. When an attack is detected, FastNetMon pushes BGP Flowspec or RTBH routes back to the edge routers via BGP, installing rules in the ASIC for line-rate filtering. Clean traffic continues to the protected customer or data center network. The upstream peer can also receive RTBH announcements over BGP to drop attack traffic before it ingresses the protected network. Attackers distributed botnet 10–100 Gbps Customers legitimate traffic HTTP/DNS/SSH Transit Peer eBGP / RTBH recv Tier-1 Internet RTBH /32 drops OcNOS Edge-01 UfiSpace S9600-72XC Qumran-AX · 4.8 Tbps ASIC HARDWARE Flowspec + ACL drop line-rate · 0% CPU OcNOS Edge-02 UfiSpace S9600-72XC ECMP redundant ASIC Flowspec + ACL attack + clean FastNetMon Detection Engine sFlow + NetFlow analysis < 1s threshold detect sFlow ↑ BGP Flowspec ↓ + RTBH RTBH propagated upstream over eBGP → Protected Servers DC / hosted infra clean traffic only · 0ms added Customer Networks per-tenant policy managed DDoS service clean ✓ attack drop DETECT-TO-MITIGATE LOOP 1. Anomaly detected FastNetMon: <1s 2. BGP Flowspec push FNM → OcNOS: ~200ms 3. ASIC rule installed OcNOS hardware: ~800ms 4. Attack dropped at line rate total loop: <2s · 0ms clean-traffic latency
Attack traffic
Clean traffic
sFlow / NetFlow telemetry
BGP Flowspec / RTBH (control plane)
↳ hover any node for platform, ASIC, BGP, and policy detail
Comment ça marche

De la détection d'attaque au blocage du trafic — quatre étapes

L'ensemble de la boucle détection-mitigation est automatisé. Une fois configuré, aucune intervention humaine n'est nécessaire pour stopper une attaque.

1

Collecter

OcNOS exporte la télémétrie sFlow et NetFlow depuis toutes les interfaces edge vers FastNetMon. Échantillonnage de paquets accéléré matériellement — aucune surcharge CPU, aucun impact sur les performances de forwarding.

2

Détecter

FastNetMon analyse les données de flux par rapport à des seuils par hôte et par sous-réseau. Il identifie les floods volumétriques, SYN storms, amplification UDP, floods DNS et attaques par réflexion NTP — généralement en moins d'une seconde.

3

Signal

FastNetMon pousse automatiquement à OcNOS via BGP des règles BGP Flowspec (mitigation chirurgicale) ou des routes RTBH blackhole (attaques volumétriques). Entièrement automatisé — aucune action opérateur requise pendant l'attaque.

4

Atténuer

OcNOS installe les règles Flowspec ou les routes RTBH directement dans le matériel ASIC. Le trafic d'attaque est rejeté ou limité en débit au débit de ligne complet. Le trafic légitime poursuit sans impact. Les règles sont retirées automatiquement lorsque l'attaque s'atténue.

Cas d'usage

Où s'inscrit la protection DDoS avec OcNOS

La protection DDoS OcNOS fonctionne pour tout opérateur déployant du matériel ouvert en bordure de réseau — du petit ISP au grand opérateur de data center.

🌐

Protection edge ISP & SP

Protégez les edges de peering et les liens transit des DDoS volumétriques qui saturent la bande passante client. La détection sFlow sur le routeur de peering avec mitigation BGP Flowspec automatique stoppe les floods avant qu'ils n'atteignent les clients downstream. La coordination RTBH upstream avec les opérateurs de transit stoppe les attaques avant qu'elles n'entrent dans votre réseau.

🏢

Périmètre du data center

Filtrage DDoS in-line en bordure DC — protection des infrastructures hébergées et des charges cloud. Les ACL statiques en hardware bloquent en permanence les acteurs malveillants connus. Les règles Flowspec dynamiques s'adaptent aux nouvelles signatures d'attaque en temps réel. Pas de déviation du trafic vers un centre de scrubbing — zéro impact latence pour le trafic légitime.

🛡️

Service géré de protection DDoS

Les opérateurs peuvent offrir une protection DDoS par client en service managé, facturée par préfixe protégé. FastNetMon prend en charge les profils de seuils par client. OcNOS applique les règles Flowspec par client. Pas d'infrastructure de scrubbing partagée — la protection de chaque client est dédiée et in-network.

Questions fréquentes

Protection DDoS avec OcNOS — FAQ

Qu'est-ce que BGP Flowspec et comment OcNOS l'utilise-t-il pour la mitigation DDoS ?
BGP Flowspec (RFC 5575) is a BGP extension that distributes granular traffic filtering rules across routers — similar to pushing ACLs via BGP, but with more granular match conditions. OcNOS supports Flowspec matching by source IP, destination IP, protocol, source/destination port, packet length, TCP flags, DSCP, and IP fragment type. When FastNetMon detects an attack, it pushes Flowspec rules to OcNOS via BGP in milliseconds. OcNOS installs these rules directly in the ASIC hardware, where they drop or rate-limit matching traffic at full line rate — with zero CPU overhead.
Comment FastNetMon s'intègre-t-il à OcNOS, et quelle est la vitesse de réponse ?
FastNetMon receives sFlow, NetFlow v5/v9, or IPFIX telemetry from OcNOS interfaces and continuously analyzes traffic against configurable per-host and per-subnet thresholds. When an anomaly exceeds the threshold — for example, a UDP flood exceeding 5 Gbps to a single destination — FastNetMon automatically triggers either a BGP Flowspec rule (for surgical, protocol-specific mitigation) or an RTBH blackhole route (for full prefix blackholing) via BGP to OcNOS. The detect-to-mitigate loop is automated and typically completes in under 2 seconds.
Quels types d'attaques DDoS cette solution détecte-t-elle et atténue-t-elle ?
FastNetMon with OcNOS detects and mitigates the most common DDoS attack types: volumetric floods (UDP amplification, ICMP flood, raw bandwidth saturation), protocol attacks (SYN flood, TCP RST flood, fragmented packet attacks), and application-layer attacks detectable by flow analysis (DNS query floods, NTP amplification, Memcached amplification). BGP Flowspec can match on protocol, port, TCP flags, and fragment type for precise surgical mitigation. For volumetric attacks where precision is less important than speed, RTBH blackholing drops all traffic to the targeted prefix at the network edge.
OcNOS peut-il assurer l'atténuation DDoS sans FastNetMon ?
Yes. OcNOS provides three independent DDoS mitigation mechanisms that work without FastNetMon: static hardware ACLs (ASIC-accelerated, zero CPU overhead) for permanent blocking of known bad actors; manual RTBH blackholing via BGP for operator-triggered prefix blackholing; and reception of BGP Flowspec rules from any standard BGP speaker. Operators with existing detection platforms — Arbor/Netscout, A10 Networks, Cloudflare Magic Transit, or Kentik — can use OcNOS as the enforcement plane, receiving Flowspec or RTBH commands from their existing detection system.
Qu'est-ce que le blackholing RTBH et quand l'utiliser au lieu de Flowspec ?
RTBH (Remotely Triggered Black Hole) blackholing works by advertising the targeted destination prefix via BGP with a next-hop pointing to a discard interface. All upstream routers that receive the RTBH advertisement will drop all traffic destined for that prefix at their edge — stopping attack traffic before it enters your network. RTBH is the right choice for high-volume volumetric attacks where stopping all traffic to a destination (including legitimate traffic) is acceptable to protect the rest of the network. BGP Flowspec is preferable when you need surgical mitigation — for example, blocking only UDP port 53 to a destination while allowing TCP traffic through. In practice, operators often start with RTBH for speed and switch to Flowspec for precision once the attack is characterized.
La mitigation DDoS dans le réseau avec OcNOS remplace-t-elle un scrubbing center ?
In-network mitigation complements or partially replaces scrubbing centers depending on the attack type and scale. For volumetric attacks targeting your own prefixes, OcNOS with FastNetMon provides faster response (sub-2-second) at lower cost than routing traffic through a scrubbing center — because the filtering happens in-line at the network edge in hardware ASICs. For very large attacks that saturate upstream links before reaching your routers, upstream RTBH with your transit providers combined with in-network Flowspec is the most effective approach. Managed DDoS service providers can also use OcNOS as the per-customer enforcement plane for per-customer Flowspec rules and thresholds.
Plongée approfondie

Documentation et guides de déploiement.

Brief technique et guide de déploiement de la protection DDoS automatisée sur OcNOS avec FastNetMon.

Brief solution · PDF

Défense DDoS automatisée et abordable

OcNOS + FastNetMon : de la détection à la mitigation en quelques secondes via Flowspec et RTBH — la même architecture qu'utilisent les Tier-1, à une fraction du coût.

Télécharger → Application Note · PDF · Gated

Déploiement automatisé de mitigation DDoS

Configuration pas-à-pas de BGP Flowspec et RTBH sur OcNOS avec intégration FastNetMon — référence prête à être déployée.

Télécharger →
Se protéger

Protégez votre réseau sur du matériel ouvert.

Échangez avec nos spécialistes sécurité et réseau. Nous parcourrons votre topologie, votre modèle de menace et la bonne configuration Flowspec et RTBH pour votre environnement.

Réserver une démo DDoS Télécharger la VM OcNOS