Infrastructure
Une architecture Anti-DDoS conçue pour relivrer un trafic propre
Peeryx combine mitigation adaptative, plusieurs modèles de delivery et une lecture claire du chemin réseau pour protéger l’existant sans le transformer en boîte noire.
Mitigation adaptative basée sur le trafic réel et les contraintes de production
Intégration compatible avec BGP, GRE, IPIP, VXLAN, cross-connect et VM routeur
Relivraison du trafic propre selon la topologie, la latence cible et le niveau de contrôle souhaité
Architecture pensée pour opérateurs, hébergeurs, gaming, SaaS et services critiques
Infrastructure Peeryx
Une architecture anti-DDoS conçue pour absorber, filtrer et relivrer proprement
L’infrastructure Peeryx est construite comme une chaîne complète : exposition réseau, mitigation, décision de handoff, relivraison du trafic légitime et exploitation continue. L’objectif est de protéger l’existant avec un modèle lisible, pas d’imposer une boîte noire.
- Lecture claire du chemin du trafic du bord Internet jusqu’à la production
- Plusieurs modes de delivery selon le niveau de contrôle réseau attendu
- Positionnement cohérent pour des environnements déjà en production
- Capacité à expliquer concrètement ce que Peeryx protège et comment
Blueprint réseau Peeryx
Du trafic exposé au trafic propre
Un modèle lisible : ingress protégé, mitigation, décision de handoff puis relivraison adaptée à votre topologie.
Ingress protégé
Mitigation ciblée
Trafic propre relivré
Capter l’attaque au bon endroit
Le but est d’absorber l’attaque avant qu’elle ne dégrade la production, en plaçant la mitigation au bon niveau d’exposition réseau.
Soulagement amont quand c’est utile
Le filtrage amont peut compléter la mitigation locale lorsque le volume l’exige vraiment, sans devenir la seule réponse à chaque incident.
Remise propre vers la production
Cross-connect, tunnel ou VM routeur sont des choix d’intégration. Peeryx les traite comme des outils de design, pas comme des contraintes imposées.
Exploitation lisible pour le client
Le client doit pouvoir comprendre ce qui entre, ce qui est filtré, ce qui revient et ce qui reste sous son contrôle réseau.
Capacité de mitigation
15+ Tbps
Modes de remise
5+
Couche de protection
L3 à L7
Essai de validation
24h
Principes d’architecture
Une architecture anti-DDoS crédible se juge aussi sur son exploitation
La capacité brute compte, mais elle ne suffit pas. Une plateforme sérieuse doit aussi rendre lisibles les points d’entrée, le modèle de mitigation, le mode de relivraison et la façon dont le client continue à exploiter son réseau.
Visibilité du chemin de trafic
Le client doit comprendre où le trafic entre, où il est filtré et comment le trafic propre revient vers la production.
Soulagement amont quand c’est utile
La logique amont doit aider à gérer les volumes extrêmes sans devenir la seule réponse à toutes les attaques.
Handoff cohérent avec la topologie
Un bon design ne force pas le même schéma à tous les clients : tunnel, BGP, cross-connect, IP protégées ou modèles hybrides.
Production-first
Le rôle du service est de protéger l’existant, garder l’exploitation possible et éviter d’introduire une dépendance opaque inutile.
Chemin du trafic
De l’exposition publique au trafic propre : les étapes clés
La chaîne de mitigation Peeryx doit rester lisible pour une équipe technique : point d’entrée, observation, filtrage, handoff et retour vers la production.
1. Exposition réseau
Les préfixes sont annoncés par BGP ou les services sont exposés via IPs protégées selon la vitesse de déploiement et le niveau de contrôle souhaités.
2. Observation du trafic légitime
Le trafic utile sert de base pour comprendre les schémas normaux, limiter les faux positifs et préparer une mitigation plus propre.
3. Filtrage adaptatif
Les signatures d’attaque sont corrélées au comportement réel du service afin de bloquer l’attaque sans casser les usages légitimes.
4. Handoff et relivraison
Le trafic propre est renvoyé via cross-connect, GRE, IPIP, VXLAN ou VM routeur selon le design retenu.
5. Exploitation continue
Le modèle doit rester documentable et compréhensible : votre équipe sait ce qui est protégé, ce qui est remis et ce qui reste piloté localement.
Ingress protégé
Peeryx capte le trafic sur une couche réseau conçue pour absorber les attaques volumétriques et protocollaires sans perdre de vue le trafic légitime.
Mitigation et décision
Le filtrage combine détection, signatures ciblées et règles de remise afin de garder un service utilisable pendant l’attaque et pas seulement un lien qui reste debout.
Delivery adapté à votre topologie
Cross-connect, GRE, IPIP, VXLAN ou VM routeur : le bon mode de remise dépend de vos ports, de votre edge, de votre hébergeur et de votre latence cible.
Préservation de l’existant
L’objectif est de protéger un dédié, un cluster, un proxy ou un backbone déjà en production avant d’envisager une migration plus large.
Architecture Anti-DDoS
Ce qu’une architecture Anti-DDoS crédible doit contrôler
Une infrastructure Anti-DDoS sérieuse ne se limite pas à des chiffres de capacité. Elle doit maîtriser l’ingress, la décision de filtrage, l’observabilité et la relivraison du trafic propre jusqu’à la couche utile.
Capacité d’ingress et marge réelle
Le design doit absorber les attaques volumétriques tout en gardant une marge opérationnelle pour la signalisation, le retour de trafic et la stabilité globale.
Hot path de filtrage lisible
La logique de mitigation doit rester efficace, prévisible et compatible avec des politiques de filtrage avancées, sans transformer l’exploitation en boîte noire.
Observabilité après la décision
Une bonne architecture distingue le chemin critique de drop et la visibilité nécessaire pour comprendre les attaques, ajuster les règles et préparer l’escalade amont.
Chemin propre jusqu’au service
Le trafic légitime doit revenir vers la bonne couche : serveur, proxy, cluster ou backbone, avec un handoff cohérent pour la production réelle.
Ce que Peeryx cherche à préserver en production
Ce que Peeryx cherche à préserver en production
Peeryx combine mitigation adaptative, plusieurs modèles de delivery et une lecture claire du chemin réseau pour protéger l’existant sans le transformer en boîte noire.
- Une lecture claire du chemin réseau entre l’ingress, la mitigation et la relivraison
- Une latence stable et un handoff cohérent avec le service réellement exposé
- Une séparation saine entre protection amont, logique custom et couche applicative
- Une trajectoire d’escalade amont quand le volume justifie du dégrossissage supplémentaire
Blog
Guides techniques et notes d’architecture
Des contenus pensés pour des acheteurs techniques : modèles de delivery, protection d’infrastructures déjà en production, latence, routage asymétrique et critères de choix avant achat.
Comment mitiger une attaque DDoS de plus de 100Gbps ?
Lien, PPS, CPU, pré-filtrage amont et retour propre : le vrai cadre d’une mitigation 100Gbps crédible.
Lire l’articleTrafic propre Anti-DDoS : pourquoi le retour du trafic compte autant que la mitigation
Beaucoup de pages parlent de capacité de mitigation, beaucoup moins de retour propre du trafic. Pourtant, un design Anti-DDoS crédible ne s’arrête pas au nettoyage : il faut encore relivrer le trafic légitime proprement vers la bonne cible.
Lire l’articlePré-filtrage Anti-DDoS en amont : quand l’utiliser et pourquoi il change tout
Le pré filtrage anti ddos n’est pas une couche magique. Bien utilisé, il sert à dégrossir tôt, protéger les liens et laisser les couches intelligentes travailler dans de bonnes conditions.
Lire l’articleServeur de filtrage Anti-DDoS dédié : quand est-ce le meilleur compromis ?
Un serveur de filtrage anti ddos dédié permet de soulager la production, d’appliquer une logique plus fine et de garder un meilleur contrôle du retour propre. Ce n’est pas toujours obligatoire, mais c’est souvent le meilleur compromis coût / souplesse.
Lire l’articleLatence, asymétrie et remise du trafic propre
Pourquoi le chemin du trafic, la sortie locale et le modèle de remise comptent autant que la capacité de mitigation.
Lire l’articleAnti-DDoS Gaming : pourquoi un filtrage générique ne suffit pas toujours
Le gaming n’a pas seulement besoin d’absorber du volume. Il faut aussi protéger l’expérience joueur, éviter les faux positifs et traiter des comportements protocolaires qui ne ressemblent pas à un front web classique.
Lire l’articleFAQ Peeryx
Faut-il migrer toute son infrastructure pour utiliser Peeryx ?
Non. Peeryx peut protéger une production déjà en place via BGP, IPs protégées, tunnels, cross-connect ou VM routeur selon votre topologie.
Le routage asymétrique est-il compatible avec cette architecture ?
Oui. Peeryx peut recevoir le trafic entrant tandis que l’égress local reste ailleurs si cela améliore la latence, le coût ou l’exploitation.
Le cross-connect est-il obligatoire ?
Non. Il peut être pertinent dans certains datacenters, mais Peeryx propose aussi GRE, IPIP, VXLAN et VM routeur pour préserver la flexibilité.
Pourquoi détailler autant l’architecture ?
Parce qu’une architecture lisible réduit les malentendus, rassure les équipes techniques et permet d’évaluer plus vite si Peeryx s’intègre réellement à l’existant.
L’infrastructure Peeryx remplace-t-elle forcément ma logique applicative ou mon filtrage custom ?
Non. Peeryx peut protéger l'amont et relivrer un trafic propre vers votre propre logique réseau ou applicative. Le but est d'améliorer la couche anti-DDoS sans imposer un remplacement complet de la stack.
Pourquoi l’observabilité est-elle importante dans une architecture Anti-DDoS ?
Parce qu'une mitigation efficace doit aussi rester exploitable. Comprendre ce qui est filtré, ce qui passe, quand escalader en amont et comment ajuster les politiques est essentiel pour tenir dans la durée.
Présentez votre architecture et vos contraintes réseau
Décrivez vos préfixes, votre connectivité, vos points d’égress, votre latence cible et la façon dont vous souhaitez récupérer le trafic propre. Nous reviendrons avec un schéma d’intégration crédible.