Retour au Blog
11 minÉquipe fiveshield

Comment stopper les attaques DDoS sur votre serveur FiveM (Guide complet)

Les attaques DDoS peuvent mettre votre serveur FiveM hors ligne en quelques secondes. Ce guide explique comment elles fonctionnent, pourquoi les solutions classiques échouent, et ce qui fonctionne vraiment.

fivem ddos attackstop ddos fivemprotection serveur fivemfivem ddos protection

Pourquoi les serveurs FiveM sont-ils attaqués ?

Si vous gérez un serveur FiveM, vous l'avez probablement déjà vécu : tout fonctionne, des joueurs sont connectés, puis soudainement le serveur tombe. Les joueurs ne peuvent plus se reconnecter. Le panel d'hébergement n'indique rien d'anormal. Le CPU ne sature pas. Mais le serveur est totalement injoignable.

C'est une attaque DDoS — et c'est bien plus fréquent sur FiveM que la plupart des propriétaires de serveurs ne le pensent.

FiveM utilise UDP pour tout le trafic de jeu. UDP rend le multijoueur réactif, mais présente une faiblesse fondamentale : n'importe qui peut envoyer un paquet UDP vers n'importe quelle adresse IP, et la destination ne peut pas le refuser sans d'abord le traiter. Les attaquants exploitent cela pour inonder l'IP de votre serveur de trafic indésirable jusqu'à saturer la connexion réseau — et vous mettre hors ligne.

Ce guide explique comment ces attaques fonctionnent, pourquoi les « solutions » courantes ne règlent pas vraiment le problème, et ce qui fonctionne réellement.

Comment fonctionnent les attaques DDoS sur FiveM

Il existe deux principaux types d'attaques :

Inondations volumétriques

L'attaquant envoie un volume massif de paquets UDP vers l'IP de votre serveur. Même avec du matériel performant, la bande passante montante de votre serveur se sature. À 1 Gbps de trafic malveillant, un serveur sur une ligne 500 Mbps ne peut tout simplement pas suivre — les paquets sont perdus et les joueurs sont déconnectés.

Ces attaques sont souvent amplifiées : l'attaquant n'envoie pas 1 Gbps directement. Il envoie de petits paquets à des services mal configurés (résolveurs DNS, serveurs NTP, Memcached) qui répondent avec des réponses beaucoup plus volumineuses — toutes dirigées vers votre IP. Une attaque de 100 Mbps devient 1 Gbps grâce à l'amplification.

Attaques au niveau protocolaire

Des attaques plus ciblées exploitent la poignée de main de connexion FiveM ou cherchent des schémas dans les réponses de votre serveur pour concevoir des paquets provoquant une utilisation élevée du CPU. Ces attaques n'ont pas besoin de volume — quelques milliers de paquets spécialement conçus par seconde peuvent saturer votre CPU à 100 %.

Ce qui ne fonctionne pas

Cloudflare (seul)

Cloudflare proxifie le trafic HTTP/HTTPS — pages web, téléchargements de ressources, l'API de votre serveur. Il ne peut pas proxifier le trafic UDP de jeu, qui est ce que FiveM utilise réellement pour les connexions des joueurs et le gameplay. Activer Cloudflare sur votre domaine protège votre site web, pas votre serveur de jeu.

Le pare-feu de votre hébergeur

Les pare-feux standards (iptables, pare-feu Windows, pare-feux VPS basiques) opèrent au niveau du noyau — les paquets sont déjà dans la pile réseau de votre serveur avant que le pare-feu les voie. Lors d'une grande inondation, la charge CPU du traitement de millions de paquets par seconde à travers la pile noyau provoque des problèmes de performance même avant d'atteindre la limite de bande passante.

De plus, la plupart des hébergeurs partagés vont null-router votre IP (couper tout le trafic vers votre serveur) si vous recevez du trafic DDoS important, pour protéger les autres clients sur la même infrastructure. Votre « protection » est en fait juste une déconnexion.

VPN et obscurcissement de port

Changer de ports ou cacher votre IP via un VPN personnel n'aide pas une fois qu'un attaquant connaît votre vraie IP de serveur. Les IPs des serveurs FiveM sont publiquement listées dans le navigateur de serveurs — l'obscurité n'est pas une option.

Ce qui arrête vraiment les attaques DDoS sur FiveM

La seule solution fiable est un reverse proxy dédié qui se place entre Internet et votre serveur, avec un filtrage spécialisé conçu spécifiquement pour le trafic UDP de jeu.

Voici à quoi ressemble cette architecture :

Attaquant ──────────────────────────────X  (bloqué au proxy)
Joueur  ──► proxy.votredomaine.com:30120 ──► [filtre] ──► votre-serveur-origine:30120

L'IP réelle de votre serveur n'est jamais exposée. Le proxy absorbe tout le trafic entrant. Seuls les paquets de joueurs vérifiés et propres sont transmis à votre serveur d'origine.

Pour que cela fonctionne correctement, le proxy nécessite :

1. Filtrage de paquets basé sur XDP

XDP (eXpress Data Path) est une technologie du noyau Linux qui traite les paquets au niveau du pilote réseau — avant même qu'ils n'entrent dans la pile réseau du noyau. Cela signifie que des millions de paquets par seconde peuvent être inspectés et supprimés avec presque aucun coût CPU.

Les règles iptables traditionnelles traitent les paquets après qu'ils ont traversé la pile noyau complète. XDP contourne entièrement cela. Pour la mitigation DDoS, cette différence est critique : quand vous recevez 5 millions de paquets par seconde, le traitement au niveau du noyau s'effondre. XDP le gère.

2. Liste blanche des joueurs

Un filtre de paquets générique bloque les indésirables évidents mais peut encore laisser passer du trafic UDP « d'apparence valide ». Un proxy compatible FiveM peut aller plus loin : il sait quelles IPs de joueurs sont censées se connecter, et peut tout supprimer d'autre au niveau des paquets. Les nouvelles connexions passent par une validation de poignée de main avant d'être mises sur liste blanche.

3. Dissimulation d'IP

Le proxy doit exposer sa propre IP, pas la vôtre. L'IP réelle de votre serveur doit être verrouillée — acceptant uniquement le trafic des plages IP du proxy. Ainsi, même si quelqu'un découvre votre adresse proxy, une attaque directe sur l'IP de votre origine depuis d'autres sources ne mène nulle part.

4. Infrastructure de centre de nettoyage

Les bons proxies anti-DDoS sont déployés aux périphéries réseau dans de grands hébergeurs (OVH, Hetzner, etc.) qui disposent de centaines de Gbps de bande passante et peuvent absorber des attaques volumétriques massives avant même que tout filtrage ne soit nécessaire. Un flood de 20 Gbps vers un proxy assis sur un réseau périphérique à 1 Tbps est à peine perceptible.

Le problème des faux positifs avec les centres de nettoyage génériques

Voici ce que la plupart des communications marketing anti-DDoS ne vous disent pas : les centres de nettoyage génériques déconnectent régulièrement des joueurs légitimes, et pour FiveM c'est un problème sérieux.

Les grands services de nettoyage (OVH VAC, Path.net, Akamai Prolexic) sont conçus pour le trafic web et les réseaux d'entreprise. Leurs modèles de détection analysent les schémas de paquets et signalent tout ce qui s'écarte du comportement attendu. Le profil de trafic UDP de FiveM est inhabituel par nature — les joueurs envoient des rafales de petits paquets, les schémas de connexion varient fortement selon le mode de jeu, certaines ressources provoquent de brèves pointes de bande passante, et la poignée de main de FiveM ne ressemble en rien aux protocoles applicatifs standards.

Résultat :

  • Un joueur sur une IP partagée (réseau universitaire, VPN d'entreprise, CGNAT) est signalé parce que des dizaines d'autres utilisateurs sur cette IP ont déclenché des limites de débit — même si le joueur lui-même n'a rien fait de mal
  • Les joueurs avec des connexions à forte perte de paquets (données mobiles, internet par satellite) renvoient des paquets de manière agressive, ce qui correspond au schéma d'un flood et les fait automatiquement bloquer
  • Le gameplay à fortes rafales (explosions, spawns de véhicules importants, arrivées rapides de joueurs en heure de pointe) peut brièvement faire grimper les taux UDP dans des plages que les seuils du centre de nettoyage considèrent comme suspectes
  • Les limites de débit géographiques dans les scrubbers génériques throttlent des plages d'IP entières de régions considérées comme « à risque élevé », bloquant totalement les joueurs de ces pays

Avec un scrubber générique, vous pouvez stopper l'attaque DDoS mais constater que 10 à 20 % de vos joueurs légitimes ne peuvent plus se connecter — sans aucune visibilité sur pourquoi ni quels joueurs sont affectés.

Pourquoi les proxies spécifiques FiveM gèrent mieux ce problème

Un proxy conçu pour FiveM peut appliquer un filtrage contextuel plutôt que des seuils génériques :

  • Liste blanche après poignée de main — l'IP d'un joueur n'est pas soumise à une limitation de débit tant qu'il n'a pas complété la poignée de main de connexion FiveM. Si la poignée de main se termine, le joueur est mis sur liste blanche et son trafic est transmis sans inspection supplémentaire, quelle que soit son volume
  • Limites de débit par session — les limites s'appliquent par session active, pas par IP source. Un joueur en CGNAT partage une IP avec 200 autres personnes mais dispose de son propre token de session ; sa session est évaluée indépendamment
  • Signatures de trafic FiveM — le filtre sait à quoi ressemblent les paquets FiveM légitimes au niveau des octets et ne supprime que les paquets qui ne correspondent pas, plutôt que de bloquer des IPs en fonction du volume seul

Le compromis est que cette approche nécessite de maintenir un modèle précis du protocole FiveM. Un scrubber générique applique les mêmes règles à tout le trafic UDP et se déploie plus rapidement — mais les joueurs en paient le prix.

La voie DIY

Il est techniquement possible de le configurer soi-même :

  1. Louer un serveur dédié chez OVH (ils incluent l'anti-DDoS au niveau infrastructure)
  2. Configurer un forward UDP avec iptables ou nftables
  3. Écrire des programmes XDP pour filtrer votre trafic spécifique
  4. Configurer FiveM pour n'accepter que l'IP de ce serveur

Cela prend plusieurs jours de travail, nécessite de solides connaissances en réseau Linux, et vous êtes seul quand quelque chose se casse. La protection au niveau infrastructure d'OVH est bonne mais générique — elle n'est pas adaptée au schéma UDP de FiveM.

La voie gérée

Si vous ne voulez pas maintenir votre propre infrastructure proxy, l'alternative est une solution gérée construite spécifiquement pour FiveM.

fiveshield est ce que j'ai construit après avoir subi des attaques répétées sur mes propres serveurs. Il gère l'infrastructure proxy, le filtrage XDP, la liste blanche des joueurs et la dissimulation d'IP — avec 9+ emplacements proxy mondiaux pour que les joueurs se connectent via un nœud proche.

La configuration prend moins de 5 minutes :

  1. Connectez-vous avec Discord
  2. Créez un serveur, choisissez un emplacement proxy
  3. Déposez le dossier de ressource dans resources/ et ajoutez trois lignes à server.cfg
  4. Redémarrez — votre IP d'origine est maintenant cachée et tout le trafic de jeu est filtré

La tarification est par joueur — vous êtes facturé quotidiennement selon votre nombre maximum de joueurs simultanés, pas un abonnement mensuel fixe. Un serveur moyennant 10 joueurs coûte moins qu'un café par jour. Consultez le guide d'installation complet pour des instructions étape par étape.

Renforcer votre serveur d'origine (À faire dans tous les cas)

Que vous utilisiez un proxy ou non, appliquez ceci :

Bloquez tout le trafic UDP vers votre IP d'origine sauf depuis votre proxy :

# nftables — n'autoriser le trafic de jeu que depuis les plages IP fiveshield
table inet filter {
  chain input {
    udp dport 30120 ip saddr != { <plages-ip-proxy> } drop
  }
}

Activez le Game Firewall d'OVH si vous êtes hébergé chez OVH — il fournit une mitigation au niveau infrastructure qui ne nécessite pas que le CPU de votre serveur traite le trafic d'attaque.

Ne publiez pas votre IP d'origine n'importe où — ni dans votre Discord, ni dans les messages d'erreur, ni dans les logs de débogage visibles par les joueurs.

Changez votre IP d'origine si elle est déjà publique. La plupart des fournisseurs VPS permettent d'obtenir une nouvelle IP gratuitement ou pour un petit frais.

Récapitulatif

ApprocheProtège contre les floodsCache votre IPFiltrage adapté FiveM
Cloudflare seulNonNonNon
Pare-feu VPS / iptablesPartiellementNonNon
Infrastructure OVH GameOui (générique)NonNon
Proxy XDP DIYOuiOuiAvec effort
Proxy géré (fiveshield)OuiOuiOui

Les attaques DDoS sur les serveurs FiveM sont un problème résolu — la technologie existe. La seule question est de savoir si vous construisez l'infrastructure vous-même ou utilisez quelque chose déjà construit pour cet objectif.

Si vous avez des questions sur tout ceci, n'hésitez pas à rejoindre le Discord fiveshield — prêts à aider même si vous choisissez la voie DIY.

À lire également

2 min

Tarification par joueur : Pourquoi nous ne facturons pas au mois

Modèle tarifaire mis à jour pour 2026 — facturation quotidienne selon votre pic de joueurs, avec paliers transparents.

Lire la suite
3 min

Comment fiveshield protège votre serveur FiveM contre les attaques DDoS

Découvrez notre architecture de protection multi-couches — du filtrage L7 aux proxies L4 distribués sur 9+ localisations mondiales.

Lire la suite
3 min

Comprendre XDP : La technologie derrière notre filtrage L4

Découvrez comment eXpress Data Path (XDP) permet un filtrage de paquets ultra-rapide au niveau du pilote réseau pour la protection des serveurs FiveM.

Lire la suite