Guides

Comment cacher l'IP de ton serveur Minecraft et arrêter les attaques

Apprends à cacher l'IP de ton serveur Minecraft, à trouver chaque fuite qui l'expose et à arrêter les attaques DDoS directes avant qu'elles ne touchent ton origine.

Infinity-Filter team

Comment cacher l’IP de ton serveur Minecraft (et pourquoi une IP qui fuite te fait attaquer)

Ton serveur est tombé. Tu avais des plugins anti-bot qui tournaient et des règles de firewall en place, et rien n’a aidé. La raison est structurelle. L’attaquant connaît ta vraie adresse IP, et une fois qu’il l’a, aucun plugin n’arrête un flood volumétrique. Cacher l’IP de ton serveur Minecraft est la première défense, parce que l’IP est ton point de défaillance unique. Ce guide couvre toutes les façons dont une IP fuit, comment vérifier si la tienne est exposée, et le seul correctif qui vaille le coup.

À retenir : une IP d’origine qui fuit rend tes plugins inutiles contre un flood volumétrique. Les IPs fuient via de vieux enregistrements DNS, des sites de liste de serveurs, des status pingers et des partages directs. Un reverse proxy est le seul correctif structurel, parce qu’il empêche les joueurs de résoudre ton origine.

Pourquoi ta vraie IP est le point de défaillance unique

Une attaque DDoS volumétrique ne vise pas ton code. Elle inonde ton lien réseau de trafic brut jusqu’à ce que le tuyau soit plein. Ton serveur tombe parce qu’aucun paquet légitime ne passe, pas parce que le logiciel serveur a échoué.

Les règles de firewall tournent sur ton serveur. Elles filtrent les paquets après l’arrivée de ces paquets. Un flood volumétrique sature le lien avant qu’aucun paquet n’atteigne iptables, donc le filtrage côté serveur n’a jamais son tour. C’est pour ça qu’un plugin anti-bot ne fait rien contre un flood. Le plugin vit derrière le goulet d’étranglement.

L’échelle n’est pas théorique. Cloudflare a enregistré 20,5 millions d’attaques DDoS au premier trimestre 2025, une hausse de 358 % en glissement annuel, et le gaming figure parmi les industries les plus ciblées.

La plupart de ces attaques restent petites. Dans les données de Cloudflare, 99 % des attaques au niveau réseau sont restées sous 1 Gbps. Une petite attaque fait quand même mal. Une connexion résidentielle ou un lien d’hébergeur low-cost sature bien en dessous de 1 Gbps, donc même un flood mineur fait tomber un serveur non protégé. La plupart des attaques sont aussi courtes. Environ 89 % des attaques au niveau réseau se terminent en moins de 10 minutes. L’attaquant n’a pas besoin de soutenir le flood. Une rafale de 60 secondes pendant un événement PvP vide ton serveur.

  1. 1

    L'attaquant trouve ton IP d'origine

    Via l'historique DNS, une liste de serveurs ou un paste Discord.

  2. 2

    Il scanne le port 25565

    Un scan rapide confirme que l'IP fait tourner un serveur Minecraft actif.

  3. 3

    Il envoie un flood direct

    Le trafic va droit à ton origine et contourne tout proxy.

  4. 4

    Ton lien réseau sature

    Le tuyau se remplit de bruit avant que les paquets n'atteignent ton firewall.

  5. 5

    Ton serveur tombe

    Les joueurs timeout. Les plugins et iptables ne voient jamais l'attaque.

Comment l’IP de ton serveur Minecraft fuit

La plupart des fuites sont vieilles et oubliées. Tu as mis ton serveur derrière un proxy il y a des mois, mais l’IP d’origine est toujours enregistrée quelque part de public. Voici où elle se cache.

Vieux enregistrements DNS et historique en cache

Avant que tu utilises un proxy, ton domaine pointait directement sur l’origine. Un enregistrement A ou SRV contenait la vraie IP. Les outils d’historique DNS conservent ces vieux enregistrements pendant des années. Quiconque cherche ton domaine sur SecurityTrails ou DNSDumpster voit chaque IP vers laquelle il a un jour résolu. Changer l’enregistrement aujourd’hui n’efface pas l’historique.

Sites de liste de serveurs et status pingers

Le Server List Ping fait partie du protocole Minecraft. Il tourne sur le port principal et renvoie ton MOTD, le nombre de joueurs et la version. Les sites de listing et les moniteurs d’uptime l’utilisent constamment.

Quand tu ajoutes ton serveur sur un site de listing, le site résout ton hôte vers une IP et la stocke. Si tu soumets directement l’IP d’origine, la liste la garde. Les widgets de status pinger se comportent pareil. Ils se connectent à l’adresse que tu leur donnes et la mettent en cache.

Plugins et outils de statut

Certains plugins et widgets web exposent ton adresse backend. Une page de statut imprimant tes détails de connexion, un lien de carte ou un outil de query pointé sur le mauvais hôte publiera l’origine. Audite tout ce qui sur ton serveur atteint le web public. Chacun est un candidat à la fuite.

Joueurs et partages directs

Une IP collée une seule fois dans un salon Discord, un thread de forum ou une vidéo ne reste pas privée. Les moteurs de recherche l’indexent. Discord la conserve. Un membre du staff partant en mauvais termes l’emporte avec lui. Une fois qu’une IP d’origine atteint le web public, considère-la comme exposée définitivement.

Hébergement partagé et SRV mal configuré

Les hébergeurs low-cost mettent souvent plusieurs serveurs sur une même IP partagée. Une attaque visant un voisin sature le lien partagé et te fait tomber avec lui. Tu n’as rien fait de mal et tu perds quand même de l’uptime.

Les enregistrements SRV ajoutent un second risque. Un enregistrement SRV pointant au-delà de ton proxy, droit sur l’origine, divulgue l’IP à chaque client qui le résout.

Note : un proxy ne te protège que si chaque enregistrement public pointe sur le proxy. Un seul enregistrement SRV obsolète visant l’origine défait toute la config.

Comment vérifier si ton IP d’origine est exposée

Fais ces quatre vérifications avant de faire confiance à ta config.

  1. Cherche l’historique DNS. Look-up ton domaine sur un outil d’historique DNS et passe en revue chaque IP vers laquelle il a résolu. Si ton origine apparaît, l’enregistrement est public.
  2. Vérifie Shodan. Cherche ton IP d’origine sur Shodan. Si elle affiche le port 25565 ouvert avec une bannière de service Minecraft, internet l’a déjà indexée.
  3. Essaie une connexion directe. Connecte ton client Minecraft directement à l’IP d’origine, pas au domaine. Une origine verrouillée refuse la connexion. Si tu arrives à entrer, ton firewall est ouvert.
  4. Lis tes logs serveur. Confirme que les connexions joueurs montrent les vraies IPs joueurs, pas une IP de proxy répétée. Une config correcte forwarde la vraie IP via le PROXY protocol.

Pourquoi un reverse proxy est le correctif structurel

Un reverse proxy change ce que le public voit. Les joueurs se connectent à l’adresse du proxy. Le proxy filtre le trafic et forwarde les connexions propres à ton origine via un chemin privé. Ton IP d’origine n’apparaît dans aucun enregistrement public, donc les attaquants n’ont pas de cible.

C’est structurel, pas un patch. Un plugin réagit au trafic après son arrivée. Un proxy déplace la cible. L’attaquant inonde le proxy, le proxy absorbe, et ton origine reste tranquille.

Origine exposée
Origine derrière un proxy
IP réelle résolvable publiquement
Survit à un flood volumétrique
L'attaquant contourne le filtrage
IPs joueurs visibles dans les logs
Avec PROXY protocol
Latence ajoutée
Aucune
Un saut

Le compromis est un saut réseau supplémentaire. Un nœud proxy proche de tes joueurs ajoute quelques millisecondes. Un nœud loin ajoute du lag perceptible en PvP. Choisis un fournisseur avec un nœud près de ta base de joueurs.

Un proxy seul ne suffit pas. Si ton origine accepte encore du trafic depuis n’importe quelle source, une origine découverte reste floodable. Verrouille le firewall pour que l’origine n’accepte que les plages IP de ton fournisseur.

firewall.sh bash 
# Autorise le trafic Minecraft uniquement depuis la plage IP de ton fournisseur
sudo iptables -A INPUT -p tcp --dport 25565 -s 198.51.100.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25565 -j DROP

Remplace la plage par les plages que ton fournisseur publie. Avec cette règle en place, une IP d’origine découverte refuse quand même chaque connexion directe.

Comment Infinity-Filter cache l’IP de ton serveur Minecraft

Infinity-Filter se place devant ton serveur comme endpoint public. Les joueurs se connectent à Infinity-Filter. Ton origine n’accepte que le trafic depuis les plages Infinity-Filter, donc la vraie IP ne constitue pas de cible utile même si quelqu’un la déterre.

Le filtrage tourne sur deux couches. Layer 3/4 absorbe les floods volumétriques et de protocole, les SYN floods et UDP floods conçus pour saturer ton lien. Layer 7 inspecte le protocole Minecraft lui-même et drop les paquets malformés, les floods de bots et le spam de login avant qu’ils n’atteignent tes plugins.

Le résultat est un seul changement sur ton point de défaillance. Ton origine cesse d’être une cible, donc une IP qui fuit cesse d’être une crise.

Vérifie ton exposition, puis comble la faille

Cacher l’IP de ton serveur Minecraft n’est pas une seule action. C’est trouver chaque vieux enregistrement, chaque liste et chaque partage, puis déplacer ton origine derrière un proxy pour que les nouvelles fuites n’aient plus d’importance. Commence par les quatre vérifications ci-dessus. Si ton IP d’origine est joignable, tu sais déjà où la prochaine attaque va atterrir.

Lance la vérification d’exposition pour voir ce que voient les attaquants, puis mets ton origine derrière Infinity-Filter pour que les attaques directes n’aient rien à atteindre.

Tu as aimé cet article ?

Abonne-toi à notre flux RSS ou rejoins-nous sur Discord pour la suite.

RSS Discord