使用 Free/Open BSD + pf 是过滤 DDoS 的可行选项吗?在重负载下,哪个性能更好?(SYN 洪水攻击最大可达 1 gbit 管道)
这是否是一个值得考虑的选择,或者是否需要完整的硬件 DDoS 过滤器才能获得足够快的性能?
答案1
我认为 pf 可以处理 (synproxy,urpf和同步缓存调整)在合适的硬件上正确执行此操作,使用 Freebsd 或 OpenBSD 不会出现问题。我倾向于使用 OpenBSD,因为我对它更熟悉。
答案2
使用任何防火墙作为 DDoS 保护都是一个坏主意。DDoS 攻击会攻击任何防火墙最耗资源的部分,评估其规则集以应对大量新连接。DDoS 攻击会很快摧毁任何防火墙。攻击处理速度和规模取决于防火墙的大小。一般来说,您不会希望将防火墙视为帮助抵御 DDoS 攻击的解决方案,因为它很可能成为您的网络上最容易受到这些攻击的东西。