我在具有 100Mbps 端口的托管服务器上运营一个游戏社区。我想购买一台非常便宜的 35 美元服务器,该服务器具有相同的 100Mbps 端口,并运行 pfSense 用作硬件防火墙。我正在与一群可以访问僵尸网络的 14 岁孩子打交道,因此获得这样的东西可能有点必要。我的总体问题是,在便宜的相同数据中心/端口速度服务器上使用 pfSense 是否值得真正阻止 DDoS 攻击?
因为我猜你会问这个问题,所以我再详细说一下,我们收到的攻击通常大约为 1Gbps。我们目前使用 CSF 防火墙运行 CentOS,即使使用软件防火墙,我们也能轻松阻止 500Mbps UDP 洪水或一般攻击。
谢谢,- Necro
答案1
这取决于您所谈论的 DoS 攻击的类型。
如果您谈论的是带宽耗尽攻击,那么这不会有帮助:您的上行链路仍会饱和,最终会瘫痪(或至少遭受严重的性能问题)。
为了减轻这种攻击,您的 ISP 必须在攻击到达您的服务器/端口之前阻止它们。(您的 ISP 还需要有足够的带宽来吸收攻击。如果您真的如果您的 ISP 看到 1Gbit/秒的流量,则可能会要求您寻找新的主机。)
如果你谈论的是真正的 DDoS(D分布式拒绝服务),一个简单的防火墙可能不够,像Arbor Networks 有专门设计的解决方案来帮助解决这一问题- 您可以想象,其价格是相当高的。
另一方面,如果您谈论的是服务器上的资源耗尽攻击(例如,占用所有 TCP 连接),那么如果配置正确,pfSense 盒(或任何其他类型的专用防火墙)可以提供帮助。