Free/Open BSD + pf を DDoS フィルターとして使用する

Free/Open BSD + pf を DDoS フィルターとして使用する

Free/Open BSD + pf を使用することは、DDoS をフィルタリングするための実用的なオプションですか? 2 つのうちどちらが高負荷時にパフォーマンスが向上しますか? (1 gbit パイプを最大化する SYN フラッド)

これは検討すべきオプションでしょうか、それとも十分な速度のパフォーマンスを得るには完全なハードウェア DDoS フィルターが必要ですか?

答え1

私はpfが(シンプロキシ、urpfFreebsd または OpenBSD を使用して、適切なハードウェア上でこれを正しく実行します (同期キャッシュのチューニングも必要です)。私は OpenBSD の方が使い慣れているので、こちらを使用することが多いです。

答え2

ファイアウォールを DDoS 保護として使用するのは得策ではありません。DDoS 攻撃は、膨大な数の新規接続のルールセットを評価しながら、ファイアウォールの最もリソースを消費する部分を攻撃します。DDoS 攻撃は、あらゆるファイアウォールを非常に迅速に破壊します。攻撃をどれだけ迅速に、どれだけ大きな規模で処理できるかは、ファイアウォールの規模によって異なります。一般的に、ファイアウォールを DDoS 攻撃対策のソリューションとして考えるのは望ましくありません。ネットワーク上で最も DDoS 攻撃を受けやすいものになる可能性が高いからです。

関連情報