
Free/Open BSD + pf を使用することは、DDoS をフィルタリングするための実用的なオプションですか? 2 つのうちどちらが高負荷時にパフォーマンスが向上しますか? (1 gbit パイプを最大化する SYN フラッド)
これは検討すべきオプションでしょうか、それとも十分な速度のパフォーマンスを得るには完全なハードウェア DDoS フィルターが必要ですか?
答え1
私はpfが(シンプロキシ、urpfFreebsd または OpenBSD を使用して、適切なハードウェア上でこれを正しく実行します (同期キャッシュのチューニングも必要です)。私は OpenBSD の方が使い慣れているので、こちらを使用することが多いです。
答え2
ファイアウォールを DDoS 保護として使用するのは得策ではありません。DDoS 攻撃は、膨大な数の新規接続のルールセットを評価しながら、ファイアウォールの最もリソースを消費する部分を攻撃します。DDoS 攻撃は、あらゆるファイアウォールを非常に迅速に破壊します。攻撃をどれだけ迅速に、どれだけ大きな規模で処理できるかは、ファイアウォールの規模によって異なります。一般的に、ファイアウォールを DDoS 攻撃対策のソリューションとして考えるのは望ましくありません。ネットワーク上で最も DDoS 攻撃を受けやすいものになる可能性が高いからです。