Ist die Verwendung von Free/Open BSD + pf eine praktikable Option zum Filtern von DDoS? Welche der beiden Optionen würde bei hoher Belastung die bessere Leistung erbringen? (SYN-Flood maximiert eine 1-GBit-Pipe)
Ist dies überhaupt eine in Betracht zu ziehende Option oder ist ein vollständiger Hardware-DDoS-Filter erforderlich, um eine ausreichend schnelle Leistung zu erzielen?
Antwort1
Ich denke, dass pf damit umgehen kann (synproxy,urpfund Syncache-Tuning) funktioniert dies auf anständiger Hardware problemlos mit FreeBSD oder OpenBSD. Ich neige dazu, OpenBSD zu verwenden, da ich damit besser vertraut bin.
Antwort2
Es ist keine gute Idee, eine Firewall als DDoS-Schutz zu verwenden. DDoS-Angriffe treffen den ressourcenintensivsten Teil einer Firewall, der deren Regelsatz für eine große Anzahl neuer Verbindungen auswertet. DDoS-Angriffe bringen jede Firewall sehr schnell zum Schmelzen. Wie schnell und wie groß ein Angriff sein kann, hängt von der Größe der Firewall ab. Im Allgemeinen sollten Sie eine Firewall nicht als Lösung gegen DDoS-Angriffe betrachten, da sie höchstwahrscheinlich das anfälligste Element in Ihrem Netzwerk für diese Angriffe sein wird.