¿Usar BSD gratuito/abierto + pf es una opción viable para filtrar DDoS? ¿Cuál de los dos funcionaría mejor bajo cargas pesadas? (Inundación SYN que maximiza una tubería de 1 gbit)
¿Es esta una opción a considerar o se necesita un filtro DDoS de hardware completo para obtener un rendimiento lo suficientemente rápido?
Respuesta1
Creo que pf puede manejar (proxy sincronizado, urpfy ajuste de sincronización) esto correctamente en hardware decente sin problemas al usar Freebsd u OpenBSD. Tenderé a utilizar OpenBSD porque estoy más familiarizado con él.
Respuesta2
Usar cualquier firewall como protección DDoS es una mala idea. Los ataques DDoS afectan la parte de cualquier firewall que consume más recursos, evaluando su conjunto de reglas para detectar una gran cantidad de nuevas conexiones. Los ataques DDoS derriban cualquier firewall muy rápidamente. La rapidez y la magnitud de un ataque que uno puede manejar depende del tamaño del firewall. En general, no conviene considerar un firewall como una solución para ayudar con los ataques DDoS, ya que lo más probable es que se convierta en el elemento más susceptible de su red a sucumbir a esos ataques.