Free/Open BSD + pf를 사용하여 DDoS를 필터링할 수 있습니까? 부하가 높을 때 둘 중 어느 것이 더 나은 성능을 발휘합니까? (1GB 파이프를 최대화하는 SYN 플러드)
이것이 고려해야 할 옵션입니까, 아니면 충분히 빠른 성능을 얻으려면 전체 하드웨어 DDoS 필터가 필요합니까?
답변1
내 생각엔 pf가 처리할 수 있을 것 같아 (신프록시,urpf및 동기화 캐시 조정) Freebsd 또는 OpenBSD를 사용하면 문제 없이 괜찮은 하드웨어에서 올바르게 작동합니다. 나는 OpenBSD에 더 익숙하기 때문에 OpenBSD를 사용하는 경향이 있습니다.
답변2
방화벽을 DDoS 보호로 사용하는 것은 좋지 않습니다. DDoS 공격은 방화벽에서 리소스를 가장 많이 사용하는 부분을 공격하여 수많은 새로운 연결에 대한 규칙 세트를 평가합니다. DDoS 공격은 모든 방화벽을 매우 빠르게 무너뜨립니다. 처리할 수 있는 공격의 속도와 규모는 방화벽의 크기에 따라 다릅니다. 일반적으로 방화벽은 DDoS 공격에 도움이 되는 솔루션으로 보고 싶지 않습니다. 방화벽은 네트워크에서 이러한 공격에 굴복할 가능성이 가장 높기 때문입니다.