Usar Free/Open BSD + pf é uma opção viável para filtrar DDoS? Qual dos dois teria melhor desempenho sob carga pesada? (Inundação SYN maximizando um tubo de 1 gbit)
Essa é uma opção a ser considerada ou é necessário um filtro DDoS de hardware completo para obter desempenho rápido o suficiente?
Responder1
Eu acho que PF pode lidar com (sinproxy, urpfe ajuste de sincronização) isso corretamente em hardware decente sem problemas usando Freebsd ou OpenBSD. Costumo usar o OpenBSD porque estou mais familiarizado com ele.
Responder2
Usar qualquer firewall como proteção DDoS é uma má ideia. Os ataques DDoS atingem a parte de qualquer firewall que consome mais recursos, avaliando seu conjunto de regras para um grande número de novas conexões. Os ataques DDoS derrubam qualquer firewall muito rapidamente. A rapidez e o tamanho do ataque que alguém pode controlar dependem do tamanho do firewall. Em geral, você não quer olhar para um firewall como uma solução para ajudar com ataques DDoS, pois ele provavelmente se tornará a coisa mais suscetível na sua rede a sucumbir a esses ataques.