Является ли использование Free/Open BSD + pf рабочим вариантом для фильтрации DDoS? Какой из двух будет работать лучше при большой нагрузке? (SYN-флуд, максирующий 1-гигабитный канал)
Стоит ли вообще рассматривать этот вариант или для обеспечения достаточно высокой производительности необходим полноценный аппаратный фильтр DDoS?
решение1
Я думаю, что pf справится (синпрокси, urpfи настройка syncache) это правильно на приличном оборудовании без проблем с использованием Freebsd или OpenBSD. Я склонен использовать OpenBSD, потому что я более знаком с ним.
решение2
Использование любого брандмауэра в качестве защиты от DDoS — плохая идея. DDoS-атаки поражают самую ресурсоемкую часть любого брандмауэра, оценивая его набор правил для огромного количества новых подключений. DDoS-атаки очень быстро разрушают любой брандмауэр. Насколько быстро и насколько большой может быть атака, зависит от того, насколько велик брандмауэр. В общем, вы не хотите рассматривать брандмауэр как решение для помощи с DDoS-атаками, поскольку он, скорее всего, станет наиболее уязвимым в вашей сети для этих атак.