使用 Free/Open BSD + pf 是過濾 DDoS 的可行選項嗎?兩者在重負載下哪個表現較好? (SYN 泛洪最大佔用 1 GB 管道)
這是否是一個值得考慮的選項,或者是否需要完整的硬體 DDoS 過濾器才能獲得足夠快的性能?
答案1
我認為 pf 可以處理(同步代理,urpf和同步快取調整)在不錯的硬體上正確地使用 Freebsd 或 OpenBSD 沒有問題。我會傾向於使用 OpenBSD,因為我對它更熟悉。
答案2
使用任何防火牆作為 DDoS 防護都是一個壞主意。 DDoS 攻擊攻擊所有防火牆中資源最密集的部分,評估其規則集以獲取大量新連線。 DDoS 攻擊很快就會摧毀任何防火牆。一個人能夠處理的攻擊速度和規模取決於防火牆的規模。一般來說,您不想將防火牆視為幫助應對 DDoS 攻擊的解決方案,因為它很可能成為網路上最容易遭受這些攻擊的東西。