На этот вопрос уже есть ответ здесь:
Я управляю игровым сообществом на коло с портом 100 Мбит / с . Я хочу o купить очень дешевый сервер за 35 долларов с тем же портом 100 Мбит / с и запустить pfSense для использования в качестве аппаратного межсетевого экрана. Я имею дело с группой 14-летних детей, у которых есть доступ к ботнетам, поэтому может возникнуть необходимость получить что-то вроде этого. Мой общий вопрос: стоит ли использовать pfSense на дешевом сервере с идентичным центром обработки данных / скоростью порта, чтобы фактически блокировать DDoS-атаки?
Немного подробнее, так как я предполагаю, что вы спросите это, атаки, которые мы получаем, обычно составляют около 1 Гбит / с. В настоящее время мы запускаем CentOS с использованием брандмауэра CSF, и даже при использовании программного брандмауэра мы довольно легко блокируем UDP-потоки со скоростью 500 Мбит / с или просто общие атаки.
Спасибо, - Некро
Это зависит от типа DoS-атаки, о которой вы говорите.
Если вы говорите об атаке с истощением полосы пропускания, это не поможет: вы все равно будете насыщать свой исходящий канал и закончится падением (или, по крайней мере, серьезными проблемами с производительностью).
Чтобы смягчить этот вид атаки, ваш интернет-провайдер должен будет блокировать атаки до того, как они достигнут вашего сервера / порта. (Вашему Интернет-провайдеру также потребуется достаточная пропускная способность для отражения атаки. Если вы действительно видите трафик 1 Гбит / с, ваш Интернет-провайдер, вероятно, попросит вас найти новый дом.)
Если вы говорите об истинном DDoS ( D
распределенный отказ в обслуживании) простой брандмауэр может не подходить, и такие компании, как Arbor Networks, имеют решения, специально разработанные, чтобы помочь справиться с этим - как вы понимаете, цена довольно внушительна.
С другой стороны, если вы говорите об атаках на исчерпание ресурсов на сервере (например, связывая все TCP-соединения), блок pfSense (или любой другой выделенный брандмауэр) может помочь при правильной настройке.