Использование Free / Open BSD + pf в качестве фильтра DDoS [дубликат]
На этот вопрос уже есть ответ здесь:
Является ли использование Free / Open BSD + pf приемлемым вариантом для фильтрации DDoS-атак? Какой из двух будет лучше работать при большой нагрузке? (SYN-флуд с максимальным объемом канала 1 Гбит)
Можно ли вообще рассмотреть этот вариант или нужен полный аппаратный фильтр DDoS для получения достаточно быстрой производительности?
Я думаю, что pf может обработать (synproxy, urpf и syncache, настраивающийся) это правильно на достойных аппаратных средствах без использования задач Freebsd или OpenBSD. Я буду склонен использовать OpenBSD, потому что я более знаком с ним.
-
1У Вас есть какой-либо вид ссылки сравнительного теста? synproxy - то, что я смотрел на хотя; если бы это может обработать достаточно трафика достаточно быстро, это сделало бы what' s необходимый. – Eric 8 July 2009 в 10:14
-
2Я сказал бы, что FreeBSD выполнит немного лучше (как 2-3%), чем OpenBSD с ним те же аппаратные средства. Эта статья обсуждает pf производительность, но вероятно немного устарело теперь: benzedrine.cx/pf-paper.html – Maxwell 8 July 2009 в 10:26
-
3FreeBSD, вероятно, масштабируется вполне немного лучше, с тех пор it' s сети является вполне немного менее пышным. PF будет все еще работать единственный, распараллелил, хотя, таким образом, он не может масштабироваться к 1Gb/s – Cian 8 July 2009 в 12:15
Using any firewall as DDoS protection is a bad idea. DDoS attacks hit the most resource-intensive portion of any firewall, evaluating its ruleset for huge numbers of new connections. DDoS attacks melt down any firewall very quickly. How quickly and how big of an attack one can handle depends on how big of a firewall. In general, you don't want to look at a firewall as a solution to help with DDoS attacks as it will most likely become the most susceptible thing on your network to succumbing to those attacks.