使用免费/开放BSD + pf作为DDoS滤波器

Question

使用免费/开放BSD + pf是过滤DDoS的可行选择吗？在沉重的负荷下，哪一种表现会更好？(洪水淹没1千兆管)

这是一个需要考虑的选项，还是需要一个完整的硬件DDoS过滤器来获得足够快的性能？

Answer 1

我认为pf可以在像样的硬件上正确地处理(合成代理和同步缓存调优)，而不会出现使用Freebsd或OpenBSD的问题。我倾向于使用OpenBSD，因为我对它更熟悉。

Answer 2

使用任何防火墙作为DDoS保护都是个坏主意。DDoS攻击袭击了所有防火墙中资源最密集的部分，评估了其规则集，以获取大量新连接。DDoS攻击很快就会摧毁任何防火墙。一个人能处理多快有多大的攻击取决于防火墙有多大。通常，您不希望将防火墙作为帮助处理DDoS攻击的解决方案，因为它很可能会成为网络中最容易屈服于这些攻击的东西。