正在使用Free / Open BSD + pf可行选项来过滤DDoS? 哪两个在重负荷下performance更好? (SYN洪水最大1Gb的pipe道)
这甚至是一个可以考虑的select,还是需要一个完整的硬件DDoSfilter才能获得足够快的性能?
我认为pf可以在体面的硬件上正确处理( synproxy,urpf和syncache调优),而Freebsd或者OpenBSD没有问题。 我倾向于使用OpenBSD,因为我更熟悉它。
使用任何防火墙作为DDoS防护是一个坏主意。 DDoS攻击是所有防火墙中占用资源最多的部分,评估其大量新连接的规则集。 DDoS攻击很快就会融化任何防火墙。 可以处理多大的攻击取决于防火墙的大小。 一般来说,您不希望将防火墙视为帮助进行DDoS攻击的解决scheme,因为它很可能成为networking上最容易受到这些攻击的事情。