我用一个100Mbps的端口在colo上运行一个游戏社区。 我想用一个100Mbps的端口买一个价格便宜的35美元的服务器,运行pfSense作为硬件防火墙。 我正在和一群14岁的孩子打交道,他们可以使用僵尸networking,所以有必要这样做。 我的总体问题是,在价格相当的数据中心/端口速度服务器上使用pfSense来实际阻止DDoS攻击?
稍微详细些,因为我假设你会问这个问题,我们收到的攻击通常在1Gbps左右。 我们目前使用CSF防火墙运行CentOS,即使在使用软件防火墙的情况下,我们也可以很容易地阻止500Mbps的UDP洪水,或者只是普通的攻击。
谢谢,Necro
这取决于你所谈论的那种DoS攻击。
如果您正在讨论带宽耗尽攻击,这将无济于事:您仍然会使上行链路饱和,并停止运行(或者至less会遇到严重的性能问题)。
为了减轻这种攻击,您的ISP必须在攻击到达您的服务器/端口之前阻止这些攻击。 (您的ISP也需要足够的带宽来吸收攻击,如果您真的看到1Gbps的stream量,您的ISP可能会要求您find新的家园。)
如果你正在谈论一个真正的DDoS( D分布式拒绝服务),一个简单的防火墙可能是不够的,像Arbor Networks这样的公司有专门devise来解决这个问题的解决scheme – 正如你可以想象的那样,价格标签是相当可怕的。
另一方面,如果您正在讨论服务器上的资源耗尽攻击(例如绑定所有的TCP连接),如果configuration正确,pfSense盒(或任何其他types的专用防火墙)可以提供帮助。