Eric Asked: 2009-07-08 22:58:53 +0800 CST2009-07-08 22:58:53 +0800 CST 2009-07-08 22:58:53 +0800 CST 使用 Free/Open BSD + pf 作为 DDoS 过滤器 [重复] 772 使用 Free/Open BSD + pf 过滤 DDoS 是否可行?两者中哪一个在重负载下表现更好?(SYN 洪水最大化 1 gbit 管道) 这甚至是一个需要考虑的选项,还是需要一个完整的硬件 DDoS 过滤器才能获得足够快的性能? firewall bsd pf 2 个回答 Voted Best Answer Maxwell 2009-07-08T23:10:29+08:002009-07-08T23:10:29+08:00 我认为 pf 可以在体面的硬件上正确处理(synproxy、urpf和同步缓存调整),使用 Freebsd 或 OpenBSD 没有问题。我会倾向于使用 OpenBSD,因为我更熟悉它。 Chris Buechler 2011-08-31T22:15:27+08:002011-08-31T22:15:27+08:00 使用任何防火墙作为 DDoS 保护都是一个坏主意。DDoS 攻击攻击任何防火墙中资源最密集的部分,评估其规则集以获取大量新连接。DDoS 攻击会很快摧毁任何防火墙。一个人可以处理多快和多大的攻击取决于防火墙的大小。通常,您不希望将防火墙视为帮助解决 DDoS 攻击的解决方案,因为它很可能成为您网络上最容易受到这些攻击的攻击。
我认为 pf 可以在体面的硬件上正确处理(synproxy、urpf和同步缓存调整),使用 Freebsd 或 OpenBSD 没有问题。我会倾向于使用 OpenBSD,因为我更熟悉它。
使用任何防火墙作为 DDoS 保护都是一个坏主意。DDoS 攻击攻击任何防火墙中资源最密集的部分,评估其规则集以获取大量新连接。DDoS 攻击会很快摧毁任何防火墙。一个人可以处理多快和多大的攻击取决于防火墙的大小。通常,您不希望将防火墙视为帮助解决 DDoS 攻击的解决方案,因为它很可能成为您网络上最容易受到这些攻击的攻击。