Eu acho que o pf pode lidar com isso ( synproxy, urpf e syncache) corretamente hardware decente sem problemas usando Freebsd ou OpenBSD. Eu vou usar o OpenBSD porque eu estou mais familiarizado com isso.
Está usando Free / Open BSD + pf uma opção viável para filtragem de DDoS? Qual dos dois teria melhor desempenho sob carga pesada? (Inundação de SYN maximizando um tubo de 1 gbit)
É mesmo uma opção a considerar, ou é necessário um filtro DDoS de hardware completo para obter um desempenho suficientemente rápido?
Eu acho que o pf pode lidar com isso ( synproxy, urpf e syncache) corretamente hardware decente sem problemas usando Freebsd ou OpenBSD. Eu vou usar o OpenBSD porque eu estou mais familiarizado com isso.
Usar qualquer firewall como proteção contra DDoS é uma má ideia. Ataques DDoS atingem a parte mais intensiva de recursos de qualquer firewall, avaliando seu conjunto de regras para um grande número de novas conexões. Ataques DDoS derreter qualquer firewall muito rapidamente. A rapidez e o tamanho de um ataque que se pode lidar depende do tamanho de um firewall. Em geral, você não quer olhar para um firewall como uma solução para ajudar com ataques DDoS, pois ele provavelmente se tornará a coisa mais suscetível em sua rede a sucumbir a esses ataques.