Я управляю игровым сообществом на коло с портом 100 Мбит / с. Я хочу купить очень дешевый сервер за 35 долларов с тем же портом 100 Мбит / с и запустить pfSense для использования в качестве аппаратного межсетевого экрана. Я имею дело с группой 14-летних детей, у которых есть доступ к ботнетам, поэтому получить что-то вроде этого может стать немного необходимым. Мой общий вопрос: стоит ли использовать pfSense на дешевом сервере с идентичной скоростью передачи данных / портов, чтобы фактически блокировать DDoS-атаки?
Немного подробнее, так как я предполагаю, что вы спросите об этом, атаки, которые мы получаем, обычно составляют около 1 Гбит / с. В настоящее время мы запускаем CentOS с использованием CSF Firewall, и даже при использовании программного брандмауэра мы довольно легко блокируем UDP-потоки со скоростью 500 Мбит / с или просто общие атаки.
Спасибо, - Некро
Это зависит от типа DoS-атаки, о которой вы говорите.
Если вы говорите об атаке с истощением полосы пропускания, это не поможет: вы все равно перегрузите свой восходящий канал и в конечном итоге упадете (или, по крайней мере, столкнетесь с серьезными проблемами с производительностью).
Чтобы смягчить этот вид атаки, ваш интернет-провайдер должен будет блокировать атаки до того, как они достигнут вашего сервера / порта. (Вашему интернет-провайдеру также потребуется достаточная пропускная способность для отражения атаки. Если вы действительно видя в трафике 1 Гбит / с, ваш интернет-провайдер, скорее всего, попросит вас найти новый дом.)
Если вы говорите о настоящем DDoS (Dраспределенный отказ в обслуживании) простой брандмауэр может не подойти, и такие компании, как У Arbor Networks есть решения, специально разработанные для решения этой проблемы. - Ценник, как вы понимаете, достаточно внушительный.
С другой стороны, если вы говорите об атаках на исчерпание ресурсов на сервере (например, связывая все TCP-соединения), при правильной настройке может помочь блок pfSense (или любой другой выделенный межсетевой экран).