Является ли использование Free / Open BSD + pf подходящим вариантом для фильтрации DDoS-атак? Какой из двух будет лучше работать при большой нагрузке? (SYN-флуд для канала 1 Гбит)
Можно ли вообще об этом подумать или нужен полный аппаратный фильтр DDoS для получения достаточно высокой производительности?
Использование любого межсетевого экрана в качестве защиты от DDoS-атак - плохая идея. DDoS-атаки поражают наиболее ресурсоемкую часть любого брандмауэра, оценивая свой набор правил на наличие огромного количества новых подключений. DDoS-атаки очень быстро разрушают любой брандмауэр. Насколько быстро и насколько масштабную атаку можно отразить, зависит от размера брандмауэра. В общем, вы не хотите рассматривать брандмауэр как решение, помогающее от DDoS-атак, поскольку он, скорее всего, станет наиболее уязвимым объектом в вашей сети для этих атак.
Думаю, что pf справится (synproxy, urpf и настройка syncache) это правильно на приличном оборудовании без проблем с использованием Freebsd или OpenBSD. Я предпочитаю использовать OpenBSD, потому что я больше с ним знаком.