Citat:
Ursprungligen postat av danielos
Jag hade ofta problem med dos eller ddos där gamla brandväggen inte kunde köra ratelimit. Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt, och sedan dess inte haft några problem alls när ddos i denna omfattning kommer, men självklart tror jag inte ens bra brandväggar klarar av flera gbit ddos och mer, men denna ddos känns inte som större än de största jag själv råkat ut för.
|
Normalt så är nästan alla FW rena CPU baserade saker, så hur du än gör så belastar du CPU. Även om vissa saker drar mer eller mindre.
Att hantera många state och bygga upp en fet tabell över det tar CPU. Självklart minskar belastningen genom att limit antal nya men även det tar CPU beräkningar.
Av den anledningen vill man ha ASIC baserade saker som du kan sätta ACL + Ratelimit där det inte spelar någon roll om det är 1Mbit eller 1Tbit som kommer. Sedan bara dra nödvändigaste trafiken för det som kan behöva puntas till CPU för att fungera.
För man blir alltid blåst av att köpa en brandväg i regel, du betalar en förmögenhet för inget alls.