Ну, машине не поможет ничего, а дальше за машиной — пропатченная сеть

перезаливаем IPS и радуемся жизни

Я о аппаратных ипс

Программно аппаратных не на этой же хост машине

Те же асы с фаверпавер

С подпиской

Т.е. схема ( cisco asa 5555x + firepower enterprise ) пропускающая единственный сервис  в сторону бекенда, строго после проверок на соответствие всем RFC  и сигнатурного анализа для DNS трафика .    А на бекенде постоянно обновляемый софт , за исключением  kernel.
В чем вы видите недостатки ?

речь конечно же  о DNS оператора связи / хостера / цода    не национального значения.  И да это просто  разговор о коне в вакууме.  Сугубо теоретический.  Интересны доводы коллег.

Все эти фаерволы, инспектирующие л7 - фуфломицил

Даже aws web-firewall с защитой от инъекций это фикция, были статьи на тему как легко их обойти

Бред сейлзов короче. Да и сигнатуры обновляются не особо быстро, обычно сплойты в паблик быстрее попадают

Сейчас речь про строго днс

Не веб и не waf

ну я бы не был столь категоричен :) Да, доля есть немалая, но все же...

нетмап это все же всего-лишь способ передать пакет в юзерспейс. Не больше. В отличии от дпдк, который содержит кроме feature enabled drivers еще и кучу всего, что необходимо для пэкет процессинга (тот же lpm)

на самом деле список можно продолжать очень долго... :)

ну эт прям жир потек

это полностью зависит от твоего софта. Как с нетмапом бы можешь написать по хардкору поллинг интерфейса в бизилупе, так и в дпдк можно, например, при малом потоке снижать частоту, либоу не выкидывать из шедулера процессинг ядро

мейнтейнеры отказали в затаскивании бифуркейтед драйвера по соображениям безопасности, мол физческая функция должна пренадлежать только ядру. По этому юзайте sr-iov и не будет никаких пролем с присутствием интерфейса и в ядре и в юзерспейсе

о это уже давно далеко не так

ну это первое, что делает очень больно как только хочется сделать тупенький свитч с vlan, например.