複選題

10. 機關對外服務網站無法正常提供服務，經分析 DNS 遭受混合式 DDoS 攻擊，下列建議之DDoS 防護措施何者最「不」合適？
(A) 可透過採購網路流量清洗服務，來緩解 DDoS攻擊
(B)可透過限制 DNS 查詢次數，來緩解 DDoS 攻擊
(C)如果網路頻寬無須考量，可使用過濾機制來緩解 DDoS 攻擊
(D) 可透過避免成為 Open Resolver 來緩解 DDoS 攻擊

(A) 可透過採購網路流量清洗服務，來緩解 DDoS 攻擊

• 解釋：購買網路流量清洗服務（DDoS 緩解服務）是抵禦 DDoS 攻擊的有效方法之一。這些服務能夠在攻擊流量到達目標之前，將惡意流量從合法流量中分離並過濾掉，確保網站和服務的正常運作。此措施適用於緩解各種類型的 DDoS 攻擊，包括針對 DNS 的攻擊。因此，選項 A 是合適的防護措施。

(B) 可透過限制 DNS 查詢次數，來緩解 DDoS 攻擊

• 解釋：限制 DNS 查詢次數可能導致合法用戶無法正常解析域名，影響服務的可用性。DNS 服務需要對外提供穩定且高效的查詢能力，過度限制會阻斷合法流量，造成服務中斷。此外，攻擊者可能使用大量不同的 IP 地址或分散式方式進行攻擊，限制查詢次數對於分散式攻擊效果有限，並不能有效緩解 DDoS 攻擊。因此，選項 B 並不是合適的 DDoS 防護措施。

(C) 如果網路頻寬無須考量，可使用過濾機制來緩解 DDoS 攻擊

• 解釋：在 DDoS 攻擊中，攻擊者通常會消耗目標的網路頻寬。即使網路頻寬充足，過濾機制（如防火牆、入侵防禦系統）可能無法有效緩解針對 DNS 的 DDoS 攻擊，特別是混合式攻擊。這是因為過濾機制可能無法及時處理大量的攻擊流量，且過濾設備本身也可能成為瓶頸。此外，過濾機制需要考慮正確的配置，以避免影響合法流量。因此，僅依賴過濾機制而不考慮其他因素，可能並非最佳的防護措施。因此，選項 C 並不合適。

(D) 可透過避免成為 Open Resolver 來緩解 DDoS 攻擊

• 解釋：Open Resolver 是對任何網際網路用戶開放的 DNS 伺服器，攻擊者可以利用這些伺服器進行 DNS 放大攻擊。透過避免成為 Open Resolver，限制 DNS 伺服器僅對授權用戶提供服務，可以防止自身被利用來對其他目標發動攻擊，同時也能降低自身受到攻擊的風險。因此，選項 D 是合適的防護措施。
• Open Resolver 就是只會回應你管DNS，不會回其他東西，這樣可以避免放大式攻擊，如下圖。