13. 若安全營運中心(SOC)於內部 DNS 伺服器偵測到大量指向 *.onion 的查詢，但防火牆尚未攔阻，下列何項即時防禦措施最符合效率及不影響正常服務運作？
(A) 直接封鎖所有 53/TCP 與 53/UDP 流量
(B) 通知使用者可能違反政策，待其自我修正
(C) DNS 層將可疑頂級網域(Top-Level Domain, TLD)解析為内部黑洞(sinkhole)IP
(D) 調高 DNS 服務優先權，以降低查詢逾時

答案：登入後查看
統計： A(3), B(5), C(46), D(3), E(0) #3536959

Aaron Lim

B1 · 2025/08/25

#6622304

SOC偵測到大量.onion域名查...

(共 2653 字，隱藏中）

前往觀看

hiiii

B2 · 2025/08/30

#6629597

這題答案是 (C) DNS 層將可疑頂級網域 (TLD) 解析為內部黑洞 (sinkhole) IP ✅

詳細解析

偵測到大量指向 *.onion 的 DNS 查詢。
- onion 網域是 Tor Hidden Service 使用的，不應該在正常企業環境中大量出現。
- 屬於高度可疑的惡意或未經授權的匿名通訊。
要求：即時防禦措施 ＋ 高效率 ＋ 不影響正常服務。

(A) 直接封鎖所有 53/TCP 與 53/UDP 流量
- ❌ 太粗暴，會讓所有正常 DNS 查詢都中斷，等於全公司上不了網。
- 完全不符合「不影響正常服務」。
(B) 通知使用者可能違反政策，待其自我修正
- ❌ 太被動，SOC 偵測到是即時異常，需要「主動防禦」而不是靠用戶自律。
(C) DNS 層將可疑 TLD 解析為內部黑洞 (sinkhole) IP
- ✅ 最佳作法。
- 在 DNS Resolver 層面設定規則：所有對 *.onion 的查詢，直接回應 內部無害 IP (sinkhole)。
- 好處：
  - 攻擊流量被導向可控環境，不會連上真正的惡意網域。
  - 不影響正常的 DNS 流量。
  - SOC 還能收集這些請求，做進一步追蹤調查。
(D) 調高 DNS 服務優先權，以降低查詢逾時
- ❌ 這只是調整效能參數，完全沒解決安全問題。