阿摩線上測驗
19. 【題組 2】情境如附圖所示。承上題,針對 TCP SYN Flood 攻擊,下列何項應對策略可能無法有效緩解攻擊的影響?
(A) 啟用 DNS 反向代理
(B) 設定 TCP 連接速率限制
(C) 啟用 SYN Cookies 機制
(D) 將展示服務部署到內容派遣網路(Content Distribution Network,CDN)上,由 CDN 進行 DDoS 防禦
統計: A(32), B(11), C(7), D(6), E(0) #3536965
詳解 (共 2 筆)
-> SYN Cookies 是什麼?
SYN Cookies 是一種 抵禦 TCP SYN Flood 攻擊 的機制。
原理是:
-
在 TCP 三向交握 (Three-way handshake) 中,伺服器收到 SYN 後不立即建立連線表項。
-
伺服器會回覆一個 特殊計算過的序號 (ISN, Initial Sequence Number),這個序號編碼了連線必要的資訊(像是來源 IP、埠號、時間戳等)。
-
當客戶端真的回 ACK 時,伺服器再驗證這個編碼,如果正確,才真正分配連線資源。
-> 這樣可以避免攻擊者用一堆偽造 SYN 封包耗盡伺服器的連線表。
只能 防止 半開連線 (Half-open connections) 造成資源耗盡
答案是 (A) 啟用 DNS 反向代理 ✅
詳細解析
TCP SYN Flood 攻擊特徵
-
攻擊者大量送出 SYN 封包,導致伺服器產生 半開連線 (Half-Open Connection),耗盡 TCP backlog queue。
-
目標是耗盡伺服器連線資源,使合法用戶無法連線。
各選項分析
-
(A) 啟用 DNS 反向代理
-
❌ 無效。SYN Flood 攻擊針對的是 TCP 三向交握,不是 DNS 查詢。
-
啟用反向 DNS 與此攻擊類型 不相關,無法緩解。
-
-
(B) 設定 TCP 連接速率限制
-
✅ 有效。可限制新連線的速率,降低攻擊流量影響。
-
-
(C) 啟用 SYN Cookies 機制
-
✅ 有效。SYN Cookies 可以避免 backlog 被塞爆,讓伺服器在握手完成前不耗盡資源。
-
-
(D) 將服務部署到 CDN
-
✅ 有效。CDN 廠商通常具備大規模 DDoS 防禦能力,能吸收/過濾 SYN Flood 流量。
-
結論
-> 針對 TCP SYN Flood,(A) 啟用 DNS 反向代理 無法有效緩解。