24. 下列何項措施最能有效防止阻斷服務攻擊(Denial-of-Service, DoS)
(A) 隱藏伺服器的位置
(B) 使用內容傳遞網路(CDN)
(C) 限制單個 IP 位址的請求速率
(D) 啟用伺服器的日誌記錄

這題的正確答案是 (C) 限制單個 IP 位址的請求速率。

以下是詳細解析：

為什麼選擇 (C)？

• 針對 DoS 的核心防禦：阻斷服務攻擊 (DoS) 的特徵通常是單一或少數來源（Source）向伺服器發送大量請求，試圖耗盡伺服器的資源（如 CPU、記憶體或連線數）。

• 速率限制 (Rate Limiting)：透過限制「單一 IP 在單位時間內的請求次數」（例如每秒只能發送 10 個請求），系統可以有效識別並阻擋異常頻繁的惡意請求，防止單一攻擊者癱瘓服務。這是防禦 DoS 最直接且具體的技術控制措施。

其他選項的分析：

• (A) 隱藏伺服器的位置：

  • 這屬於「隱匿式安全 (Security by Obscurity)」。雖然可以增加駭客尋找目標的難度，但一旦位置（IP）曝光，這個措施就完全無效，無法「防止」攻擊流量。

• (B) 使用內容傳遞網路 (CDN)：

  • 注意區別：CDN 主要是用來防禦 DDoS (分散式阻斷服務攻擊)。因為 DDoS 來自四面八方的海量 IP，單靠伺服器端的速率限制可能擋不住頻寬被塞爆。CDN 透過龐大的頻寬來「清洗」或「吸收」流量。

  • 但在考題區分上，針對單純的 DoS（單一來源），最基礎且核心的防禦機制是速率限制 (Rate Limiting)。此外，CDN 是一種架構服務，而 (C) 是一種具體的設定技術。

• (D) 啟用伺服器的日誌記錄：

  • 日誌 (Log) 是用來偵測 (Detect) 攻擊發生、進行事後鑑識 (Forensics) 分析用的，它本身無法「即時阻擋」攻擊的進行。