阿摩線上測驗
24. 下列何項措施最能有效防止阻斷服務攻擊(Denial-of-Service, DoS)
(A) 隱藏伺服器的位置
(B) 使用內容傳遞網路(CDN)
(C) 限制單個 IP 位址的請求速率
(D) 啟用伺服器的日誌記錄
統計: A(15), B(22), C(108), D(7), E(0) #3671660
詳解 (共 2 筆)
這題的正確答案是 (C) 限制單個 IP 位址的請求速率。
以下是詳細解析:
為什麼選擇 (C)?
-
針對 DoS 的核心防禦:阻斷服務攻擊 (DoS) 的特徵通常是單一或少數來源(Source)向伺服器發送大量請求,試圖耗盡伺服器的資源(如 CPU、記憶體或連線數)。
-
速率限制 (Rate Limiting):透過限制「單一 IP 在單位時間內的請求次數」(例如每秒只能發送 10 個請求),系統可以有效識別並阻擋異常頻繁的惡意請求,防止單一攻擊者癱瘓服務。這是防禦 DoS 最直接且具體的技術控制措施。
其他選項的分析:
-
(A) 隱藏伺服器的位置:
-
這屬於「隱匿式安全 (Security by Obscurity)」。雖然可以增加駭客尋找目標的難度,但一旦位置(IP)曝光,這個措施就完全無效,無法「防止」攻擊流量。
-
-
(B) 使用內容傳遞網路 (CDN):
-
注意區別:CDN 主要是用來防禦 DDoS (分散式阻斷服務攻擊)。因為 DDoS 來自四面八方的海量 IP,單靠伺服器端的速率限制可能擋不住頻寬被塞爆。CDN 透過龐大的頻寬來「清洗」或「吸收」流量。
-
但在考題區分上,針對單純的 DoS(單一來源),最基礎且核心的防禦機制是速率限制 (Rate Limiting)。此外,CDN 是一種架構服務,而 (C) 是一種具體的設定技術。
-
-
(D) 啟用伺服器的日誌記錄:
-
日誌 (Log) 是用來偵測 (Detect) 攻擊發生、進行事後鑑識 (Forensics) 分析用的,它本身無法「即時阻擋」攻擊的進行。
-
原理:流量整形 (Traffic Shaping) 與 速率限制 (Rate Limiting)。
邏輯: DoS 攻擊的本質是「以量取勝」,透過大量請求耗盡伺服器的 CPU、記憶體或頻寬。
分析: 在伺服器或防火牆端設定「單一來源在單位時間內的請求上限」,可以直接過濾掉異常的高頻請求。雖然這對大規模「分散式」阻斷服務(DDoS)防禦力有限,但它是防止單一來源 DoS 最直接、成本最低且最基本的防禦手段。
選項 (B) 使用內容傳遞網路 (CDN) —— DDoS 的救星,但非 DoS 的核心
-
原理:分散流量與邊緣快取。
-
分析: CDN 確實非常強大,它能吸收龐大的流量,對抗 DDoS 極度有效。但在 IPAS 的考題語境中,若題目強調的是基本的 DoS (單一來源),(C) 的速率限制通常被視為最基礎且核心的防禦機制。