Q59 — AWS ANS-C01 第1章

第 59/100 题 | ← 返回第1章

一家公司需要防范其AWS环境中任何Amazon EC2实例可能产生的僵尸网络命令与控制(C2)流量。哪种解决方案可满足此要求?

正确答案: B. 使用Amazon Route 53 Resolver DNS防火墙。在规则组中添加一条规则,使用AWSManagedDomainsBotnetCommandandControl托管域名列表,并设置操作为阻止僵尸网络流量。

解析

该题考查AWS环境中阻断僵尸网络命令控制流量的核心防护手段。关键点在于通过DNS层阻断恶意域名解析,因僵尸网络常通过特定域名建立C2通信。Amazon Route 53 Resolver DNS Firewall可直接拦截对托管黑名单域名的请求,使用AWSManagedDomainsBotnetCommandandControl预置列表实现精准封禁,而AWS Shield Advanced侧重DDoS防护,WAF Bot Control聚焦应用层流量,Systems Manager需依赖实例级配置,均不直接阻断DNS层C2连接。