Q100 — AWS SCS-C02 第1章
第 100/100 题 | ← 返回第1章
一家公司拥有一个运行在Application Load Balancer(ALB)后端的Web应用程序。该应用程序正遭受凭证填充攻击,产生了大量失败的登录尝试。攻击来自多个IP地址,且登录尝试使用了已知移动设备模拟器的用户代理(User-Agent)字符串。 一位安全工程师需要实施一种解决方案来缓解该凭证填充攻击,同时仍允许合法用户登录该应用程序。 以下哪种解决方案能满足这些要求?
- A. 创建一个Amazon CloudWatch告警,响应包含指定用户代理字符串的登录尝试。为该告警添加一个Amazon Simple Notification Service(Amazon SNS)主题。
- B. 修改ALB的入站安全组,拒绝来自攻击所涉IP地址的流量。
- C. 为ALB创建一个AWS WAF Web ACL。创建一条自定义规则,阻止包含该设备模拟器用户代理字符串的请求。 ✓
- D. 为ALB创建一个AWS WAF Web ACL。创建一条自定义规则,仅允许来自合法用户代理字符串的请求。
正确答案: C. 为ALB创建一个AWS WAF Web ACL。创建一条自定义规则,阻止包含该设备模拟器用户代理字符串的请求。
解析
AWS WAF的规则配置允许基于特定HTTP头部(如User-Agent)进行请求过滤。题目中攻击的特征是使用特定User Agent,AWS WAF自定义规则直接阻止该User Agent能有效拦截攻击,同时不影响其他合法请求。选项C利用AWS WAF的阻断功能针对已知恶意特征,无需依赖IP列表或手动响应,符合高效缓解凭证填充的要求。选项A仅触发告警无主动防御;选项B因IP分散不适用;选项D使用允许列表可能过于宽泛或维护复杂。AWS安全最佳实践推荐使用WAF基于请求特征阻止攻击。