2025年AWS认证Route53DNS劫持与欺骗防护措施专题试卷及解析.pdfVIP

2025年AWS认证ROUTE53DNS劫持与欺骗防护措施专题试卷及解析1

2025年AWS认证Route53DNS劫持与欺骗防护措施专

题试卷及解析

2025年AWS认证Route53DNS劫持与欺骗防护措施专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSRoute53中，以下哪项功能是专门设计用来防止DNS劫持的？

A、Route53ResolverDNSFirewall

B、Route53HealthChecks

C、Route53TrafficFlow

D、Route53GeolocationRouting

【答案】A

【解析】正确答案是A。Route53ResolverDNSFirewall是AWS提供的专门用于

DNS安全防护的服务，可以创建规则组来阻止对已知恶意域名的查询，有效防止DNS

劫持和欺骗。B选项健康检查用于监控终端节点状态，C选项流量管理用于复杂路由策

略，D选项地理位置路由基于用户位置路由，这些都与DNS劫持防护无直接关系。知

识点：DNS安全防护机制。易错点：容易混淆Route53的各种功能定位。

2、当检测到DNS欺骗攻击时，以下哪种DNS记录类型最容易被篡改？

A、A记录

B、NS记录

C、TXT记录

D、CNAME记录

【答案】B

【解析】正确答案是B。NS记录（名称服务器记录）是DNS体系结构中的关键记

录，攻击者通过篡改NS记录可以将域名解析指向恶意DNS服务器，实现DNS欺骗。

A记录直接映射域名到IP，TXT记录用于文本信息，CNAME记录用于别名解析，虽

然也可能被篡改，但NS记录的篡改影响范围更大。知识点：DNS记录类型安全特性。

易错点：容易忽视NS记录在DNS体系中的核心地位。

3、Route53的哪项特性可以帮助缓解DNS缓存投毒攻击？

A、支持DNSSEC

B、多值应答

C、加权路由

D、延迟路由

【答案】A

【解析】正确答案是A。DNSSEC（域名系统安全扩展）通过数字签名验证DNS响

应的真实性，可以有效防止DNS缓存投毒。B选项多值应答用于负载均衡，C选项加

2025年AWS认证ROUTE53DNS劫持与欺骗防护措施专题试卷及解析2

权路由用于流量分配，D选项延迟路由基于延迟优化路由，这些都不能直接防止缓存投

毒。知识点：DNSSEC防护原理。易错点：容易混淆DNSSEC与其他DNS功能。

4、在Route53中配置私有托管区域时，以下哪种安全措施最重要？

A、启用VPCDNS解析日志记录

B、使用IAM策略限制访问

C、配置DNS查询日志

D、设置健康检查

【答案】B

【解析】正确答案是B。对于私有托管区域，使用IAM策略限制访问是最基础的安

全措施，可以防止未授权用户修改DNS记录。A和C选项用于监控和审计，D选项用

于可用性检查，虽然重要但不如访问控制关键。知识点：私有DNS区域安全配置。易

错点：容易忽视访问控制在DNS安全中的基础地位。

5、Route53Resolver的哪项功能可以检测异常DNS查询模式？

A、端点日志记录

B、DNS查询日志

C、规则组关联

D、转发规则

【答案】B

【解析】正确答案是B。DNS查询日志可以记录所有DNS查询请求，通过分析这

些日志可以检测异常查询模式，如大量查询恶意域名。A选项端点日志记录主要记录解

析器端点活动，C选项规则组关联用于应用防火墙规则，D选项转发规则用于定向查

询。知识点：DNS监控与异常检测。易错点：容易混淆不同类型日志的作用。

6、在多账户环境中，以下哪种方法最适合保护Route53托管区域？

A、使用AWSOrganizations服务控制策略

B、启用跨账户资源共享

C、配置公共托管