2025年AWS认证DNS基础设施安全与Route53+Shield防护方案专题试卷及解析.pdf

2025年AWS认证DNS基础设施安全与ROUTE53+SHIELD防护方案专题试卷及解析1

2025年AWS认证DNS基础设施安全与

Route53+Shield防护方案专题试卷及解析

2025年AWS认证DNS基础设施安全与Route53+Shield防护方案专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在AWSRoute53中，哪种记录类型用于将域名指向另一个域名，通常用于

CNAME记录不能使用的根域（如）？

A、A记录

B、CNAME记录

C、NS记录

D、ALIAS记录

【答案】D

【解析】正确答案是D。ALIAS记录是Route53特有的记录类型，功能类似于

CNAME，但可以用于根域（如），而CNAME记录不能用于根域。A记

录直接指向IP地址，NS记录用于指定域名服务器。知识点：Route53记录类型。易

错点：容易混淆ALIAS和CNAME的使用场景，特别是根域的限制。

2、AWSShieldStandard防护服务提供的基础防护主要针对哪种类型的攻击？

A、SQL注入攻击

B、跨站脚本攻击（XSS）

C、分布式拒绝服务攻击（DDoS）

D、暴力破解攻击

【答案】C

【解析】正确答案是C。AWSShieldStandard专门用于防护常见的网络和传输层

DDoS攻击，如SYNflood、UDPflood等。SQL注入和XSS属于应用层攻击，需要通

过WAF防护；暴力破解攻击通常通过IAM策略和其他安全措施防护。知识点：AWS

Shield防护范围。易错点：容易混淆Shield和WAF的防护对象。

3、在Route53健康检查中，哪种检查类型可以监控特定端口的可用性？

A、HTTP健康检查

B、HTTPS健康检查

C、TCP健康检查

D、计算健康检查

【答案】C

【解析】正确答案是C。TCP健康检查可以监控指定端口的连通性，适用于任何

基于TCP的服务。HTTP/HTTPS检查只能监控Web服务，计算健康检查用于监控

2025年AWS认证DNS基础设施安全与ROUTE53+SHIELD防护方案专题试卷及解析2

CloudWatch指标。知识点：Route53健康检查类型。易错点：容易忽略TCP检查的

通用性，误以为只能用于Web服务。

4、AWSShieldAdvanced的自动应用层DDoS防护主要依赖哪个服务？

A、AWSWAF

B、AWSFirewallManager

C、AWSNetworkFirewall

D、AWSGuardDuty

【答案】A

【解析】正确答案是A。ShieldAdvanced与AWSWAF集成，提供自动应用层DDoS

防护。FirewallManager用于集中管理WAF规则，NetworkFirewall用于VPC流量过

滤，GuardDuty用于威胁检测。知识点：ShieldAdvanced与WAF的集成。易错点：容

易混淆不同防火墙服务的功能定位。

5、Route53中的延迟路由策略基于什么标准选择资源？

A、地理位置

B、网络延迟

C、用户IP段

D、可用区

【答案】B

【解析】正确答案是B。延迟路由策略根据AWS测量的网络延迟选择最佳资源，而

非简单的地理位置。地理位置路由基于用户位置，IP段路由需要自定义映射，可用区

路由用于内部负载均衡。知识点：Route53路由策略。易错点：容易误以为延迟路由等

同于地理位置路由。

6、启用DNSSEC签名后，Route53会自动创建哪种记录来验证签名？

A、DS记录

B、RRSIG记录

C、DNSKEY记录

D、NSEC记录

【答案】B

【解析】正确答案是B。RRSIG记录包含DNS记录的数字签名，DNSSEC验证时

使用。DS记录由父域发布，DNSKEY记录包含公钥，NSEC记录用于证明不存在记录。

知识点：DNSSE