第 一 題

「反向代理（Reverse Proxy）」是指部署於伺服器端網路邊緣的一種代理伺服器，主要負責接收來自網際網路的客戶端（Client）連線請求，並將其轉發至內部網路的後端伺服器（Backend Servers）進行處理，最後再將結果回傳給客戶端。對客戶端而言，反向代理伺服器即表現為目標伺服器，從而隱藏了真實伺服器的網路拓撲與 IP 位址。 其主要特徵與功能包含： (1) 負載平衡（Load Balancing）：可將大量進入的請求依演算法（如 Round-Robin）分配至多台後端伺服器，提升系統可用性並避免單一節點過載。

「DNS 反射與放大阻斷服務攻擊（DNS Reflection/Amplification DDoS Attack）」係指攻擊者利用網際網路上配置不當的開放 DNS 解析器（Open DNS Resolver），對目標系統發動的分散式阻斷服務攻擊。其特徵包含：(1) 反射機制（Reflection）：攻擊者利用 UDP 協定無連線狀態的特性，將查詢封包的來源 IP 偽造（IP Spoofing）為受害者的 IP，當 DNS 伺服器收到請求後，會將解析結果「反射」回傳給受害者；(2) 放大效應（Amplification）：攻擊者通常會發送需要回傳大量記錄的請求（如 ANY 查詢），使 DNS 回應封包的資料量（可達數千 Bytes）遠大於初始查詢封包（數十 Bytes），達成數十甚至上百倍的頻寬放大效應。實務上，此攻擊會導致受害者的網路頻寬瞬間被海量 UDP 封包塞滿而癱瘓，防護機制通常仰賴實施來源位址驗證（如 BCP 38 規範過濾偽造 IP）或限制 DNS 伺服器的遞迴查詢（Recursive Query）權限。

「主動佇列管理（Active Queue Management, AQM）」是指在網路層（Network Layer）路由器（Router）中，為了預防網路壅塞（Network Congestion）而主動管理封包佇列（Packet Queue）的機制。 特徵包含： (1) 提前介入：與傳統待佇列滿載才丟棄封包的尾端丟棄（Tail Drop）不同，AQM 會在佇列達到滿載前，依據特定機率主動丟棄或標記（Marking）封包。

「邊界閘道協定（Border Gateway Protocol, BGP）」是目前網際網路（Internet）核心的外部閘道協定（Exterior Gateway Protocol, EGP），主要負責在不同的自治系統（Autonomous System, AS）之間交換網路層（Network Layer）的路由與可達性（Reachability）資訊。 其核心特徵包含： (1) 演算法機制：採用路徑向量（Path Vector）演算法，透過 UPDATE 訊息中的路徑屬性（Path Attributes，如 AS_PATH）記錄封包經過的 AS 序列，藉此有效避免路由迴圈（Routing Loops）。