Acerca das características e dos processos de mitigação de u...

Alternativa correta: E - errado.

A questão aborda a capacidade de um firewall de camada de aplicação em mitigar ataques de negação de serviço distribuídos (DDoS) que ocorrem na camada de aplicação, como é o caso de ataques que utilizam o protocolo HTTP. Um conhecimento fundamental para a compreensão da questão é a distinção entre as diferentes camadas nos modelos de rede, como o modelo OSI ou o TCP/IP, e a função de um firewall de camada de aplicação, que também é conhecido como Application Layer Firewall ou Web Application Firewall (WAF).

O enunciado sugere que a utilização do protocolo HTTPS impede a mitigação de ataques DDoS por um firewall de camada de aplicação devido à cifragem dos dados. No entanto, esta afirmação é incorreta. A mitigação de ataques DDoS é possível mesmo com o uso de HTTPS, pois os firewalls de aplicação modernos são capazes de realizar a inspeção SSL/TLS (Secure Sockets Layer / Transport Layer Security), o que lhes permite descriptografar e analisar o tráfego HTTPS em busca de padrões maliciosos. Assim, eles podem identificar e bloquear ataques mesmo quando os dados estão cifrados, desde que estejam devidamente configurados para tal.

Além disso, um WAF é projetado especificamente para proteger contra ataques que ocorrem na camada de aplicação, incluindo aqueles que utilizam o HTTP/S. Ele analisa o tráfego HTTP/S e pode aplicar um conjunto de regras para bloquear tráfego malicioso, como ataques de injeção SQL, cross-site scripting (XSS), e, claro, alguns tipos de ataques DDoS.

Portanto, a afirmação de que a mitigação não seria possível porque os dados trafegados são cifrados não está correta, uma vez que os WAFs modernos possuem mecanismos para lidar com o tráfego HTTPS, e por isso a alternativa E - errado é a correta.

Alguém pode comentar?

Acho que o erro está em "devem ser mitigados em firewall de camada de aplicação". 

Um ataque desse tipo é muito difícil de ser detectado na camada de aplicação, pois é tido como tráfego legítimo. O que os hosts costumam fazer é bloquear a faixa de IPs que estão consumindo demasiadamente os recursos.

Concordo com o Bruno, acho que não é possível bloquear ataques ddos com firewall não. Na verdade é um tipo de ataque muito difícil de ser detectado.

Neste caso acredito que o firewall de aplicação possa sim fazer o bloqueio, uma vez que os dados criptografados estejam encapsulando apenas o payload, mas não o cabeçalho, será possível verificar ataques de determinadas origens através dos cabeçalhos e então efetuar o bloqueio.

A resposta da questão é ERRADO.

Na camada de aplicação a criptografia já foi desfeita, portanto já seria possível a visualização do payload.
A partir do momento que os dados chegam na "aplicação" o processo reverso é realizado (descriptografa o dado), deste modo, por ser um terminador do tráfego SSL, o firewall de camada de aplicação, pode avaliar hipertextos criptografados (HTTPS) que originalmente passariam despercebidos ou não analisados por firewalls tradicionais de rede.

Espero ter ajudado.