Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1499 , T1499.001 , T1499.002 , T1499.003 , T1499.004
Злоумышленники могут осуществлять атаки типа "отказ в обслуживании конечной точки" (DoS), чтобы снизить или заблокировать доступность сервисов для пользователей. DoS-атаки на конечные точки могут осуществляться путем исчерпания системных ресурсов, на которых размещены сервисы, или использования системы для создания устойчивого состояния сбоя. В качестве примера можно привести веб-сайты, почтовые службы, DNS и веб-приложения.Злоумышленники проводили DoS-атаки в политических целях (цитата: FireEye OpPoisonedHandover February 2016) и для поддержки других вредоносных действий, включая отвлечение внимания (цитата: FSISAC FraudNetDoS September 2012), хактивизм и вымогательство.(цитата: Symantec DDoS October 2014)
DoS конечной точки лишает доступности сервис без насыщения сети, используемой для предоставления доступа к сервису. Злоумышленники могут атаковать различные уровни стека приложений, размещенных на системе, используемой для предоставления услуги. Эти уровни включают операционные системы (ОС), серверные приложения, такие как веб-серверы, DNS-серверы, базы данных, а также приложения (обычно веб-приложения), которые располагаются поверх них. Для атаки на каждый слой требуются различные методы, использующие узкие места, характерные для соответствующих компонентов. DoS-атака может быть сгенерирована одной системой или несколькими системами, разбросанными по всему интернету, что обычно называют распределенной DoS-атакой (DDoS).
Для проведения DoS-атак на ресурсы конечных точек применяются несколько методов, включая подмену IP-адресов и ботнеты.
Злоумышленники могут использовать оригинальный IP-адрес атакующей системы или подменять IP-адрес источника, чтобы затруднить отслеживание трафика атаки до атакующей системы или обеспечить возможность отражения. Это может повысить сложность защиты от атак, поскольку снижает или сводит на нет эффективность фильтрации по адресу источника на устройствах сетевой защиты.
Ботнеты обычно используются для проведения DDoS-атак на сети и сервисы. Крупные ботнеты могут генерировать значительный объем трафика от систем, расположенных в глобальной сети Интернет. Злоумышленники могут располагать ресурсами для создания и контроля собственной инфраструктуры ботнета или арендовать время в существующем ботнете для проведения атаки. В некоторых худших случаях DDoS для генерации запросов используется так много систем, что каждой из них достаточно послать небольшой объем трафика, чтобы исчерпать ресурсы цели. В таких условиях отличить трафик DDoS от трафика легитимных клиентов становится крайне сложно.Ботнеты использовались в некоторых из самых громких DDoS-атак, например в серии инцидентов 2012 года, направленных против крупнейших банков США.(Цитата: USNYAG IranianBotnet March 2016)
В случаях, когда используется манипуляция трафиком, в глобальной сети могут существовать точки (например, шлюзовые маршрутизаторы с высоким трафиком), где пакеты могут быть изменены и заставить легитимных клиентов выполнить код, который направляет сетевые пакеты к цели в большом объеме.Подобные возможности ранее использовались для целей веб-цензуры, когда клиентский HTTP-трафик модифицировался для включения ссылки на JavaScript, который генерировал DDoS-код для перегрузки целевых веб-серверов.(Цитата: ArsTechnica Great Firewall of China)
Об атаках, направленных на насыщение сети, см. раздел Network Denial of Service.
https://attack.mitre.org/techniques/T1499
Визуализация смежных техник для T1499
| № | Техника |
|---|
