Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1499 , T1499.001 , T1499.002 , T1499.003 , T1499.004
Злоумышленники могут предпринять атаку типа "отказ в обслуживании" (DoS), нацеленную на операционную систему (ОС) конечной точки. ОС системы отвечает за управление ограниченными ресурсами, а также за предотвращение перегрузки всей системы из-за чрезмерных требований к ее мощности. Эти атаки не обязательно должны исчерпывать реальные ресурсы системы; они могут просто исчерпать ограничения и доступные ресурсы, которые ОС устанавливает самостоятельно.
Существуют различные способы достижения этой цели, включая атаки на исчерпание состояния TCP, такие как SYN-флуд и ACK-флуд.(Цит. по: Arbor AnnualDoSreport Jan 2018) При SYN-флуде отправляется чрезмерное количество SYN-пакетов, но 3-стороннее рукопожатие TCP никогда не завершается.Поскольку каждая ОС имеет максимальное количество одновременных TCP-соединений, которые она может разрешить, это может быстро исчерпать способность системы получать новые запросы на TCP-соединения, тем самым предотвращая доступ к любому TCP-сервису, предоставляемому сервером.(Цитата: Cloudflare SynFlood)
ACK-флуд использует государственную природу протокола TCP. Цели отправляется поток ACK-пакетов. Это заставляет ОС искать в своей таблице состояний связанное TCP-соединение, которое уже было установлено. Поскольку пакеты ACK предназначены для несуществующих соединений, ОС придется просмотреть всю таблицу состояний, чтобы убедиться в отсутствии совпадений. Когда это необходимо сделать для большого потока пакетов, вычислительные требования могут привести к тому, что сервер станет вялым и/или не будет реагировать на запросы из-за работы, которую он должен выполнить для устранения несанкционированных ACK-пакетов.Это значительно сокращает ресурсы, доступные для предоставления целевого сервиса.(Цитата: Corero SYN-ACKflood)
https://attack.mitre.org/techniques/T1499/001
Визуализация смежных техник для T1499.001
| № | Техника |
|---|
