T1498: Сетевой отказ в обслуживании

Злоумышленники могут проводить атаки типа "сетевой отказ в обслуживании", чтобы нарушить или заблокировать доступ к ресурсам для пользователей. Сетевые DoS-атаки могут заключаться в исчерпании пропускной способности сети, которую используют службы. Злоумышленники могут атаковать конкретные веб-сайты, службы электронной почты, DNS-службы и веб-приложения. В известных случаях злоумышленники проводили сетевые DoS-атаки по политическим мотивам или для обеспечения других вредоносных действий, включая отвлечение внимания, хактивизм и вымогательство.

Сетевая DoS-атака происходит, когда пропускная способность сетевого соединения с системой исчерпывается вредоносным трафиком, направленным на ресурс или на сетевые подключения и сетевые устройства, от которых зависит функционирование ресурса. Например, злоумышленник может отправить трафик в 10 Гбит/с на сервер, который обслуживается сетью с пропускной способностью в 1 Гбит/с. Для генерации такого объема трафика может использоваться одна или несколько систем, расположенных в разных местах. Такие атаки называются "распределенным отказом в обслуживании", или DDoS-атакой.

Для проведения сетевых DoS-атак могут применяться разные методы с общими особенностями, включая использование поддельных IP-адресов и ботнетов.

Злоумышленники могут использовать собственный IP-адрес атакующей системы или подделать IP-адрес источника, чтобы затруднить отслеживание трафика или применить метод отражения. Подделка IP-адреса уменьшает или сводит на нет эффективность фильтрации по исходному адресу на устройствах сетевой защиты, усложняя работу специалистов по безопасности.

Чтобы узнать больше о DoS-атаках, нацеленных непосредственно на хост-систему, см. технику Точечный отказ в обслуживании.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2343: Eltex_Abnormal_Broadcast_Traffic: Аномальная широковещательная передача пакетов network_devices_compromise: PT-CR-2127: DHCP_Starvation: Атака DHCP Starvation

Подтехники

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Иногда сетевые DoS-атаки можно обнаружить до того, как нарастающий объем трафика нарушит работу сервиса. Однако для этого нужен очень строгий мониторинг и оперативное реагирование либо помощь поставщика сетевых услуг, управляющего вышестоящей инфраструктурой. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

Когда объем потока превышает пропускную способность целевого сетевого соединения, обычно требуется перехват входящего трафика, чтобы отфильтровать атакующий трафик от легитимного. Такие средства защиты могут быть предоставлены интернет-провайдером (ISP), предоставляющим услуги хостинга, или третьей стороной, например сетью доставки контента (CDN) или провайдерами, специализирующимися на защите от DoS-атак.

В зависимости от объема потока, фильтрация на месте может быть возможна путем блокирования адресов источников атаки, блокирования портов, на которые направлена атака, или блокирования протоколов, используемых для транспортировки.

Поскольку для немедленного реагирования может потребоваться быстрое привлечение сторонних организаций, проанализируйте риск, связанный с воздействием сетевых DoS-атак на критически важные ресурсы, и создайте план аварийного восстановления/план обеспечения непрерывности бизнеса для реагирования на инциденты.