MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1498.001: Прямое увеличение сетевого трафика

Злоумышленники могут попытаться спровоцировать отказ в обслуживании (DoS-атака), отправляя большие объемы сетевого трафика непосредственно к целевой системе. DoS-атака может снизить доступность и функциональность целевых систем и сетей. Техника Прямое увеличение сетевого трафика предполагает отправку большого количества сетевых пакетов в целевую сеть с одной или нескольких систем. Для этого может использоваться практически любой сетевой протокол. Чаще всего используются протоколы без сохранения состояния, такие как UDP или ICMP, но также могут использоваться и протоколы с сохранением состояния, такие как TCP.

Для проведения сетевых флуд-атак на сети и сервисы часто используются ботнеты. Крупные ботнеты могут генерировать внушительные объемы трафика с систем, расположенных по всему миру. Злоумышленники могут использовать собственные ресурсы для создания инфраструктуры ботнета и управления ею или арендовать существующий ботнет для проведения атаки. В некоторых крупномасштабных атаках типа "распределенный отказ в обслуживании" (DDoS) используется так много систем, что каждая из них отправляет лишь небольшой объем трафика, которого в совокупности достаточно для перегрузки целевой сети. В таких обстоятельствах отличить DDoS-трафик от легитимного крайне сложно. Ботнеты использовались в некоторых из самых известных DDoS-атак, например в серии атак на крупнейшие банки США в 2012 году.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2340: Eltex_DHCP_Starvation: Атака на DHCP
eltex: PT-CR-2341: Eltex_ARP_storm: DoS-атака на ARP-таблицу
eltex: PT-CR-2344: Eltex_MAC_Flooding: Переполнение таблицы MAC-адресов
eltex: PT-CR-2346: Eltex_TCP_SYN_attack: Атака SYN-флуд

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Иногда сетевые DoS-атаки можно обнаружить до того, как нарастающий объем трафика нарушит работу сервиса. Однако для этого нужен очень строгий мониторинг и оперативное реагирование либо помощь поставщика сетевых услуг, управляющего вышестоящей инфраструктурой. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

Когда объем потока превышает пропускную способность атакуемого сетевого соединения, обычно требуется перехват входящего трафика, чтобы отфильтровать атакующий трафик от легитимного. Такие средства защиты могут быть предоставлены интернет-провайдером (ISP), предоставляющим услуги хостинга, или третьей стороной, например сетью доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак.

В зависимости от объема потока фильтрация на месте может быть возможна путем блокирования адресов источников атаки, блокирования портов, на которые направлена атака, или блокирования соответствующих транспортных протоколов.

Поскольку для немедленного реагирования может потребоваться быстрое привлечение сторонних организаций, проанализируйте риск, связанный с воздействием сетевых DoS-атак на критически важные ресурсы, и создайте план аварийного восстановления и (или) план обеспечения непрерывности бизнеса для реагирования на инциденты.