T1498.002: Отраженное увеличение сетевого трафика
Злоумышленники могут попытаться спровоцировать отказ в обслуживании (DoS-атака) посредством отражения больших объемов сетевого трафика и их направления к целевой системе. В таких сетевых DoS-атаках в качестве посредника используется сторонний сервер, который принимает запросы с поддельного IP-адреса целевой системы и отправляет ответы на этот адрес. Такой сервер-посредник обычно называют отражателем. Атака методом отражения состоит в отправке отражателям пакетов с поддельного IP-адреса жертвы. Как и в случае прямого увеличения сетевого трафика, для проведения такой атаки может использоваться несколько систем или ботнет, а также один или несколько отражателей. Сетевая DoS-атака может снизить доступность и функциональность целевых систем и сетей.
Чтобы увеличить объем отправляемого на сеть жертвы трафика, в атаках методом отражения часто используются протоколы, в которых размер ответа превышает размер запроса. Такая атака называется "отраженным увеличением сетевого трафика". Злоумышленники могут генерировать объем атакующего трафика, превышающий объем запросов, отправленных на отражатель, на несколько порядков. Объем сгенерированного трафика зависит от многих факторов, таких как используемые протокол, метод и серверы-отражатели, обеспечивающие увеличение объема сетевого трафика в атаке. Чаще всего для атаки с отраженным увеличением сетевого трафика используют протоколы DNS и NTP, хотя в реальной среде применялись и некоторые другие протоколы. В частности, свою эффективность продемонстрировал протокол memcache — с его помощью злоумышленники увеличили объем трафика в 51 200 раз.
Способы обнаружения
| ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Иногда сетевые DoS-атаки можно обнаружить до того, как нарастающий объем трафика нарушит работу сервиса. Однако для этого нужен очень строгий мониторинг и оперативное реагирование либо помощь поставщика сетевых услуг, управляющего вышестоящей инфраструктурой. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов). |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
|---|
Меры противодействия
| ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Когда объем потока превышает пропускную способность атакуемого сетевого соединения, обычно требуется перехват входящего трафика, чтобы отфильтровать атакующий трафик от легитимного. Такие средства защиты могут быть предоставлены интернет-провайдером (ISP), предоставляющим услуги хостинга, или третьей стороной, например сетью доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак. В зависимости от объема потока фильтрация на месте может быть возможна путем блокирования адресов источников атаки, блокирования портов, на которые направлена атака, или блокирования соответствующих транспортных протоколов. Поскольку для немедленного реагирования может потребоваться быстрое привлечение сторонних организаций, проанализируйте риск, связанный с воздействием сетевых DoS-атак на критически важные ресурсы, и создайте план аварийного восстановления и (или) план обеспечения непрерывности бизнеса для реагирования на инциденты. |
|---|