T1499: Точечный отказ в обслуживании
Злоумышленники могут вызвать отказ в обслуживании на конечных системах, чтобы усложнить или заблокировать доступ к службам для пользователей. Состояние отказа в обслуживании (DoS) на конечных системах может быть вызвано путем исчерпания ресурсов системы, на которой размещены эти службы, или путем эксплуатации системы с целью вызова постоянных сбоев в ее работе. В качестве примера таких систем можно привести веб-сайты, службы электронной почты, DNS и веб-приложения. В известных случаях злоумышленники проводили DoS-атаки по политическим мотивам или для обеспечения других вредоносных действий, включая отвлечение внимания, хактивизм и вымогательство.
Состояние DoS на конечной системе блокирует доступность службы без чрезмерной загрузки сети, используемой для предоставления доступа к службе. Злоумышленники могут атаковать различные уровни стека приложений, размещенных в системе, которая используется для предоставления службы. Эти уровни включают в себя операционные системы (ОС), серверные приложения (например, веб-серверы), DNS-серверы, базы данных и приложения (как правило, веб-приложения), развернутые поверх них. Для атаки на каждый уровень требуются различные техники, эксплуатирующие уязвимые места, характерные для соответствующих компонентов. Для проведения DoS-атаки может использоваться одна или несколько систем, рассредоточенных в интернете. Такие атаки называются "распределенным отказом в обслуживании", или DDoS-атакой.
Во многих схемах DoS-атак на ресурсы конечных систем применяются такие методы, как подмена IP-адресов и использование ботнетов.
Злоумышленники могут использовать собственный IP-адрес атакующей системы или подделать IP-адрес источника, чтобы затруднить отслеживание трафика или применить метод отражения. Подделка IP-адреса уменьшает или сводит на нет эффективность фильтрации по исходному адресу на устройствах сетевой защиты, усложняя работу специалистов по безопасности.
Ботнеты часто используются для проведения DDoS-атак на сети и сервисы. Крупные ботнеты могут генерировать внушительные объемы трафика с систем, расположенных по всему миру. Злоумышленники могут использовать собственные ресурсы для создания инфраструктуры ботнета и управления ею или арендовать существующий ботнет для проведения атаки. В некоторых крупномасштабных атаках типа "распределенный отказ в обслуживании" (DDoS) используется так много систем, что каждой из них достаточно отправить по сети лишь небольшой объем данных, чтобы в сумме этого было достаточно для исчерпания ресурсов атакуемой системы. В таких обстоятельствах отличить DDoS-трафик от легитимного крайне сложно. Ботнеты использовались в некоторых из самых масштабных DDoS-атак, например в серии атак на крупнейшие банки США в 2012 году.
При манипуляции трафиком в глобальной сети могут существовать точки (например, широкополосные маршрутизаторы-шлюзы), где пакеты могут быть изменены для выполнения легитимными клиентами кода, который направит сетевые пакеты к цели в большом объеме. Подобные возможности ранее использовались для цензурирования интернета — в клиентский HTTP-трафик внедрялся JavaScript-сценарий, который генерировал код DDoS для атаки на целевые веб-серверы.
Информацию об атаках, целью которых является перегрузка сети, см. в описании техники Сетевой отказ в обслуживании.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
security_code_secret_net_lsp: PT-CR-1889: SecretNet_LSP_Multiple_Host_Lock: Массовая блокировка узлов сети
Подтехники
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на эксплуатацию уязвимостей в программном обеспечении, способную привести к сбою приложения или системы и сделать их недоступными для пользователей . Записи об атаках на веб-приложения могут регистрироваться в журналах веб-серверов, серверных приложений и (или) серверов баз данных, что позволяет определить тип атаки. Осуществляйте внешний мониторинг доступности служб, которые могут быть затронуты DoS-атаками на конечные системы. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов). |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Используйте услуги, предоставляемые сетями доставки контента (CDN) или провайдерами, специализирующимися на борьбе с DoS, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, блокируя порты, на которые направлена атака, или блокируя протоколы, используемые для транспортировки. Чтобы защититься от SYN-флуда, включите функцию SYN Cookies. |
---|