T1499.001: Исчерпание ресурсов ОС

Злоумышленники могут провести атаку типа "отказ в обслуживании" (DoS), нацеленную на операционную систему (ОС) конечного устройства. Операционная система отвечает за управление ограниченными ресурсами и предотвращение перегрузки всей системы ресурсоемкими процессами. Такие атаки не всегда истощают фактические ресурсы системы; они могут просто исчерпать лимиты и доступные ресурсы, выделенные ОС для самой себя.

Достичь этого можно разными способами, включая атаки на состояние протокола TCP, такие как SYN flood или ACK flood. SYN-флуд заключается в отправке избыточного количества SYN-пакетов, но при этом трехстороннее рукопожатие TCP так и не происходит. Поскольку на каждой ОС задано максимальное количество допустимых одновременных TCP-соединений, атака может быстро исчерпать возможность системы принимать новые запросы на установление TCP-соединения, тем самым предотвращая доступ к любым серверным службам, работающим на базе протокола TCP.

ACK-флуд рассчитан на использование данных о состоянии, которые хранит протокол TCP. На целевую систему отправляется поток ACK-пакетов. ОС начинает искать в таблице состояний соответствующее TCP-подключение, которое было установлено ранее. Однако ACK-пакеты содержат флаги несуществующих подключений, поэтому ОС будет просматривать всю таблицу состояний, чтобы убедиться в отсутствии совпадений. В случае большого потока трафика целевой системе может не хватить вычислительных мощностей для отсеивания несанкционированных ACK-пакетов, что может привести к замедлению работы сервера или его зависанию. Это значительно снижает доступность ресурсов целевого сервиса.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

Используйте услуги, предоставляемые сетями доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, порты, на которые направлена атака, или соответствующие транспортные протоколы. Чтобы защититься от атак типа SYN flood, включите функцию SYN Cookies.