T1499.002: Исчерпание ресурсов служб
Злоумышленники могут провести атаку типа "отказ в обслуживании" (DoS), нацеленную на сетевые службы, предоставляемые системами. Злоумышленники могут атаковать ресурсы разных сервисов, но чаще всего их целями становятся DNS-службы и веб-сервисы. Для атаки на программное обеспечение веб-серверов могут использоваться различные методы, как общие, так и специальные, предназначенные для проведения атак на конкретное ПО, обеспечивающее доступность сервиса или службы.
Примером такой атаки может служить простой HTTP-флуд: в этом случае злоумышленник отправляет большое количество HTTP-запросов на веб-сервер, чтобы перегрузить его и (или) запущенное на нем приложение. Цель достигается исключительно за счет объема трафика, который исчерпывает все ресурсы, необходимые целевому ПО для обеспечения доступности службы.
Другой пример, атака на повторное согласование SSL (SSL renegotiation), использует особенности протоколов SSL/TLS. Пакет протоколов SSL/TLS включает механизмы согласования алгоритма шифрования, который будет использоваться для последующих защищенных соединений, между клиентом и сервером. Если повторное согласование SSL включено, можно запросить повторное согласование алгоритма шифрования. В атаке на повторное согласование злоумышленник устанавливает соединение по протоколам SSL/TLS, а затем отправляет серию таких запросов. Поскольку повторное согласование алгоритмов шифрования требует значительных вычислительных ресурсов, большой объем запросов может снизить доступность службы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
monitoring: PT-CR-9: Network_service_inaccessibility: Сервис не работает
monitoring: PT-CR-12: Unix_service_unavailability: Сервис не работает
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor for third-party application logging, messaging, and/or other artifacts that may target the different network services provided by systems to conduct a DoS. In addition to network level detections, endpoint logging and instrumentation can be useful for detection. Attacks targeting web applications may generate logs in the web server, application server, and/or database server that can be used to identify the type of attack, possibly before the impact is felt. Externally monitor the availability of services that may be targeted by an Endpoint DoS. |
---|
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Detection of Endpoint DoS can sometimes be achieved before the effect is sufficient to cause significant impact to the availability of the service, but such response time typically requires very aggressive monitoring and responsiveness. Monitor for logging, messaging, and other artifacts highlighting the health of host sensors (ex: metrics, errors, and/or exceptions from logging applications) |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Leverage services provided by Content Delivery Networks (CDN) or providers specializing in DoS mitigations to filter traffic upstream from services. Filter boundary traffic by blocking source addresses sourcing the attack, blocking ports that are being targeted, or blocking protocols being used for transport. |
---|