Техника на mitre.org

T1499.002: Исчерпание ресурсов служб

Злоумышленники могут провести атаку типа "отказ в обслуживании" (DoS), нацеленную на сетевые службы, предоставляемые системами. Злоумышленники могут атаковать ресурсы разных сервисов, но чаще всего их целями становятся DNS-службы и веб-сервисы. Для атаки на программное обеспечение веб-серверов могут использоваться различные методы, как общие, так и специальные, предназначенные для проведения атак на конкретное ПО, обеспечивающее доступность сервиса или службы.

Примером такой атаки может служить простой HTTP-флуд: в этом случае злоумышленник отправляет большое количество HTTP-запросов на веб-сервер, чтобы перегрузить его и (или) запущенное на нем приложение. Цель достигается исключительно за счет объема трафика, который исчерпывает все ресурсы, необходимые целевому ПО для обеспечения доступности службы.

Другой пример, атака на повторное согласование SSL (SSL renegotiation), использует особенности протоколов SSL/TLS. Пакет протоколов SSL/TLS включает механизмы согласования алгоритма шифрования, который будет использоваться для последующих защищенных соединений, между клиентом и сервером. Если повторное согласование SSL включено, можно запросить повторное согласование алгоритма шифрования. В атаке на повторное согласование злоумышленник устанавливает соединение по протоколам SSL/TLS, а затем отправляет серию таких запросов. Поскольку повторное согласование алгоритмов шифрования требует значительных вычислительных ресурсов, большой объем запросов может снизить доступность службы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

capabilities_impact: PT-CR-2842: CAP_Stop_Service: Остановка службы из списка значимых

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на проведение атаки типа "отказ в обслуживании" (DoS), нацеленной на сетевые службы, предоставляемые системами. Дополните обнаружение на уровне сети журналированием и инструментами мониторинга на конечных устройствах. Записи об атаках на веб-приложения могут регистрироваться в журналах веб-серверов, серверных приложений и (или) серверов баз данных, что позволяет определить тип атаки, в том числе до нанесения значительного ущерба. Осуществляйте внешний мониторинг доступности служб, которые могут быть затронуты DoS-атаками на конечные системы.

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на проведение атаки типа "отказ в обслуживании" (DoS), нацеленной на сетевые службы, предоставляемые системами. Дополните обнаружение на уровне сети журналированием и инструментами мониторинга на конечных устройствах. Записи об атаках на веб-приложения могут регистрироваться в журналах веб-серверов, серверных приложений и (или) серверов баз данных, что позволяет определить тип атаки, в том числе до нанесения значительного ущерба. Осуществляйте внешний мониторинг доступности служб, которые могут быть затронуты DoS-атаками на конечные системы.
DS0013	Данные о работоспособности: Состояние узла	Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).

Меры противодействия

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Используйте услуги, предоставляемые сетями доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, порты, на которые направлена атака, или соответствующие транспортные протоколы.

ID	Название	Описание
M1037	Фильтрация сетевого трафика	Используйте услуги, предоставляемые сетями доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, порты, на которые направлена атака, или соответствующие транспортные протоколы.