Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Technique Application Exhaustion Flood
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
RU
Риски
Каталоги
MITRE ATT&CK
Техника
Application Exhaustion Flood
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Endpoint Denial of Service:  Application Exhaustion Flood

ID Name
.001 OS Exhaustion Flood
.002 Service Exhaustion Flood
.003 Application Exhaustion Flood
.004 Application or System Exploitation

Adversaries may target resource intensive features of applications to cause a denial of service (DoS), denying availability to those applications. For example, specific features in web applications may be highly resource intensive. Repeated requests to those features may be able to exhaust system resources and deny access to the application or the server itself.(Citation: Arbor AnnualDoSreport Jan 2018)

ID: T1499.003
Sub-technique of:  T1499
Tactic(s): Impact
Platforms: Azure AD, Google Workspace, IaaS, Linux, macOS, Office 365, SaaS, Windows
Data Sources: Application Log: Application Log Content, Network Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow, Sensor Health: Host Status
Impact Type: Availability
Version: 1.2
Created: 20 Feb 2020
Last Modified: 25 Mar 2022

Mitigations
Mitigation Description
Filter Network Traffic

Use network appliances to filter ingress or egress traffic and perform protocol-based filtering. Configure software on endpoints to filter network traffic.
Endpoint Denial of Service Mitigation

Leverage services provided by Content Delivery Networks (CDN) or providers specializing in DoS mitigations to filter traffic upstream from services.(Citation: CERT-EU DDoS March 2017) Filter boundary traffic by blocking source addresses sourcing the attack, blocking ports that are being targeted, or blocking protocols being used for transport. To defend against SYN floods, enable SYN Cookies.

Detection

Detection of Endpoint DoS can sometimes be achieved before the effect is sufficient to cause significant impact to the availability of the service, but such response time typically requires very aggressive monitoring and responsiveness. Typical network throughput monitoring tools such as netflow, SNMP, and custom scripts can be used to detect sudden increases in circuit utilization.(Citation: Cisco DoSdetectNetflow) Real-time, automated, and qualitative study of the network traffic can identify a sudden surge in one type of protocol can be used to detect an attack as it starts. In addition to network level detections, endpoint logging and instrumentation can be useful for detection. Attacks targeting web applications may generate logs in the web server, application server, and/or database server that can be used to identify the type of attack, possibly before the impact is felt.

References

  1. Cisco. (n.d.). Detecting and Analyzing Network Threats With NetFlow. Retrieved April 25, 2019.
  2. Philippe Alcoy, Steinthor Bjarnason, Paul Bowen, C.F. Chui, Kirill Kasavchnko, and Gary Sockrider of Netscout Arbor. (2018, January). Insight into the Global Threat Landscape - Netscout Arbor's 13th Annual Worldwide Infrastructure Security Report. Retrieved April 22, 2019.
  3. Meintanis, S., Revuelto, V., Socha, K.. (2017, March 10). DDoS Overview and Response Guide. Retrieved April 24, 2019.
Навигация

Каталоги

БДУ ФСТЭК:
УБИ.014 Угроза длительного удержания вычислительных ресурсов пользователями
Угроза заключается в возможности ограничения нарушителем доступа конечных пользователей к вычислительному ресурсу за счёт принуд...
УБИ.022 Угроза избыточного выделения оперативной памяти
Угроза заключается в возможности выделения значительных ресурсов оперативной памяти для обслуживания запросов вредоносных програ...
УБИ.038 Угроза исчерпания вычислительных ресурсов хранилища больших данных
Угроза заключается в возможности временного возникновения состояния типа "отказ в обслуживании" у хранилища больших данных.<br/>...
УБИ.058 Угроза неконтролируемого роста числа виртуальных машин
Угроза заключается в возможности ограничения или нарушения доступности виртуальных ресурсов для конечных потребителей облачных у...
УБИ.059 Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов
Угроза заключается в возможности отказа легальным пользователям в выделении компьютерных ресурсов после осуществления нарушителе...
УБИ.095 Угроза несанкционированного управления указателями
Угроза заключается в возможности выполнения нарушителем произвольного вредоносного кода от имени дискредитируемого приложения ил...
УБИ.140 Угроза приведения системы в состояние "отказ в обслуживании"
Угроза заключается в возможности отказа дискредитированной системой в доступе легальным пользователям при лавинообразном увеличе...

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.