MITRE ATT&CK - Техника Исчерпание ресурсов ОС

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Endpoint Denial of Service: Исчерпание ресурсов ОС

Other sub-techniques of Endpoint Denial of Service (4)

ID	Название
.001	Исчерпание ресурсов ОС
.002	Исчерпание ресурсов служб
.003	Исчерпание ресурсов приложения
.004	Эксплуатация уязвимостей ПО

Adversaries may launch a denial of service (DoS) attack targeting an endpoint's operating system (OS). A system's OS is responsible for managing the finite resources as well as preventing the entire system from being overwhelmed by excessive demands on its capacity. These attacks do not need to exhaust the actual resources on a system; the attacks may simply exhaust the limits and available resources that an OS self-imposes. Different ways to achieve this exist, including TCP state-exhaustion attacks such as SYN floods and ACK floods.(Citation: Arbor AnnualDoSreport Jan 2018) With SYN floods, excessive amounts of SYN packets are sent, but the 3-way TCP handshake is never completed. Because each OS has a maximum number of concurrent TCP connections that it will allow, this can quickly exhaust the ability of the system to receive new requests for TCP connections, thus preventing access to any TCP service provided by the server.(Citation: Cloudflare SynFlood) ACK floods leverage the stateful nature of the TCP protocol. A flood of ACK packets are sent to the target. This forces the OS to search its state table for a related TCP connection that has already been established. Because the ACK packets are for connections that do not exist, the OS will have to search the entire state table to confirm that no match exists. When it is necessary to do this for a large flood of packets, the computational requirements can cause the server to become sluggish and/or unresponsive, due to the work it must do to eliminate the rogue ACK packets. This greatly reduces the resources available for providing the targeted service.(Citation: Corero SYN-ACKflood)

ID: T1499.001

Относится к технике: T1499

Тактика(-и): Impact

Платформы: Linux, macOS, Windows

Источники данных: Network Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow, Sensor Health: Host Status

Тип влияния: Availability

Версия: 1.2

Дата создания: 20 Feb 2020

Последнее изменение: 19 Apr 2022

Контрмера	Описание
Контрмеры
Endpoint Denial of Service Mitigation	Leverage services provided by Content Delivery Networks (CDN) or providers specializing in DoS mitigations to filter traffic upstream from services.(Citation: CERT-EU DDoS March 2017) Filter boundary traffic by blocking source addresses sourcing the attack, blocking ports that are being targeted, or blocking protocols being used for transport. To defend against SYN floods, enable SYN Cookies.
Filter Network Traffic	Use network appliances to filter ingress or egress traffic and perform protocol-based filtering. Configure software on endpoints to filter network traffic.

Обнаружение

Detection of Endpoint DoS can sometimes be achieved before the effect is sufficient to cause significant impact to the availability of the service, but such response time typically requires very aggressive monitoring and responsiveness. Typical network throughput monitoring tools such as netflow, SNMP, and custom scripts can be used to detect sudden increases in circuit utilization.(Citation: Cisco DoSdetectNetflow) Real-time, automated, and qualitative study of the network traffic can identify a sudden surge in one type of protocol can be used to detect an attack as it starts.

Ссылки

Связанные риски

Риск	Связи
Недоступность актива из-за возможности атаки на отказ в обслуживании (DoS) в веб-сервере Доступность Отказ в обслуживании
Недоступность актива из-за возможности атаки на отказ в обслуживании (DoS) в операционной системе Доступность Отказ в обслуживании
Недоступность RDP сервера из-за возможности атаки на отказ в обслуживании (DoS) в службе удаленных рабочих столов Доступность Отказ в обслуживании	1

Каталоги

БДУ ФСТЭК:

УБИ.014 Угроза длительного удержания вычислительных ресурсов пользователями

Угроза заключается в возможности ограничения нарушителем доступа конечных пользователей к вычислительному ресурсу за счёт принуд...

УБИ.022 Угроза избыточного выделения оперативной памяти

Угроза заключается в возможности выделения значительных ресурсов оперативной памяти для обслуживания запросов вредоносных програ...

УБИ.038 Угроза исчерпания вычислительных ресурсов хранилища больших данных

Угроза заключается в возможности временного возникновения состояния типа "отказ в обслуживании" у хранилища больших данных.<br/>...

УБИ.058 Угроза неконтролируемого роста числа виртуальных машин

Угроза заключается в возможности ограничения или нарушения доступности виртуальных ресурсов для конечных потребителей облачных у...

УБИ.059 Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

Угроза заключается в возможности отказа легальным пользователям в выделении компьютерных ресурсов после осуществления нарушителе...

УБИ.095 Угроза несанкционированного управления указателями

Угроза заключается в возможности выполнения нарушителем произвольного вредоносного кода от имени дискредитируемого приложения ил...

УБИ.140 Угроза приведения системы в состояние "отказ в обслуживании"

Угроза заключается в возможности отказа дискредитированной системой в доступе легальным пользователям при лавинообразном увеличе...

Техники ATT&CK:

T1499.003 Endpoint Denial of Service: Application Exhaustion Flood

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.