# AN0970 — Analytic 0970 ## Descrição Este analítico detecta processos do kernel ou userland no Linux que geram tráfego de rede em taxa anormalmente alta (ICMP, UDP, TCP SYN) além da capacidade esperada da interface ou comportamento normal do usuário. A telemetria utilizada inclui contadores de interface de rede via `/proc/net/dev`, logs do netfilter/iptables e ferramentas como `ss` ou `tcpdump` correlacionadas com eventos de criação de processos do auditd. A detecção é essencial para identificar hosts Linux comprometidos que participam de botnets DDoS ou realizam reconhecimento de rede em larga escala, comportamento frequente em malware de cryptomining e ransomware com módulo de propagação. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1595-active-scanning|T1595 — Active Scanning]] --- *Fonte: [MITRE ATT&CK — AN0970](https://attack.mitre.org/detectionstrategies/DET0343#AN0970)*