# AN1012 — Analytic 1012 ## Descrição Este analítico detecta surtos de handshakes TCP incompletos (SYN floods) ou pacotes ACK não correlacionados direcionados à tabela de estado do sistema operacional Windows, resultando em esgotamento de recursos e degradação do serviço. A telemetria utilizada inclui contadores de desempenho de rede do Windows (TCPv4/TCPv6 via PerfMon), logs do Windows Firewall para SYNs sem resposta e eventos de log de rede via Sysmon ou ETW que mostram picos de conexões meio-abertas. A detecção é importante para identificar ataques SYN flood originados internamente (hosts comprometidos) ou como alertas precoces de ataques DoS direcionados a serviços Windows expostos, que são usados por grupos hacktivistas e como tática de distração durante operações de intrusão. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1595-active-scanning|T1595 — Active Scanning]] --- *Fonte: [MITRE ATT&CK — AN1012](https://attack.mitre.org/detectionstrategies/DET0356#AN1012)*