# AN1013 — Analytic 1013 ## Descrição Este analítico detecta flood de pacotes SYN ou ACK falsificados causando esgotamento da tabela de estado TCP do sistema operacional Linux, potencialmente via utilitários de user-space ou agentes de DoS em nível de kernel. A telemetria utilizada inclui métricas do kernel Linux via `/proc/net/tcp` e `ss -s` para contagem de conexões SYN_RECV, logs do netfilter/iptables para pacotes descartados e eventos do auditd para execução de ferramentas de geração de tráfego. A detecção é fundamental para proteger servidores Linux expostos — especialmente servidores web, SSH e de API — contra ataques SYN flood que são frequentemente usados por grupos hacktivistas como Killnet contra infraestrutura crítica brasileira e latino-americana. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1595-active-scanning|T1595 — Active Scanning]] --- *Fonte: [MITRE ATT&CK — AN1013](https://attack.mitre.org/detectionstrategies/DET0356#AN1013)*