# AN1014 — Analytic 1014 ## Descrição Este analítico detecta ferramentas ou scripts adversariais que executam mass SYN/ACK floods no macOS, degradando a responsividade do sistema operacional e interrompendo a resposta de serviços nos endpoints afetados. A telemetria utilizada inclui logs do Unified Log, métricas de rede via `netstat -s` para contagem de erros de protocolo TCP e eventos do Network Extension Framework para tráfego anômalo gerado por processos locais. A detecção é relevante para identificar endpoints macOS comprometidos — como laptops corporativos ou servidores macOS — usados como agentes em botnets de DDoS ou para ataques de DoS interno contra segmentos de rede específicos durante operações de intrusão. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1014](https://attack.mitre.org/detectionstrategies/DET0356#AN1014)*