# AN1140 — Analytic 1140 ## Descrição Detecta tráfego de saída falsificado (spoofed) direcionado a protocolos de amplificação conhecidos (DNS, NTP, Memcached), combinado com volume anômalo de tráfego de rede visando refletores remotos, resultando em tráfego desproporcional retornando à vítima. A telemetria inclui logs de firewall do Windows, capturas de pacotes de rede e contadores de volume de tráfego para identificar padrões de spoofing e uso indevido de amplificadores. A detecção de ataques de amplificação iniciados internamente é crítica porque pode indicar que um host foi comprometido como botnet para uso em ataques DDoS de reflexão. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] --- *Fonte: [MITRE ATT&CK — AN1140](https://attack.mitre.org/detectionstrategies/DET0408#AN1140)*