# AN1141 — Analytic 1141 ## Descrição Detecta pacotes de saída falsificados enviados para serviços de amplificação a partir de ferramentas de linha de comando ou scripts, combinados com volume anômalo de pacotes de saída em portas de refletores conhecidos. A telemetria utilizada inclui logs de firewall do Linux (iptables/nftables), auditd para execução de ferramentas de rede e análise de tráfego via netflow ou tcpdump. Hosts Linux comprometidos são frequentemente utilizados em ataques DDoS de reflexão/amplificação, tornando esse analítico relevante para identificar participação involuntária ou maliciosa em botnets de ataque. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] --- *Fonte: [MITRE ATT&CK — AN1141](https://attack.mitre.org/detectionstrategies/DET0408#AN1141)*