# AN1258 — Analytic 1258 ## Descrição Detecta pares porta/protocolo não padrão ou tráfego ICMP de baixa entropia semelhante a padrões de tunelamento em dispositivos de rede (por exemplo, pings de tamanho fixo com intervalos regulares). A telemetria inclui dados de fluxo de rede (NetFlow/IPFIX), análise de padrões de temporização e inspeção de conteúdo de payloads ICMP em firewalls e coletores de fluxo. Essa análise é essencial para detectar tunelamento ICMP usado por adversários para criar canais de comunicação ocultos que contornam controles baseados em porta. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1258](https://attack.mitre.org/detectionstrategies/DET0457#AN1258)*