det0173-detection-strategy-for-endpoint-dos-via-service-exhaustion-flood

# DET0173 — Detection Strategy for Endpoint DoS via Service Exhaustion Flood ## Descrição Esta estratégia detecta ataques de negação de serviço em endpoints via exaustão de recursos de serviço — mapeado em [[t1499-endpoint-denial-of-service|T1499 - Endpoint Denial of Service]] e [[t1499-002-service-exhaustion-flood|T1499.002 - Service Exhaustion Flood]]. Adversários inundam serviços com requisições legítimas ou malformadas para esgotar recursos como threads, conexões TCP, file descriptors ou memória, tornando o serviço indisponível sem necessidade de exploração. Os indicadores incluem taxa anormalmente alta de requisições para um único serviço (HTTP, SMB, RDP, DNS) originada de um ou poucos IPs internos, aumento abrupto no número de conexões half-open (SYN flood), crescimento rápido no uso de memória ou CPU de processos de serviço sem carga operacional correspondente, e erros de timeout ou rejeição de conexão em logs de aplicação. Telemetria de NetFlow, Windows Performance Counters e logs de eventos de serviço são as fontes primárias. Baseline dinâmico de taxa de requisições por serviço por período (hora do dia, dia da semana) é fundamental para reduzir falsos positivos em ambientes com carga variável. Alertas correlacionados com outros indicadores de comprometimento (ex: processo malicioso gerando tráfego, conta comprometida) aumentam a prioridade. ## Indicadores de Detecção - Taxa de requisições para serviço excedendo 10x a média baseline em janela de 5 minutos - Número de conexões TCP half-open (`SYN_RECEIVED`) crescendo acima de threshold configurado - CPU ou memória de processo de serviço (`httpd`, `svchost`, `lsass`) atingindo saturação sem justificativa - Erros 503 ou timeouts crescentes em logs de aplicação web correlacionados com burst de tráfego - Mesmo IP interno gerando flood para múltiplos serviços (varredura de exaustão distribuída) ## Técnicas Relacionadas - [[t1499-endpoint-denial-of-service|T1499 - Endpoint Denial of Service]] — categoria pai - [[t1499-002-service-exhaustion-flood|T1499.002 - Service Exhaustion Flood]] — técnica principal detectada - [[t1499-001-os-exhaustion-flood|T1499.001 - OS Exhaustion Flood]] — variante relacionada - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] — frequentemente confundido, mas distinto ## Analytics Relacionadas - [[an0489-analytic-0489|AN0489 — Analytic 0489]] - [[an0490-analytic-0490|AN0490 — Analytic 0490]] - [[an0491-analytic-0491|AN0491 — Analytic 0491]] - [[an0492-analytic-0492|AN0492 — Analytic 0492]] --- *Fonte: [MITRE ATT&CK — DET0173](https://attack.mitre.org/detectionstrategies/DET0173)*