det0343-direct-network-flood-detection-across-iaas-linux-windows-and-macos

# DET0343 — Direct Network Flood Detection across IaaS, Linux, Windows, and macOS ## Descrição Esta estratégia detecta ataques de inundação de rede diretos — SYN flood, UDP flood, ICMP flood, HTTP flood — originados de dentro da infraestrutura ou direcionados a ela como técnica de impacto ([[t1498-network-denial-of-service|T1498-network-denial-of-service]]). A cobertura cross-platform abrange ambientes IaaS (AWS, Azure, GCP), Linux, Windows e macOS, reconhecendo que endpoints comprometidos podem ser usados como botnet para amplificação de ataque. A detecção baseia-se em métricas de volume de tráfego com thresholds dinâmicos — pps (pacotes por segundo), bps (bits por segundo) e SYN raté — comparados à baseline histórica do endpoint ou segmento de rede. Em IaaS, alertas de VPC Flow Logs com volume atípico combinados com métricas de CloudWatch/Azure Monitor são os principais sinais. Empresas brasileiras de e-commerce, bancos e provedores de infraestrutura são alvos frequentes de ataques DDoS por grupos hacktivistas e de crime organizado digital. A detecção precoce de flood iniciando de um único host (antes de escalar) é especialmente valiosa para contenção. ## Indicadores de Detecção - Taxa de pacotes SYN enviados por host excedendo 10.000 pps sem handshake completado - Volume de tráfego UDP ou ICMP para único destino >100 Mbps de um único endpoint - VPC Flow Logs mostrando conexões rejeitadas em massa para IP único ou CIDR externo - Processos em userspace gerando tráfego de alta taxa via raw sockets (requer privilégios) - Kernel logs indicando exaustão de tabela de conexões TCP (`nf_conntrack: table full`) - CloudWatch/Azure Monitor alertando sobre Network Out anomalamente alto de instância única ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498-network-denial-of-service]] — técnica primária - [[T1498.001-direct-network-flood]] — sub-técnica de flood direto - [[t1499-endpoint-denial-of-service|T1499-endpoint-denial-of-service]] — DoS de endpoint relacionado - [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] — infraestrutura adquirida para conduzir flood - [[t1584-compromise-infrastructure|T1584-compromise-infrastructure]] — infraestrutura comprometida usada como origem do flood ## Analytics Relacionadas - [[an0969-analytic-0969|AN0969 — Analytic 0969]] - [[an0970-analytic-0970|AN0970 — Analytic 0970]] - [[an0971-analytic-0971|AN0971 — Analytic 0971]] - [[an0972-analytic-0972|AN0972 — Analytic 0972]] --- *Fonte: [MITRE ATT&CK — DET0343](https://attack.mitre.org/detectionstrategies/DET0343)*