det0408-detection-strategy-for-reflection-amplification-dos-t1498002

# DET0408 — Detection Strategy for Reflection Amplification DoS (T1498.002) ## Descrição Ataques de Reflection Amplification exploram protocolos como DNS, NTP, SSDP, Memcached e CLDAP que respondem com pacotes significativamente maiores que a requisição original. O atacante forjá o endereço IP de origem (spoofing) com o IP da vítima, de modo que as respostas amplificadas do servidor reflector sejam direcionadas ao alvo — podendo gerar volumes de tráfego centenas de vezes superiores ao tráfego inicial enviado pelo atacante. A detecção de ataques de amplificação no lado da vítima foca em anomalias de volume de tráfego de entrada: picos súbitos de pacotes UDP de portas características (DNS: 53, NTP: 123, Memcached: 11211) oriundos de múltiplos IPs geograficamente dispersos. No lado dos servidores reflectores (se você opera serviços expostos), o monitoramento de requisições com IPs de origem spoofados e respostas desproporcionalmente grandes é o indicador primário. Grupos hacktivistas como [[killnet]] e operações de DDoS-for-hire têm utilizado extensivamente ataques de amplificação DNS e NTP contra infraestruturas críticas no Brasil e América Latina. Provedores de internet e operadoras de telecomúnicações são tanto vítimas quanto reflectores involuntários, tornando o monitoramento de fluxos NetFlow/IPFIX essencial para detecção precoce. ## Indicadores de Detecção - Volume de tráfego UDP de entrada 10x acima do baseline em portas 53, 123, 11211, 389 - Múltiplos IPs de origem distintos enviando respostas para o mesmo destino simultaneamente - Taxa de pacotes por segundo (PPS) excedendo capacidade de processamento do uplink - Respostas DNS com registros ANY ou TXT de tamanho máximo (> 3000 bytes) em alta frequência - Requisições NTP monlist chegando a servidores NTP públicos com IP de origem da vítima (reflector side) ## Técnicas Relacionadas - [[T1498002-reflection-amplification|T1498.002 — Reflection Amplification]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1595-active-scanning|T1595 — Active Scanning]] ## Analytics Relacionadas - [[an1140-analytic-1140|AN1140 — Analytic 1140]] - [[an1141-analytic-1141|AN1141 — Analytic 1141]] - [[an1142-analytic-1142|AN1142 — Analytic 1142]] - [[an1143-analytic-1143|AN1143 — Analytic 1143]] --- *Fonte: [MITRE ATT&CK — DET0408](https://attack.mitre.org/detectionstrategies/DET0408)*