det0415-application-exhaustion-flood-detection-across-platforms

# DET0415 — Application Exhaustion Flood Detection Across Platforms ## Descrição Ataques de Application Exhaustion Flood visam consumir recursos computacionais de uma aplicação web ou serviço — como conexões HTTP, sessões de banco de dados, threads de processamento ou memória — por meio de requisições aparentemente legítimas mas em volume ou complexidade excessivos. Diferentemente de DoS volumétrico baseado em largura de banda, essa técnica explora limitações da camada de aplicação, sendo eficaz com poucos IPs e tráfego relativamente baixo. Exemplos incluem: floods de requisições HTTP POST para endpoints de login ou busca (computacionalmente caros), requisições que forçam reprocessamento de cache, ataques Slowloris que mantêm conexões abertas sem enviar dados, e queries SQL ou GraphQL deliberadamente complexas. Plataformas cloud e APIs de microserviços são particularmente vulneráveis quando raté limiting não está implementado adequadamente. A detecção requer monitoramento de métricas da camada de aplicação: tempo de resposta crescente, aumento de erros 503/504, esgotamento de thread pools e consumo de memória de heap. A análise de logs de WAF (Web Application Firewall) e APM (Application Performance Monitoring) combinada com detecção de IPs com taxa de requisições acima do baseline é a abordagem primária para identificação precoce. ## Indicadores de Detecção - Taxa de requisições por IP ou ASN excedendo limiar configurado no WAF em curto intervalo - Aumento súbito no tempo médio de resposta da aplicação sem mudanças de deploy recentes - Esgotamento de connection pools de banco de dados correlacionado com pico de tráfego - Requisições para endpoints computacionalmente caros (busca, login, exportação) de IPs únicos - Padrão de requisições sem cabeçalho User-Agent válido ou com User-Agents de ferramentas de stress test ## Técnicas Relacionadas - [[T1499003-application-exhaustion-flood|T1499.003 — Application Exhaustion Flood]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1595-active-scanning|T1595 — Active Scanning]] ## Analytics Relacionadas - [[an1165-analytic-1165|AN1165 — Analytic 1165]] - [[an1166-analytic-1166|AN1166 — Analytic 1166]] - [[an1167-analytic-1167|AN1167 — Analytic 1167]] - [[an1168-analytic-1168|AN1168 — Analytic 1168]] --- *Fonte: [MITRE ATT&CK — DET0415](https://attack.mitre.org/detectionstrategies/DET0415)*