det0518-behavioral-detection-of-t1498-network-denial-of-service-across-platforms

# DET0518 — Behavioral Detection of T1498 – Network Denial of Service Across Platforms ## Descrição Ataques de Negação de Serviço de Rede ([[t1498-network-denial-of-service|T1498]]) visam tornar sistemas ou redes inacessíveis ao inundar recursos com tráfego malicioso ou explorar vulnerabilidades de protocolo. Essa técnica é frequentemente utilizada por hacktivistas, grupos de ransomware e atores patrocinados por estados como instrumento de pressão, disrupção operacional ou cobertura para outros vetores de ataque. No contexto LATAM, grupos como [[killnet|Killnet]] e afiliados utilizaram DDoS contra infraestrutura crítica de países da região. A detecção comportamental em múltiplas plataformas exige monitoramento de anomalias de tráfego de rede em tempo real, correlacionando volume de pacotes, taxa de conexões por segundo e distribuição de IPs de origem. Em ambientes Linux, ferramentas como `ss`, `netstat` e logs do kernel (`dmesg`) revelam saturação de sockets. No Windows, contadores de Performance Monitor e logs do NetFlow são fontes primárias. A integração com soluções de [[_defenses|defesa]] como firewalls de próxima geração e sistemas de scrubbing é essencial para resposta automatizada. A estratégia deve correlacionar eventos de rede com comportamentos do sistema hospedeiro, como aumento abrupto de CPU/memória em servidores de rede e falhas de serviço. Ataques volumétricos (UDP flood, ICMP flood) e ataques de amplificação (DNS, NTP, memcached) apresentam assinaturas distintas que devem ser mapeadas em analytics específicas por protocolo. ## Indicadores de Detecção - Volume anômalo de pacotes UDP/ICMP superando baseline estabelecido (>3x média horária) - Taxa de conexões TCP SYN sem completar handshake (SYN flood) acima de limiar configurado - Múltiplos IPs de origem distintos enviando tráfego idêntico para o mesmo destino (DDoS distribuído) - Aumento súbito de utilização de banda em interfaces de rede monitoradas pelo NetFlow/IPFIX - Erros de timeout em serviços críticos correlacionados com spike de tráfego de entrada - Respostas DNS/NTP/memcached desproporcionalmente grandes em relação às consultas (amplificação) ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] — técnica principal coberta por esta estratégia - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] — variante focada em hosts individuais - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] — infraestrutura comprometida usada em botnets DDoS - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] — aquisição de servidores para amplificação - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] — abuso de protocolos legítimos em ataques L7 ## Analytics Relacionadas - [[an1434-analytic-1434|AN1434 — Analytic 1434]] - [[an1435-analytic-1435|AN1435 — Analytic 1435]] --- *Fonte: [MITRE ATT&CK — DET0518](https://attack.mitre.org/detectionstrategies/DET0518)*