Este informe identifica servidores STUN (Session Traversal Utilities for NAT) accesibles en el puerto 3478 /udp. Como se describe en Wikipedia, STUN es un conjunto estandarizado de métodos, que incluye un protocolo de red, para atravesar las puertas de enlace del traductor de direcciones de red (NAT) en aplicaciones de voz, vídeo, mensajería y otras comunicaciones interactivas en tiempo real.
Se sabe que el servicio STUN es un potencial amplificador de mensajes UDP, del que se puede abusar para ataques DDoS reflejados. Las consideraciones de seguridad DDoS relacionadas con STUN se pueden encontrar en RFC8445 «Establecimiento de conectividad interactiva (ICE): un protocolo para el traductor de direcciones de red (NAT) Traversal».
Consulte RFC5389 para obtener más detalles sobre el protocolo STUN.
Proceso de Escaneo
Se escanea enviando un mensaje STUN en blanco de 20 bytes: \x00\x01\x00\x00\x21\x12\xa4\x42\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00paquete al puerto 3478/UDP. Puede leer más sobre la estructura del paquete en la investigación de Phenomite aquí.
No se realizan comprobaciones intrusivas en un servicio descubierto.
Mitigación
Considere usar STUN sobre TCP en su lugar de forma predeterminada.
Si su servicio STUN es accesible públicamente sin querer y recibe este informe nuestro para su red o circunscripción, asegúrese de bloquear el tráfico a este servicio.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Este informe fue habilitado como parte del proyecto INEA CEF VARIOT de la Unión Europea .
Nombre de archivo: scan_stun, scan6_stun
CAMPOS
timestamp | Marca de tiempo cuando se vio la dirección IP, en UTC+0 |
ip | Dirección IP del dispositivo afectado |
port | Puerto TCP o UDP identificado |
protocol | Protocolo en el que se produjo la respuesta (siempre TCP) |
port | Puerto del que provino la respuesta (1080/TCP) |
hostname | Número de Sistema Autónomo del dispositivo afectado |
tag | Se puede configurar en calcetines5, calcetines4, calcetines5-abiertos, calcetines4-abiertos |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
transaction_id | Se utiliza para correlacionar solicitudes y respuestas. |
magic_cookie | Se utiliza para demultiplexar el tráfico STUN cuando puede haber otro tráfico en el mismo puerto. Su valor es siempre «2112a442» |
message_length | Longitud total de la carga útil de STUN, excluyendo los encabezados |
message_type | Lo que contiene la respuesta STUN, Binding Success, Error, etcétera. «0101» es «Éxito de enlace» |
mapped_family | Familia de protocolos. «01» == «IPv4» |
mapped_address | La dirección de origen de la solicitud recibida por el servidor será la dirección asignada creada por el NAT más cercano al servidor. |
mapped_port | El puerto asociado con mapped_address |
xor_mapped_family | Familia de protocolos. «01» == «IPv4». xor_mapped_family contiene la misma información que mapped_family, excepto que se aplica XOR con magic_cookie |
xor_mapped_address | La dirección de origen de la solicitud recibida por el servidor será la dirección asignada creada por el NAT más cercano al servidor. xor_mapped_address contiene la misma información que mapped_address, excepto que está XOR con magic_cookie |
xor_mapped_port | El puerto asociado con xor_mapped_address. xor_mapped_port contiene la misma información que mapped_port, excepto que está XOR con magic_cookie |
software | Contiene una descripción textual del software que utiliza el agente que envía el mensaje y se supone que contiene un fabricante y un número de versión. |
fingerprint | El CRC-32 del mensaje STUN, excluyendo el valor de la huella digital en sí. El CRC-32 tiene XOR con el valor «0x5354554e» |
amplification | El tamaño de la respuesta (excluyendo los encabezados) dividido por el tamaño de la sonda (excluyendo los encabezados) |
response_size | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","sector","transaction_id","magic_cookie","message_length","message_type","mapped_family","mapped_address","mapped_port","xor_mapped_family","xor_mapped_address","xor_mapped_port","software","fingerprint","amplification","response_size"
"2010-02-10 00:00:00",192.168.0.1,udp,3478,node01.example.com,stun,64512,ZZ,Region,City,0,0,,000000000000000000000000,2112a442,48,0101,,192.168.0.1,,01,192.168.0.1,9199,"TANDBERG/4137 (X12.5.9)",0xcf45e703,3.40,
"2010-02-10 00:00:01",192.168.0.2,udp,3478,node02.example.com,stun,64512,ZZ,Region,City,0,0,,000000000000000000000000,2112a442,76,0101,01,185.236.240.137,61591,01,192.168.0.2,61591,"Coturn-4.5.2 'dan Eider'",,4.80,
"2010-02-10 00:00:02",192.168.0.3,udp,3478,node03.example.com,stun,64512,ZZ,Region,City,0,0,,000000000000000000000000,2112a442,44,0101,01,192.168.0.3,61072,01,192.168.0.3,61072,None,,3.20,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/