Cada vez mais agentes de ameaças estão fazendo ataques DDoS usando servidores STUN. A descoberta foi da equipe do Asert (ATLAS Security Engineering & Response Team) da Netscout. Segundo matéria do site Ciso Advisor o protocolo STUN (Session Traversal Utilities for NAT) atua como uma ferramenta para outros protocolos, ao trabalhar com o Network Address Translator (NAT) transversal, e ajuda os aplicativos a descobrirem configurações de NAT e firewalls existentes entre eles e a Internet. O STUN também permite que os aplicativos determinem seus endereços IP públicos atribuídos pelo NAT.

De acordo com a NETSCOUT, os cibercriminosos adicionaram técnicas de amplificação e reflexão, colocando o STUN a seu serviço para realizar ataques DDoS personalizados. O site Ciso Advisor apontou que, embora a taxa de ganho seja de apenas 2,32 para 1, é muito difícil se defender contra ataques de amplificação e reflexão UDP com serviços STUN, porque é muito difícil bloqueá-los sem bloquear o tráfego legítimo.

Os especialistas da NETSCOUT descobriram na Internet mais de 75 mil servidores STUN que podem ser usados ​​para realizar ataques DDoS. Além disso, registraram um grande número de ataques de múltiplos vetores usando STUN. A potência dos ataques de vetor único registrados usando STUN variou de ~ 15 Gb/s até ​​~ 60 Gb/s. O poder dos ataques de múltiplos vetores atingiu 2 TB/s.

De acordo com os especialistas da empresa, as organizações cujos servidores STUN são usados ​​por cibercriminosos para realizar ataques DDoS também podem enfrentar falhas. A NETSCOUT forneceu um conjunto de recomendações para operadores de rede e outras organizações para prevenir e mitigar ataques DDoS usando STUN que se encontram no link de texto abaixo.