13 июля 2021
Технология атаки
Эксперты в области сетевой безопасности обнаружили увеличение количества атак с использованием протокола Session Traversal Utilities для протокола NAT (STUN).
STUN-серверы нужны в сети для того, чтобы подключенные к интернету устройства “знали” свой внешний IP-адрес. Это нужно для правильного “общения” компьютера с другими ресурсами в интернете. Однако подавляющее большинство устройств подключены в интернет через шлюз в локальной сети с NAT-экраном (простыми словами, через роутер, который выдаёт компьютерам ip-адреса локальной сети, а не “внешние” ip-адреса).
На этом этапе в дело вступает STUN-сервер: компьютер из локальной сети посылает STUN-серверу пакет, тот его получает и отправляет обратно, “подписав” пакет адресом и номером порта, с которых он его получил. Как только компьютер получит подписанный пакет, он “узнает” свой внешний ip и адрес шлюза и уже сможет “общаться” с другими ресурсами в интернете.
По информации из пресс-релиза компании Netscout, новые атаки используют уязвимые системы, на которых запущены службы STUN, и позволяют злоумышленникам запускать атаки отражения/усиления по протоколу UDP против выбранной ими цели. На сегодня в сети находятся более 75 тысяч уязвимых серверов, количество запросов с которых во время атаки можно увеличить до 3 раз и направить ИТ-инфраструктуру жертвы.
Повсеместность уязвимых серверов STUN и коэффициент усиления трафика, достигаемый с их помощью, делают STUN проблемой для любой организации. Специалисты по ИТ-безопасности дают в этой связи следующие актуальные рекомендации.
Как защититься от DDoS c использованием уязвимостей STUN
- STUN-серверы уязвимы только в случае с работой по протоколу UDP. Если сетевые администраторы настроят работу STUN только по протоколу TCP, эксплойта удастся избежать;
- Сетевые администраторы должны быстро внедрять лучшие практики построения и защиты сетей в свою работы, чтобы отвечать самым актуальным ИТ-угрозам;
- Рекомендуется разделять внутренний трафик организации (интранет) от внешнего. Следует иметь возможность пропускать трафик извне в том числе и по резервному каналу подключения. В этом случае деятельность бэк-офиса не пострадает от широкомасштабной атаки из внешней сети, а если она всё же произойдёт, то останется резервный канал связи с “внешним миром”;
- ИТ-инфраструктура должна быть защищена специализированными сервисами против DDoS-атак. Локальные сервисы по защите от DDoS-атак должны быть объединены с облачными или транзитными службами защиты от DDoS-атак для обеспечения максимальной скорости реагирования и гибкости во время атаки.
Защита сервисов TCP/UDP от DDoS-атак
- Подключение за 10 минут
- Поддержка 24×7
Карта российского банка
Система быстрых платежей
Банковский перевод
