<div dir="auto">Who are what company you work for I feel this scam I will take this email to the police </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 28, 2021, 11:43 AM Jonas Schäfer <<a href="mailto:jonas@wielicki.name">jonas@wielicki.name</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi fellow operators,<br>
<br>
TL;DR: STUN/TURN servers are vulnerable to abuse to facilitate reflected <br>
amplified DDoS attacks even with authentication enabled. Roll a few dice and <br>
choose a random port number for your STUN server for the better of the <br>
internet.<br>
<br>
<br>
DESCRIPTION<br>
<br>
With the advent of widespread A/V calling support in client connections, many <br>
of us have deployed STUN/TURN servers.<br>
<br>
Because of inherent flaws in the UDP, STUN and TURN protocols, STUN/TURN <br>
servers are easy to detect and to abuse in Distributed Denial of Service <br>
attacks.<br>
<br>
By using source IP address spoofing [1] and exploiting that UDP is <br>
connectionless, attackers can make the STUN server send traffic to arbitrary <br>
IP addresses via an reflected attack [2].<br>
<br>
In some cases, the response of the STUN server will also be larger than the <br>
request sent by the client, adding an amplification [3] factor to it.<br>
<br>
Unfortunately, the exploited behaviour is part of the normal operation of the <br>
STUN protocol. It also happens pre-auth, so adding authentication is not <br>
sufficient.<br>
<br>
<br>
MITIGATION<br>
<br>
In order to mitigate those attacks, the current recommendation we worked out <br>
is to randomize the port number of your STUN server. As XMPP allows clients to <br>
discover STUN servers including their port number (even via a secured <br>
channel), this is an easy measure.<br>
<br>
Make sure to pick the port number as random, and take care to also correctly <br>
configure the alternative STUN port number.<br>
<br>
<br>
Thanks,<br>
Jonas<br>
<br>
   [1]: <a href="https://en.wikipedia.org/wiki/IP_address_spoofing" rel="noreferrer noreferrer" target="_blank">https://en.wikipedia.org/wiki/IP_address_spoofing</a><br>
   [2]: <a href="https://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_/" rel="noreferrer noreferrer" target="_blank">https://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_/</a><br>
_spoofed_attack<br>
   [3]: <a href="https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification" rel="noreferrer noreferrer" target="_blank">https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification</a></blockquote></div>