Skip to content
PortsDB

Référence des ports

Port 3478 (UDP/TCP) – STUN / TURN

STUN/TURN — traversée de NAT pour WebRTC et VoIP ; STUN découvre les adresses publiques, TURN relaie les médias.

udptcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les serveurs STUN/TURN (coturn, WebRTC, VoIP) facilitant la connectivité entre pairs, parfois en relais ouvert sans authentification.

Attaques courantes

  • Abus de relais ouvert pour proxifier ou anonymiser du trafic
  • DDoS par réflexion/amplification UDP via les réponses STUN
  • Force brute sur l'authentification à long terme de TURN
  • Sondage du réseau interne via un TURN mal configuré

Durcissement

  • Exiger l'authentification sur TURN (identifiants à long terme)
  • Désactiver le relais ouvert et restreindre les plages de pairs relayés
  • Limiter le débit et filtrer pour réduire l'abus d'amplification
  • Bloquer les relais TURN vers les plages d'IP internes/privées
  • Maintenir coturn à jour et privilégier TURN sur TLS (5349)

Commande nmap

nmap -sU -p3478 --script stun-info,stun-version <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 3478

Le port 3478 est le port par défaut de STUN et TURN, les protocoles de traversée de NAT derrière WebRTC et la VoIP. STUN permet à un pair de découvrir son IP et son port publics pour que deux extrémités se connectent directement ; quand cela échoue (NAT symétrique, pare-feu restrictifs), TURN relaie les médias via le serveur. Des implémentations comme coturn servent l'audio, la vidéo et les canaux de données en temps réel.

Pourquoi c'est important pour la sécurité

TURN est, par conception, un relais. S'il accepte des connexions sans authentification, il devient un relais ouvert que les attaquants utilisent pour proxifier ou anonymiser du trafic et, par mauvaise configuration, pour atteindre les réseaux internes. L'asymétrie requête/réponse de STUN fait aussi du 3478 un vecteur de réflexion/amplification : une requête à source usurpée amène le serveur à envoyer des réponses plus grandes vers une victime DDoS.

Comment il est attaqué

Les attaquants trouvent des serveurs TURN ouverts et relaient du trafic à travers eux pour masquer leur origine ou pivoter vers des IP internes. Ils envoient des requêtes STUN à source usurpée pour utiliser le serveur en DDoS par amplification, et cassent par force brute les identifiants à long terme de TURN là où l'authentification est faible.

Liste de durcissement

Exigez l'authentification sur TURN avec des identifiants à long terme, désactivez le relais ouvert, et restreignez les plages de pairs qu'un relais peut atteindre — bloquez explicitement les IP internes/privées. Appliquez une limitation de débit et du filtrage pour réduire l'amplification, maintenez coturn à jour, et privilégiez TURN sur TLS sur le 5349. Utilisez la commande nmap ci-dessus pour identifier STUN/TURN sur les serveurs que vous êtes autorisé à tester.

Ports liés

Port 5349Port 19302Port 5060Port 16384

Questions fréquentes

Quelle est la différence entre STUN et TURN ?
STUN aide un pair à découvrir son IP/port public pour une connexion directe. TURN relaie les médias via le serveur quand la connectivité directe échoue. TURN doit être authentifié pour éviter l'abus de relais ouvert.
Le port 3478 peut-il être utilisé pour du DDoS ?
Oui. Les réponses STUN binding peuvent être plus grandes que les requêtes, donc une requête à source usurpée fait que le serveur réfléchit un trafic amplifié vers une victime. La limitation de débit et le filtrage réduisent ce risque.