UDP打洞
UDP打洞 |
中文名: UDP打洞 外文名: UDP hole punching 性 質: NAT穿越技術 應 用: P2P軟件和VoIP電話領域 領 域: 網絡安全 |
在計算機科學中,UDP打洞指的是一種普遍使用的NAT穿越技術。[1]
目錄
簡介
通過UDP路由驗證實現NAT穿越是一種在處於使用了NAT的私有網絡中的Internet主機之間建立雙向UDP連接的方法。由於NAT的行為是非標準化的,因此它並不能應用於所有類型的NAT。 其基本思想是這樣的:讓位於NAT後的兩台主機都與處於公共地址空間的、眾所周知的第三台服務器相連,然後,一旦NAT設備建立好UDP狀態信息就轉為直接通信,並寄希望於NAT設備會在分組其實是從另外一個主機傳送過來的情況下仍然保持當前狀態。 這項技術需要一個圓錐型NAT設備才能夠正常工作。對稱型NAT不能使用這項技術。 這項技術在P2P軟件和VoIP電話領域被廣泛採用。它是Skype用以繞過防火牆和NAT設備的技術之一。 相同的技術有時還被用於TCP連接——儘管遠沒有UDP成功。
算法
假設有兩台分別處於各自的私有網絡中的主機:A和B;N1和N2是兩個網絡的NAT設備,分別擁有IP地址P1和P2;S是一個使用了一個眾所周知的、從全球任何地方都能訪問得到的IP地址的公共服務器。 步驟一:A和B分別和S建立UDP連接;NAT設備N1和N2創建UDP轉換狀態並分配臨時的外部端口號。 步驟二:S檢查UDP包,看A和B的端口是否是正在被使用的(否則的話N1和N2應該是應用了端口隨機分配,這會讓路由驗證變得更麻煩)。 步驟三:如果端口不是隨機化的,那麼A和B各自選擇端口X和Y,並告知S。S會讓A發送UDP包到P2:Y,讓B發送UDP包到P1:X。 步驟四:A和B通過轉換好的IP地址和端口直接聯繫到對方的NAT設備。
應用
對於大型公司網絡中常見的對稱NAT設備(也稱為雙向NAT),UDP打洞不起作用。在對稱NAT中,與着名STUN服務器的連接關聯的NAT映射受限於從知名服務器接收數據,因此眾所周知的服務器看到的NAT映射對端點來說並不是有用的信息。 在一個更詳細的方法中,兩個主機將開始發送給對方,使用多次嘗試。在受限制的Cone NAT上,來自其他主機的第一個數據包將被阻止。在此之後,NAT設備就有記錄發送了一個數據包到另一台機器,並讓任何數據包來自該IP地址和端口號。這項技術廣泛應用於點對點軟件和互聯網協議語音電話。它也可以用來協助建立通過UDP運行的虛擬專用網絡。相同的技術有時會擴展到傳輸控制協議(TCP)連接,但成功率較低,因為TCP連接流由主機操作系統控制,而不是應用程序,序列號隨機選擇。