原文地址: https://cloud.tencent.com/developer/article/1005974
導(dǎo)語
最近介入測(cè)試P2P的相關(guān)邏輯械姻,因此對(duì)NAT穿透原理做了一定程度的了解(當(dāng)然也沒有很深入)鸽斟。本篇文章也是綜合和參考了些網(wǎng)絡(luò)上和文獻(xiàn)里的一些資料(文中沒有對(duì)引用處進(jìn)行標(biāo)記键科,請(qǐng)見諒)心铃。寫本文的目的就是,用自己的語言描述了這個(gè)過程膏蚓,同時(shí)也在描述過程中加入了一些自己的理解玄柏,形成一篇文章作為要點(diǎn)的記錄。對(duì)于這一塊的知識(shí)满败,自己也有很多盲點(diǎn)肤频,還請(qǐng)各路大神多多指教。
一算墨、背景知識(shí)介紹
1.什么是NAT宵荒?
NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換),也叫做網(wǎng)絡(luò)掩蔽或者IP掩蔽报咳。NAT是一種網(wǎng)絡(luò)地址翻譯技術(shù)侠讯,主要是將內(nèi)部的私有IP地址(private IP)轉(zhuǎn)換成可以在公網(wǎng)使用的公網(wǎng)IP(public IP)。
2.為什么會(huì)有NAT暑刃?
時(shí)光回到上個(gè)世紀(jì)80年代继低,當(dāng)時(shí)的人們?cè)谠O(shè)計(jì)網(wǎng)絡(luò)地址的時(shí)候,覺得再怎么樣也不會(huì)有超過32bits位長(zhǎng)即2的32次冪臺(tái)終端設(shè)備連入互聯(lián)網(wǎng)稍走,再加上增加ip的長(zhǎng)度(即使是從4字節(jié)增到6字節(jié))對(duì)當(dāng)時(shí)設(shè)備的計(jì)算袁翁、存儲(chǔ)、傳輸成本也是相當(dāng)巨大的婿脸。后來逐漸發(fā)現(xiàn)IP地址不夠用了粱胜,然后就NAT就誕生了!(雖然ipv6也是解決辦法狐树,但始終普及不開來焙压,而且未來到底ipv6夠不夠用仍是未知)。
因此抑钟,NAT技術(shù)能夠興起的原因還是因?yàn)樵谖覀儑?guó)家公網(wǎng)IP地址太少了涯曲,不夠用,所以才會(huì)采取這種地址轉(zhuǎn)換的策略在塔』眉可見,NAT的本質(zhì)就是讓一群機(jī)器公用同一個(gè)IP蛔溃,這樣就暫時(shí)解決了IP短缺的問題绰沥。
3.NAT有什么優(yōu)缺點(diǎn)?
優(yōu)勢(shì)其實(shí)上面已經(jīng)剛剛討論過了贺待,根據(jù)定義徽曲,比較容易看出,NAT可以同時(shí)讓多個(gè)計(jì)算機(jī)同時(shí)聯(lián)網(wǎng)麸塞,并隱藏其內(nèi)網(wǎng)IP秃臣,因此也增加了內(nèi)網(wǎng)的網(wǎng)絡(luò)安全性;此外哪工,NAT對(duì)來自外部的數(shù)據(jù)查看其NAT映射記錄奥此,對(duì)沒有相應(yīng)記錄的數(shù)據(jù)包進(jìn)行拒絕,提高了網(wǎng)絡(luò)安全性正勒。
那么得院,NAT與此同時(shí)也帶來一些弊端:首先是,NAT設(shè)備會(huì)對(duì)數(shù)據(jù)包進(jìn)行編輯修改章贞,這樣就降低了發(fā)送數(shù)據(jù)的效率祥绞;此外非洲,各種協(xié)議的應(yīng)用各有不同,有的協(xié)議是無法通過NAT的(不能通過NAT的協(xié)議還是蠻多的)蜕径,這就需要通過穿透技術(shù)來解決两踏。我們后面會(huì)重點(diǎn)討論穿透技術(shù)。
簡(jiǎn)單的背景了解過后兜喻,下面介紹下NAT實(shí)現(xiàn)的主要方式梦染,以及NAT都有哪些類型。
二朴皆、NAT實(shí)現(xiàn)方式及主要類型
1.NAT實(shí)現(xiàn)方式
1)靜態(tài)NAT:也就是靜態(tài)地址轉(zhuǎn)換帕识。是指一個(gè)公網(wǎng)IP對(duì)應(yīng)一個(gè)私有IP,是一對(duì)一的轉(zhuǎn)換遂铡,同時(shí)注意肮疗,這里只進(jìn)行了IP轉(zhuǎn)換,而沒有進(jìn)行端口的轉(zhuǎn)換扒接。舉個(gè)栗子:
2)NAPT:端口多路復(fù)用技術(shù)伪货。與靜態(tài)NAT的差別是,NAPT不但要轉(zhuǎn)換IP地址钾怔,還要進(jìn)行傳輸層的端口轉(zhuǎn)換碱呼。具體的表現(xiàn)形式就是,對(duì)外只有一個(gè)公網(wǎng)IP宗侦,通過端口來區(qū)別不同私有IP主機(jī)的數(shù)據(jù)愚臀。再舉個(gè)栗子。
通過上面NAT實(shí)現(xiàn)方式的介紹凝垛,我們其實(shí)不難看出懊悯,現(xiàn)實(shí)環(huán)境中NAPT的應(yīng)用顯然是更廣泛的。因此下面就重點(diǎn)介紹下NAPT的主要類型有哪些梦皮。
2.NAT的主要類型
對(duì)于NAPT我們主要分為兩大類:錐型NAT和對(duì)稱型NAT。其中錐型NAT又分:完全錐型桃焕,受限錐型和端口受限錐型剑肯。概括的說:對(duì)稱型NAT是一個(gè)請(qǐng)求對(duì)應(yīng)一個(gè)端口;錐型NAT(非對(duì)稱NAT)是多個(gè)請(qǐng)求(外部發(fā)向內(nèi)部)對(duì)應(yīng)一個(gè)端口观堂,只要源IP端口不變让网,無論發(fā)往的目的IP是否相同,在NAT上都映射為同一個(gè)端口师痕,形象的看起來就像錐子一樣溃睹。下面分別介紹這四種類型及其差異。
1)完全錐型NAT(Full Cone NAT胰坟,后面簡(jiǎn)稱FC)
特點(diǎn):IP和端口都不受限因篇。
表現(xiàn)形式:將來自內(nèi)部同一個(gè)IP地址同一個(gè)端口號(hào)(IP_IN_A : PORT_IN_A)的主機(jī)監(jiān)聽/請(qǐng)求,映射到公網(wǎng)IP某個(gè)端口(IP_OUT_B : PORT_OUT_B)的監(jiān)聽。任意外部IP地址與端口對(duì)其自己公網(wǎng)的IP這個(gè)映射后的端口訪問(IP_OUT_B : PORT_OUT_B)竞滓,都將重新定位到內(nèi)部這個(gè)主機(jī)(IP_IN_A : PORT_IN_A)咐吼。該技術(shù)中,基于C/S架構(gòu)的應(yīng)用可以在任何一端發(fā)起連接商佑。是不是很繞啊锯茄。再簡(jiǎn)單一點(diǎn)的說,就是茶没,只要客戶端肌幽,由內(nèi)到外建立一個(gè)映射(NatIP:NatPort -> A:P1)之后,其他IP的主機(jī)B或端口A:P2都可以使用這個(gè)洞給客戶端發(fā)送數(shù)據(jù)抓半。見下圖(圖片來自網(wǎng)絡(luò))牍颈。
2)受限錐型NAT(Restricted Cone NAT)
特點(diǎn):IP受限,端口不受限琅关。
表現(xiàn)形式:與完全錐形NAT不同的是煮岁,在公網(wǎng)映射端口后,并不允許所有IP進(jìn)行對(duì)于該端口的訪問涣易,要想通信必需內(nèi)部主機(jī)對(duì)某個(gè)外部IP主機(jī)發(fā)起過連接画机,然后這個(gè)外部IP主機(jī)就可以與該內(nèi)部主機(jī)通信了,但端口不做限制新症。舉個(gè)栗子步氏。當(dāng)客戶端由內(nèi)到外建立映射(NatIP:NatPort –> A:P1),A機(jī)器可以使用他的其他端口(P2)主動(dòng)連接客戶端徒爹,但B機(jī)器則不被允許荚醒。因?yàn)镮P受限啦,但是端口隨便隆嗅。見下圖(綠色是允許通信界阁,紅色是禁止通信)。
3)端口受限型NAT(Port Restricted Cone NAT)
特點(diǎn):IP和端口都受限胖喳。
表現(xiàn)形式:該技術(shù)與受限錐形NAT相比更為嚴(yán)格泡躯。除具有受限錐形NAT特性,對(duì)于回復(fù)主機(jī)的端口也有要求丽焊。也就是說:只有當(dāng)內(nèi)部主機(jī)曾經(jīng)發(fā)送過報(bào)文給外部主機(jī)(假設(shè)其IP地址為A且端口為P1)之后较剃,外部主機(jī)才能以公網(wǎng)IP:PORT中的信息作為目標(biāo)地址和目標(biāo)端口,向內(nèi)部主機(jī)發(fā)送UDP報(bào)文技健,同時(shí)写穴,其請(qǐng)求報(bào)文的IP必須是A,端口必須為P1(使用IP地址為A雌贱,端口為P2啊送,或者IP地址為B偿短,端口為P1都將通信失敗)删掀。例子見下圖翔冀。這一要求進(jìn)一步強(qiáng)化了對(duì)外部報(bào)文請(qǐng)求來源的限制,從而較Restrictd Cone更具安全性披泪。
4)對(duì)稱型NAT(Symmetric NAT)
特點(diǎn):對(duì)每個(gè)外部主機(jī)或端口的會(huì)話都會(huì)映射為不同的端口(洞)纤子。
表現(xiàn)形式:只有來自同一內(nèi)部IP:PORT、且針對(duì)同一目標(biāo)IP:PORT的請(qǐng)求才被NAT轉(zhuǎn)換至同一個(gè)公網(wǎng)(外部)IP:PORT款票,否則的話控硼,NAT將為之分配一個(gè)新的外部(公網(wǎng))IP:PORT。并且艾少,只有曾經(jīng)收到過內(nèi)部主機(jī)請(qǐng)求的外部主機(jī)才能向內(nèi)部主機(jī)發(fā)送數(shù)據(jù)包卡乾。內(nèi)部主機(jī)用同一IP與同一端口與外部多IP通信「抗唬客戶端想和服務(wù)器A(IP_A:PORT_A)建立連接幔妨,是通過NAT映射為NatIP:NatPortA來進(jìn)行的。而客戶端和服務(wù)器B(IP_B:PORT_B)建立連接谍椅,是通過NAT映射為NatIP:NatPortB來進(jìn)行的误堡。即同一個(gè)客戶端和不同的目標(biāo)IP:PORT通信,經(jīng)過NAT映射后的公網(wǎng)IP:PORT是不同的雏吭。此時(shí)锁施,如果B想要和客戶端通信,也只能通過NatIP:NatPortB(也就是紫色的洞洞)來進(jìn)行杖们,而不能通過NatIP:NatPortA(也就是黃色的洞洞)悉抵。
以上,就是NAPT的四種NAT類型摘完±咽危可以看出由類型1)至類型4),NAT的限制是越來越大的描焰。
三媳否、NAT路由類型判斷
根據(jù)上面的介紹,我們可以了解到荆秦,在實(shí)際的網(wǎng)絡(luò)情況中,各個(gè)設(shè)備所處的網(wǎng)絡(luò)環(huán)境是不同的力图。那么步绸,如果這些設(shè)備想要進(jìn)行通信,首先判斷出設(shè)備所處的網(wǎng)絡(luò)類型就是非常重要的一步吃媒。舉個(gè)例子來說:對(duì)于視頻會(huì)議和VoIP軟件瓤介,對(duì)位于不同NAT內(nèi)部的主機(jī)通信需要靠服務(wù)器來轉(zhuǎn)發(fā)完成吕喘,這樣就會(huì)增加服務(wù)器的負(fù)擔(dān)。為了解決這種問題刑桑,要盡量使位于不同NAT內(nèi)部的主機(jī)建立直接通信氯质,其中,最重要的一點(diǎn)就是要判斷出NAT的類型祠斧,然后才能根據(jù)NAT的類型闻察,設(shè)計(jì)出直接通信方案。不然的話琢锋,兩個(gè)都在NAT的終端怎么通信呢辕漂?我們不知道對(duì)方的內(nèi)網(wǎng)IP,即使把消息發(fā)到對(duì)方的網(wǎng)關(guān)吴超,然后呢钉嘹?網(wǎng)關(guān)怎么知道這條消息給誰,而且誰允許網(wǎng)關(guān)這么做了鲸阻?
為了解決這個(gè)問題跋涣,也就是處于內(nèi)網(wǎng)的主機(jī)之間能夠穿越它們之間的NAT建立直接通信,已經(jīng)提出了許多方法鸟悴,STUN(Session Traversal Utilities for NAT陈辱,NAT會(huì)話穿越應(yīng)用程序)技術(shù)就是其中比較重要的一種解決方法,并得到了廣泛的應(yīng)用遣臼。在這個(gè)部分性置,我們將重點(diǎn)介紹下STUN技術(shù)的原理。(PS:除此之外揍堰,還有UPNP技術(shù)鹏浅,ALG應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù),SBC會(huì)話邊界控制屏歹,ICE交互式連接建立隐砸,TURN中繼NAT穿越技術(shù)等等,本文不一一做介紹蝙眶。)
四季希、STUN協(xié)議
STUN是一種網(wǎng)絡(luò)協(xié)議,它允許位于NAT(或多重NAT)后的客戶端找出自己的公網(wǎng)地址幽纷,查出自己位于哪種類型的NAT之后以及NAT為某一個(gè)本地端口所綁定的Internet端端口式塌。這些信息被用來在兩個(gè)同時(shí)處于NAT路由器之后的主機(jī)之間建立UDP通信。該協(xié)議由RFC 5389定義友浸。STUN由三部分組成:STUN客戶端峰尝、STUN服務(wù)器端、NAT路由器收恢。STUN服務(wù)端部署在一臺(tái)有著兩個(gè)公網(wǎng)IP的服務(wù)器上武学。大概的結(jié)構(gòu)參考下圖祭往。STUN客戶端通過向服務(wù)器端發(fā)送不同的消息類型,根據(jù)服務(wù)器端不同的響應(yīng)來做出相應(yīng)的判斷火窒,一旦客戶端得知了Internet端的UDP端口硼补,通信就可以開始了。
STUN協(xié)議定義了三類測(cè)試過程來檢測(cè)NAT類型熏矿。
Test1:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發(fā)送一個(gè)Binding Request(沒有設(shè)置任何屬性)已骇。STUN Server收到該請(qǐng)求后,通過端口{IP-S1:Port-S1}把它所看到的STUN Client的IP和端口{IP-M1,Port-M1}作為Binding Response的內(nèi)容回送給STUN Client曲掰。Test1#2:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S2:Port-S2}發(fā)送一個(gè)Binding Request(沒有設(shè)置任何屬性)疾捍。STUN Server收到該請(qǐng)求后,通過端口{IP-S2:Port-S2}把它所看到的STUN Client的IP和端口{IP-M1#2,Port-M1#2}作為Binding Response的內(nèi)容回送給STUN Client栏妖。
Test2:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發(fā)送一個(gè)Binding Request(設(shè)置了Change IP和Change Port屬性)乱豆。STUN Server收到該請(qǐng)求后,通過端口{IP-S2:Port-S2}把它所看到的STUN Client的IP和端口{IP-M2,Port-M2}作為Binding Response的內(nèi)容回送給STUN Client吊趾。
Test3:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發(fā)送一個(gè)Binding Request(設(shè)置了Change Port屬性)宛裕。STUN Server收到該請(qǐng)求后,通過端口{IP-S1:Port-S2}把它所看到的STUN Client的IP和端口{IP-M3,Port-M3}作為Binding Response的內(nèi)容回送給STUN Client论泛。
STUN協(xié)議的輸出是:1)公網(wǎng)IP和Port2)防火墻是否設(shè)置3)客戶端是否在NAT之后揩尸,及所處的NAT的類型
因此我們進(jìn)而整理出,通過STUN協(xié)議屁奏,我們可以檢測(cè)的類型一共有以下七種:
A:公開的互聯(lián)網(wǎng)IP岩榆。主機(jī)擁有公網(wǎng)IP,并且沒有防火墻坟瓢,可自由與外部通信B:完全錐形NAT勇边。C:受限制錐形NAT。D:端口受限制形NAT折联。E:對(duì)稱型UDP防火墻粒褒。主機(jī)出口處沒有NAT設(shè)備,但有防火墻,且防火墻規(guī)則如下:從主機(jī)UDP端口A發(fā)出的數(shù)據(jù)包保持源地址,但只有從之前該主機(jī)發(fā)出包的目的IP/PORT發(fā)出到該主機(jī)端口A的包才能通過防火墻诚镰。F:對(duì)稱型NATG:防火墻限制UDP通信奕坟。
輸入和輸出準(zhǔn)備好后,附上一張維基百科的流程圖清笨,就可以描述STUN協(xié)議的判斷過程了月杉。
STEP1:檢測(cè)客戶端是否有能力進(jìn)行UDP通信以及客戶端是否位于NAT后 -- Test1客戶端建立UDP socket,然后用這個(gè)socket向服務(wù)器的(IP-1抠艾,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port沙合,客戶端發(fā)送請(qǐng)求后立即開始接受數(shù)據(jù)包。重復(fù)幾次跌帐。a)如果每次都超時(shí)收不到服務(wù)器的響應(yīng)首懈,則說明客戶端無法進(jìn)行UDP通信,可能是:G防火墻阻止UDP通信b)如果能收到回應(yīng)谨敛,則把服務(wù)器返回的客戶端的(IP:PORT)同(Local IP: Local Port)比較:如果完全相同則客戶端不在NAT后究履,這樣的客戶端是:A具有公網(wǎng)IP可以直接監(jiān)聽UDP端口接收數(shù)據(jù)進(jìn)行通信或者E。否則客戶端在NAT后要做進(jìn)一步的NAT類型檢測(cè)(繼續(xù))脸狸。
STEP2:檢測(cè)客戶端防火墻類型 -- Test2STUN客戶端向STUN服務(wù)器發(fā)送請(qǐng)求最仑,要求服務(wù)器從其他IP和PORT向客戶端回復(fù)包:a)收不到服務(wù)器從其他IP地址的回復(fù),認(rèn)為包前被前置防火墻阻斷炊甲,網(wǎng)絡(luò)類型為Eb)收到則認(rèn)為客戶端處在一個(gè)開放的網(wǎng)絡(luò)上泥彤,網(wǎng)絡(luò)類型為A
STEP3:檢測(cè)客戶端NAT是否是FULL CONE NAT -- Test2客戶端建立UDP socket然后用這個(gè)socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器用另一對(duì)(IP-2,Port-2)響應(yīng)客戶端的請(qǐng)求往回發(fā)一個(gè)數(shù)據(jù)包,客戶端發(fā)送請(qǐng)求后立即開始接受數(shù)據(jù)包卿啡。 重復(fù)這個(gè)過程若干次吟吝。a)如果每次都超時(shí),無法接受到服務(wù)器的回應(yīng)颈娜,則說明客戶端的NAT不是一個(gè)Full Cone NAT,具體類型有待下一步檢測(cè)(繼續(xù))。b)如果能夠接受到服務(wù)器從(IP-2,Port-2)返回的應(yīng)答UDP包俊鱼,則說明客戶端是一個(gè)Full Cone NAT搓劫,這樣的客戶端能夠進(jìn)行UDP-P2P通信。
STEP4:檢測(cè)客戶端NAT是否是SYMMETRIC NAT -- Test1#2客戶端建立UDP socket然后用這個(gè)socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port, 客戶端發(fā)送請(qǐng)求后立即開始接受數(shù)據(jù)包同仆。 重復(fù)這個(gè)過程直到收到回應(yīng)(一定能夠收到萤捆,因?yàn)榈谝徊奖WC了這個(gè)客戶端可以進(jìn)行UDP通信)。用同樣的方法用一個(gè)socket向服務(wù)器的(IP-2,Port-2)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port俗批。比較上面兩個(gè)過程從服務(wù)器返回的客戶端(IP,Port),如果兩個(gè)過程返回的(IP,Port)有一對(duì)不同則說明客戶端為Symmetric NAT俗或,這樣的客戶端無法進(jìn)行UDP-P2P通信(檢測(cè)停止)因?yàn)閷?duì)稱型NAT,每次連接端口都不一樣扶镀,所以無法知道對(duì)稱NAT的客戶端蕴侣,下一次會(huì)用什么端口。否則是Restricted Cone NAT臭觉,是否為Port Restricted Cone NAT有待檢測(cè)(繼續(xù))昆雀。
STEP5:檢測(cè)客戶端NAT是Restricted Cone 還是 Port Restricted Cone -- Test3客戶端建立UDP socket然后用這個(gè)socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器用IP-1和一個(gè)不同于Port-1的端口發(fā)送一個(gè)UDP 數(shù)據(jù)包響應(yīng)客戶端, 客戶端發(fā)送請(qǐng)求后立即開始接受數(shù)據(jù)包。重復(fù)這個(gè)過程若干次蝠筑。如果每次都超時(shí)狞膘,無法接受到服務(wù)器的回應(yīng),則說明客戶端是一個(gè)Port Restricted Cone NAT什乙,如果能夠收到服務(wù)器的響應(yīng)則說明客戶端是一個(gè)Restricted Cone NAT挽封。以上兩種NAT都可以進(jìn)行UDP-P2P通信。
通過以上過程臣镣,至此辅愿,就可以分析和判斷出客戶端是否處于NAT之后智亮,以及NAT的類型及其公網(wǎng)IP,以及判斷客戶端是否具備P2P通信的能力了点待。當(dāng)然這是自己個(gè)人筆記的第一篇阔蛉,后面,再作一篇筆記《NAT穿透原理淺析(二)》分析下不同NAT類型的穿透打洞策略癞埠。
