NAT/NAPT及udp打洞技术的详解

时间 2019-11-10

标签 nat napt udp 打洞技术详解繁體版

原文原文链接

NAT(Network Address Translators)，网络地址转换：网络地址转换是在IP地址日益缺少的状况下产生的，它的主要目的就是为了可以地址重用。NAT分为两大类，基本的NAT和NAPT(Network Address/Port Translator)。安全

最开始NAT是运行在路由器上的一个功能模块。服务器

最早提出的是基本的NAT，它的产生基于以下事实：一个私有网络（域）中的节点中只有不多的节点须要与外网链接（呵呵，这是在上世纪90年代中期提出的）。那么这个子网中其实只有少数的节点须要全球惟一的IP地址，其余的节点的IP地址应该是能够重用的。网络

所以，基本的NAT实现的功能很简单，在子网内使用一个保留的IP子网段，这些IP对外是不可见的。子网内只有少数一些IP地址能够对应到真正全球惟一的IP地址。若是这些节点须要访问外部网络，那么基本NAT就负责将这个节点的子网内IP转化为一个全球惟一的IP而后发送出去。(基本的NAT会改变IP包中的原IP地址，可是不会改变IP包中的端口)oop

关于基本的NAT能够参看RFC 1631spa

另一种NAT叫作NAPT，从名称上咱们也能够看得出，NAPT不但会改变通过这个NAT设备的IP数据报的IP地址，还会改变IP数据报的TCP/UDP端口。基本NAT的设备可能咱们见的很少（呵呵，我没有见到过），NAPT才是咱们真正讨论的主角。看下图：.net

Server S1orm

18.181.0.31:1235进程

|路由

^ Session 1 (A-S1) ^ |it

| 18.181.0.31:1235 | |

v 155.99.25.11:62000 v |

NAT

155.99.25.11

^ Session 1 (A-S1) ^ |

| 18.181.0.31:1235 | |

v 10.0.0.1:1234 v |

Client A

10.0.0.1:1234

有一个私有网络10.*.*.*，Client A是其中的一台计算机，这个网络的网关（一个NAT设备）的外网IP是155.99.25.11(应该还有一个内网的IP地址，好比10.0.0.10)。若是Client A中的某个进程（这个进程建立了一个UDP Socket,这个Socket绑定1234端口）想访问外网主机18.181.0.31的1235端口，那么当数据包经过NAT时会发生什么事情呢？

首先NAT会改变这个数据包的原IP地址，改成155.99.25.11。接着NAT会为这个传输建立一个Session（Session是一个抽象的概念，若是是TCP，也许Session是由一个SYN包开始，以一个FIN包结束。而UDP呢，以这个IP的这个端口的第一个UDP开始，结束呢，呵呵，也许是几分钟，也许是几小时，这要看具体的实现了）而且给这个Session分配一个端口，好比62000，而后改变这个数据包的源端口为62000。因此原本是（10.0.0.1:1234->18.181.0.31:1235）的数据包到了互联网上变为了（155.99.25.11:62000->18.181.0.31:1235）。

一旦NAT建立了一个Session后，NAT会记住62000端口对应的是10.0.0.1的1234端口，之后从18.181.0.31发送到62000端口的数据会被NAT自动的转发到10.0.0.1上。（注意：这里是说18.181.0.31发送到62000端口的数据会被转发，其余的IP发送到这个端口的数据将被NAT抛弃）这样Client A就与Server S1创建以了一个链接。

呵呵，上面的基础知识可能不少人都知道了，那么下面是关键的部分了。

看看下面的状况：

Server S1 Server S2

18.181.0.31:1235 138.76.29.7:1235

| |

+----------------------+----------------------+

^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^

| 18.181.0.31:1235 | | | 138.76.29.7:1235 |

v 155.99.25.11:62000 v | v 155.99.25.11:62000 v

Cone NAT

155.99.25.11

^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^

| 18.181.0.31:1235 | | | 138.76.29.7:1235 |

v 10.0.0.1:1234 v | v 10.0.0.1:1234 v

Client A

10.0.0.1:1234

接上面的例子，若是Client A的原来那个Socket(绑定了1234端口的那个UDP Socket)又接着向另一个Server S2发送了一个UDP包，那么这个UDP包在经过NAT时会怎么样呢？

这时可能会有两种状况发生，一种是NAT再次建立一个Session，而且再次为这个Session分配一个端口号（好比：62001）。另一种是NAT再次建立一个Session，可是不会新分配一个端口号，而是用原来分配的端口号62000。前一种NAT叫作Symmetric NAT，后一种叫作Cone NAT。咱们指望咱们的NAT是第二种，呵呵，若是你的NAT恰好是第一种，那么极可能会有不少P2P软件失灵。（能够庆幸的是，如今绝大多数的NAT属于后者，即Cone NAT）

好了，咱们看到，经过NAT,子网内的计算机向外连结是很容易的（NAT至关于透明的，子网内的和外网的计算机不用知道NAT的状况）。

可是若是外部的计算机想访问子网内的计算机就比较困难了（而这正是P2P所须要的）。

那么咱们若是想从外部发送一个数据报给内网的计算机有什么办法呢？首先，咱们必须在内网的NAT上打上一个“洞”（也就是前面咱们说的在NAT上创建一个Session），这个洞不能由外部来打，只能由内网内的主机来打。并且这个洞是有方向的，好比从内部某台主机（好比：192.168.0.10）向外部的某个IP(好比：219.237.60.1)发送一个UDP包，那么就在这个内网的NAT设备上打了一个方向为219.237.60.1的“洞”，（这就是称为UDP Hole Punching的技术）之后219.237.60.1就能够经过这个洞与内网的192.168.0.10联系了。（可是其余的IP不能利用这个洞）。

呵呵，如今该轮到咱们的正题P2P了。有了上面的理论，实现两个内网的主机通信就差最后一步了：那就是鸡生蛋仍是蛋生鸡的问题了，两边都没法主动发出链接请求，谁也不知道谁的公网地址，那咱们如何来打这个洞呢？咱们须要一个中间人来联系这两个内网主机。

如今咱们来看看一个P2P软件的流程，如下图为例：

Server S （219.237.60.1）

+----------------------+----------------------+

| |

NAT A (外网IP:202.187.45.3) NAT B (外网IP:187.34.1.56)

| (内网IP:192.168.0.1) | (内网IP:192.168.0.1)

| |

Client A (192.168.0.20:4000) Client B (192.168.0.10:40000)

首先，Client A登陆服务器，NAT A为此次的Session分配了一个端口60000，那么Server S收到的Client A的地址是202.187.45.3:60000，这就是Client A的外网地址了。一样，Client B登陆Server S，NAT B给这次Session分配的端口是40000，那么Server S收到的B的地址是187.34.1.56:40000。

此时，Client A与Client B均可以与Server S通讯了。若是Client A此时想直接发送信息给Client B，那么他能够从Server S那儿得到B的公网地址187.34.1.56:40000，是否是Client A向这个地址发送信息Client B就能收到了呢？答案是不行，由于若是这样发送信息，NAT B会将这个信息丢弃（由于这样的信息是不请自来的，为了安全，大多数NAT都会执行丢弃动做）。如今咱们须要的是在NAT B上打一个方向为202.187.45.3（即Client A的外网地址）的洞，那么Client A发送到187.34.1.56:40000的信息,Client B就能收到了。这个打洞命令由谁来发呢，呵呵，固然是Server S。

总结一下这个过程：若是Client A想向Client B发送信息，那么Client A发送命令给Server S，请求Server S命令Client B向Client A方向打洞。呵呵，是否是很绕口，不过不要紧，想想就很清楚了，况且还有源代码呢（侯老师说过：在源代码面前没有秘密 8）），而后Client A就能够经过Client B的外网地址与Client B通讯了。

注意：以上过程只适合于Cone NAT的状况，若是是Symmetric NAT，那么当Client B向Client A打洞的端口已经从新分配了，Client B将没法知道这个端口（若是Symmetric NAT的端口是顺序分配的，那么咱们或许能够猜想这个端口号，但是因为可能致使失败的因素太多，咱们不推荐这种猜想端口的方法）。

下面是一个模拟P2P聊天的过程的源代码，过程很简单，P2PServer运行在一个拥有公网IP的计算机上，P2PClient运行在两个不一样的NAT后（注意，若是两个客户端运行在一个NAT后，本程序极可能不能运行正常，这取决于你的NAT是否支持loopback translation，详见http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt，固然，此问题能够经过双方先尝试链接对方的内网IP来解决，可是这个代码只是为了验证原理，并无处理这些问题），后登陆的计算机能够得到先登陆计算机的用户名，后登陆的计算机经过send username message的格式来发送消息。若是发送成功，说明你已取得了直接与对方链接的成功。