计算机网络打洞技术
UDP打洞技术
首先先介绍一些基本概念:NAT(Network Address Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。
NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator)。
最开始NAT是运行在路由器上的一个功能模块。
最先提出的是基本的NAT,它的产生基于如下事实:一个私有网络(域)中的节点中只有很少的节点需要与外网连接(呵呵,这是在上世纪90年代中期提出的)。
那么这个子网中其实只有少数的节点需要全球唯一的IP地址,其他的节点的IP地址应该是可以重用的。
因此,基本的NAT实现的功能很简单,在子网内使用一个保留的IP子网段,这些IP对外是不可见的。
子网内只有少数一些IP地址可以对应到真正全球唯一的IP地址。
如果这些节点需要访问外部网络,那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。
(基本的NAT会改变IP包中的原IP地址,但是不会改变IP包中的端口)关于基本的NAT可以参看RFC 1631另外一种NAT叫做NAPT,从名称上我们也可以看得出,NAPT不但会改变经过这个NAT设备的IP数据报的IP地址,还会改变IP数据报的TCP/UDP端口。
基本NAT的设备可能我们见的不多(呵呵,我没有见到过),NAPT才是我们真正讨论的主角。
看下图:Server S118.181.0.31:1235 |^ Session 1 (A-S1) ^ || 18.181.0.31:1235 | |v 155.99.25.11:62000 v ||NAT155.99.25.11|^ Session 1 (A-S1) ^ || 18.181.0.31:1235 | |v 10.0.0.1:1234 v ||Client A10.0.0.1:1234有一个私有网络10.*.*.*,Client A是其中的一台计算机,这个网络的网关(一个NAT设备)的外网IP是155.99.25.11(应该还有一个内网的IP地址,比如10.0.0.10)。
计算机网络打洞技术
Internet的快速发展以及IPv4地址数量的不足使得NAT设备得到了大规模的应用,然而这也给越来越多的端到端通信也带来了不少的麻烦。
一般来说,NAT设备允许内网内主机主动向公网内主机发送数据,但却禁止内网外的主机主动向内网内的主机传递数据。
由于很多的会话双方处于不同的NAT设备后,它们通信一般通过公网服务器中转,而要建立P2P通信,则必须解决N A T穿越问题才能建立通信。
第三章 NAT穿越模块的设计与实现NAT 是介于内网和公网之间的设备,公网中的IP 地址是全球唯一的,而在内网中的IP 地址可以重复出现,但不能出现在公网中[18]。
NAT的基本功能就是通过一个或几个lP地址,来实现局域网上的所有主机都可以对因特网进行访问[19]。
NAT实现了公网地址和内网地址之间的映射,可从两个方面来概括:(1) 当内网内的IP包经过NAT需要流入公网时,NAT将此IP 包的源IP地址和端口改为NAT接口上的一个公网地址和端口;(2)当公网中的IP包经过NAT 需要访问内网资源时,NAT将此IP 包的目的地址和端口改为内网IP 地址和端口。
图3.1 UDP包经过NAT原理图图 3.1是 UDP包经过NAT后的示意图,可以看出UDP包从内网主机A发出时,到达NAT后它的源端IP和端口都已经改变。
同时从主机B的UDP包发往NAT-A的公网IP 和端口后,NAT将其自动转发给主机A。
3.1 NAT穿越方案分析3.1.1 NAT的类型NAT设备的类型对于穿越NAT,有着十分重要的影响,根据其端口映射方式,NAT可分为如下4类,前3种NAT类型可统称为cone NAT。
(1)全克隆( Full Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。
任何一个外部主机均可通过该映射发送IP包到该内部主机。
(2)限制性克隆(Restricted Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。
打洞原理的应用
打洞原理的应用引言打洞原理是一种常见的网络通信技术,在网络安全和软件开发中具有重要的应用。
本文将介绍打洞原理的基本概念和原理,并介绍其在实际应用中的一些典型案例。
打洞原理概述打洞原理,也称为NAT穿越技术,是通过一系列技术手段实现在网络环境中突破防火墙、NAT和代理等设备的限制,建立两个位于不同私有网络中的主机之间的直接通信。
通过打洞原理,可以实现点对点的直接连接,跨越了传统网络中的限制,大大提升了网络通信的效率和便利性。
打洞原理的基本原理1.NAT设备的穿越:在私有网络中,通常会使用NAT设备来将内部IP地址和端口映射到公共网络上,这会导致两个位于不同私有网络中的主机无法直接通信。
打洞原理通过一系列技术手段,绕过NAT设备,使得两个私有网络中的主机能够直接通信。
2.UDP通信的特性:打洞原理通常使用UDP协议进行通信,因为UDP协议相比于TCP协议,具有更好的穿透性。
UDP协议与TCP协议不同,不需要经过三次握手等繁琐的过程,而是直接发送数据包,因此能够更容易地穿越网络设备。
3.中间服务器的协助:在打洞原理中,通常会借助第三方的服务器进行协助。
这个服务器在两个私有网络中的主机之间起到中转的作用,帮助建立直接的通信通道。
通过合理的协议设计和中转服务器的存在,打洞原理能够实现两个私有网络中的主机之间的直接通信。
打洞原理的应用场景1.P2P文件共享:在P2P文件共享中,通常会涉及到直接点对点的通信。
打洞原理能够帮助不同私有网络中的用户建立直接的通信通道,加快文件传输的速度和效率。
2.实时语音视频通话:在实时语音视频通话中,需要实现低延迟和高质量的通信。
打洞原理可以帮助不同私有网络中的用户建立直接的通信通道,提升通话质量和稳定性。
3.远程桌面控制:在远程桌面控制中,需要实现即时响应和快速传输。
打洞原理可以帮助远程主机与客户端建立直接的通信通道,提供更流畅的使用体验。
4.多人网络游戏:在多人网络游戏中,需要实现实时的数据交互和同步。
udp打洞原理
udp打洞原理
UDP打洞是一种网络技术,用于在防火墙或NAT设备后面的计算机之间建立直接通信连接。
UDP打洞依赖于UDP包的特性,通过向目标计算机发送UDP包并在其防火墙或NAT设备上创建映射,然后再从源计算机发送UDP包,并通过先前创建的映射将数据直接发送到目标计算机。
这种技术可以在没有使用中间服务器的情况下实现点对点通信,提高通信效率和速度。
UDP打洞的原理是利用网络中UDP协议的一些特性,如UDP包不需要建立连接、UDP包可以在不同的端口之间进行通信等。
在UDP打洞的过程中,源计算机和目标计算机都会发送UDP包,以便在对方的防火墙或NAT设备上创建映射。
这些映射允许UDP包从源计算机直接发送到目标计算机,从而达到点对点通信的目的。
UDP打洞需要满足以下条件才能实现:
1. 源计算机和目标计算机都有公网IP地址。
2. 源计算机和目标计算机都可以发送和接收UDP包。
3. 源计算机和目标计算机都可以通过防火墙或NAT设备向外部网络发送UDP包,并且可以接收来自外部网络的UDP包。
UDP打洞的实现需要注意以下问题:
1. 防火墙或NAT设备可能会阻止UDP包的传输,导致UDP打洞失败。
2. 需要防止恶意用户利用UDP打洞技术进行攻击。
UDP打洞是一种实现点对点通信的重要技术,可以提高通信效率
和速度。
在实际应用中,需要结合其他网络技术来保证通信的安全性和可靠性。
TCP打洞
TCP打洞建立穿越NAT设备的p2p的TCP连接只比UDP复杂一点点,TCP协议的“打洞”从协议层来看是与UDP的“打洞”过程非常相似的。
尽管如此,基于TCP协议的打洞至今为止还没有被很好的理解,这也造成了对其提供支持的NAT设备不是很多。
在NAT设备支持的前提下,基于TCP的“打洞”技术实际上与基于UDP的“打洞”技术一样快捷、可靠。
实际上,只要NAT 设备支持的话,基于TCP的p2p技术的健壮性将比基于UDP的技术的更强一些,因为TCP 协议的状态机给出了一种标准的方法来精确的获取某个TCP session的生命期,而UDP协议则无法做到这一点。
1 套接字和TCP端口的重用实现基于TCP协议的p2p“打洞”过程中,最主要的问题不是来自于TCP协议,而是来自于来自于应用程序的API接口。
这是由于标准的伯克利(Berkeley)套接字的API是围绕着构建客户端/服务器程序而设计的,API允许TCP流套接字通过调用connect()函数来建立向外的连接,或者通过listen()和accept函数接受来自外部的连接,但是,API不提供类似UDP那样的,同一个端口既可以向外连接,又能够接受来自外部的连接。
而且更糟的是,TCP的套接字通常仅允许建立1对1的响应,即应用程序在将一个套接字绑定到本地的一个端口以后,任何试图将第二个套接字绑定到该端口的操作都会失败。
为了让TCP“打洞”能够顺利工作,我们需要使用一个本地的TCP端口来监听来自外部的TCP 连接,同时建立多个向外的TCP连接。
幸运的是,所有的主流操作系统都能够支持特殊的TCP套接字参数,通常叫做“SO_REUSEADDR”,该参数允许应用程序将多个套接字绑定到本地的一个endpoint(只要所有要绑定的套接字都设置了SO_REUSEADDR参数即可)。
BSD 系统引入了SO_REUSEPORT参数,该参数用于区分端口重用还是地址重用,在这样的系统里面,上述所有的参数必须都设置才行。
【免费下载】TCP打洞技术
我们先假设一下:有一个服务器 S 在公网上有一个 IP,两个私网分别由 NAT-A 和 NAT-B 连接到公网,NAT-A 后面有一台客户端 A,NAT-B 后面有一台客户端 B,现在,我们需要借助 S 将 A 和 B 建立直接的 TCP 连接,即由 B 向 A 打一个洞, 让 A 可以沿这个洞直接连接到 B 主机,就好像 NAT-B 不存 在一样。 实现过程如下(请参照源代码): 1、 S 启动两个网络侦听,一个叫【主连接】侦听,一个叫【协助打洞】的侦 听。 2、 A 和 B 分别与 S 的【主连接】保持联系。 3、 当 A 需要和 B 建立直接的 TCP 连接时,首先连接 S 的【协助打洞】端口, 并发送协助连接申请。同时在该端口号上启动侦听。注意由于要在相同的网络 终端上绑定到不同的套接字上,所以必须为这些套接字设置 SO_REUSEADDR 属 性(即允许重用),否则侦听会失败。 4、 S 的【协助打洞】连接收到 A 的申请后通过【主连接】通知 B,并将 A 经过 NAT-A 转换后的公网 IP 地址和端口等信息告诉 B。 5、 B 收到 S 的连接通知后首先与 S 的【协助打洞】端口连接,随便发送一些 数据后立即断开,这样做的目的是让 S 能知道 B 经过 NAT-B 转换后的公网 IP 和 端口号。 6、 B 尝试与 A 的经过 NAT-A 转换后的公网 IP 地址和端口进行 connect,根据 不同的路由器会有不同的结果,有些路由器在这个操作就能建立连接(例如我 用的 TPLink R402),大多数路由器对于不请自到的 SYN 请求包直接丢弃而导 致 connect 失败,但 NAT-A 会纪录此次连接的源地址和端口号,为接下来真正 的连 接做好了准备,这就是所谓的打洞,即 B 向 A 打了一个洞,下次 A 就能直 接连接到 B 刚才使用的端口号了。 7、 客户端 B 打洞的同时在相同的端口上启动侦听。B 在一切准备就绪以后通 过与 S 的【主连接】回复消息“我已经准备好”,S 在收到以后将 B 经过 NAT-B 转换后的公网 IP 和端口号告诉给 A。 8、 A 收到 S 回复的 B 的公网 IP 和端口号等信息以后,开始连接到 B 公网 IP 和端口号,由于在步骤 6 中 B 曾经尝试连接过 A 的公网 IP 地址和端口,NAT-A
NAT及NAT打洞技术
NAT及NAT打洞技术一、什么是NAT?为什么要使用NAT?NAT是将私有地址转换为合法IP地址的技术,通俗的讲就是将内网与内网通信时怎么将内网私有IP地址转换为可在网络中传播的合法IP地址。
NAT的出现完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
二、NAT的分类STUN标准中,根据内部终端的地址(LocalIP:LocalPort)到NAT出口的公网地址(PublicIP:PublicPort)的影射方式,把NAT分为四种类型:1、Full Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。
此外,任何外部主机只要知道这个(PublicIP:PublicPort)就可以发送数据给(PublicIP:PublicPort),内网的主机就能收到这个数据包。
2、Restricted Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。
此外,如果任何外部主机想要发送数据给这个内网主机,只要知道这个(PublicIP:PublicPort)并且内网主机之前用这个socket曾向这个外部主机IP发送过数据。
只要满足这两个条件,这个外部主机就可以用自己的(IP,任何端口)发送数据给(PublicIP:PublicPort),内网的主机就能收到这个数据包。
3、Port Restricted Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。
端口限制锥形打洞过程_概述说明以及概述
端口限制锥形打洞过程概述说明以及概述1. 引言1.1 概述在计算机网络通信中,端口限制锥形打洞是一种用于解决NAT(Network Address Translator)设备限制下的双向通信问题的技术。
NAT设备常常会对传入和传出的网络数据包进行过滤和修改,导致内部主机无法直接与外部主机建立双向通信连接。
而通过端口限制锥形打洞过程,可以绕过这个限制,实现双方之间的直接通信。
1.2 文章结构本文将围绕端口限制锥形打洞过程展开讨论。
首先介绍该过程的概念和背景,并解释它对计算机网络通信的重要性。
然后深入分析端口限制锥形打洞的具体流程,包括请求源地址检查、端口映射、握手以及数据传输等环节。
接下来,我们将详细介绍各个环节中所涉及到的技术原理和算法,并探讨其应用情景与限制条件。
最后,通过案例研究或实验结果验证该方法在实际网络环境中的可行性和效果。
1.3 目的本文旨在提供一个全面而清晰的端口限制锥形打洞过程概述说明,以便读者能够了解并应用该技术解决NAT设备带来的通信限制问题。
通过阅读本文,读者将对端口限制锥形打洞的原理和流程有一个深入的理解,并能在需要时灵活应用该技术,确保网络通信的顺畅和安全。
2. 正文:在本节中,我们将详细介绍端口限制锥形打洞的相关信息。
首先要了解的是,端口限制锥形打洞是一种用于网络通信的技术。
2.1 端口限制锥形打洞技术端口限制锥形打洞是一种将本地网络与公共互联网连接起来的方法。
它通过在本地计算机上开启一个端口,并在防火墙或路由器上对该端口进行配置,允许外部网络通过该端口与本地网络进行通信。
2.2 打洞过程概述2.2.1 验证用户身份在进行端口限制锥形打洞之前,首先需要验证用户身份。
这可以通过用户名和密码等方式进行验证。
2.2.2 开放一个可用端口为了进行打洞操作,必须开放一个可用的端口。
通常情况下,建议使用未被其他程序占用的端口。
2.2.3 配置防火墙或路由器需要在防火墙或路由器上配置规则,允许通过指定的端口进行通信。
Udp打洞文章大全(NAT 穿越技术荟萃)
Udp打洞,判断Nat网络类型一种基于UDP协议实现P2P智能穿越NAT的方案范艳阳,刘若尧1北京邮电大学通信工程学院计算机中心,北京(100876)E-mail:fanyanyang@摘要:由于目前NAT (Network Address Translation ,网络地址转换协议)的广泛运用,处于Internet上的公网主机与处于NAT之后的主机建立对等连接是实现P2P (Peer - To - Peer ,点对点) 通信很关键的问题。
本文在分析了基于UDP(User Datagram Protocol ,用户数据报)协议穿透NAT的实现原理的基础上,给出了一个基于UDP协议,根据不同NAT类型情况自适应选择NAT穿越方案,实现P2P通信的实现方案。
关键词:UDP, NAT,P2P中图分类号:TP2731. 引言NAT技术不仅可以暂时解决IPv4中IP地址分配的限制,而且还可以隐藏内部的网络地址信息,使外界无法直接访问网内的网络资源,保护了内部网络,所以NAT在防火墙中也得到了非常广泛的应用。
基于以上原因,NAT在现有的网络中是必不可少的[1]。
随着P2P技术的广泛应用,更多的网内主机需要参与到P2P网络中来。
由于NAT的存在,局域网(私网)IP地址在Internet上是不可见的,这也就造成了Internet上的主机不能主动访问NAT之后的主机,而位于NAT之后的主机间更是无法相互识别和通信[2]。
所以P2P网络应用必须解决穿透NAT实现主机间相互发现、相互定位和相互寻址的关键技术。
以建立起一个对等连接,进行对等通讯。
2. UDP协议穿越NAT的原理及特点2.1中继转发方式这种方式是最简单的,也是一种比较可靠的P2P通信方式。
实现原理为位于两个不同NAT之后的两台主机,都已经各自发起UDP 连接到一个众所周知的、具有合法公网IP 地址的服务器上.以两者间的通讯由服务器来中转完成。
但是这种通信方式效率底下,消耗了服务器的处理能力和网络带宽,同时主机之间的信息等待时间加长,且容纳P2P用户数有限。
p2p打洞原理
p2p打洞原理P2P打洞原理解析什么是P2P打洞?P2P打洞是一种用于实现点对点(Peer-to-Peer)通讯的技术,它允许两个位于不同私有网络中的设备直接建立连接。
通过打洞技术,P2P应用程序可以绕过NAT(网络地址转换)设备,实现直接通信,从而提高通信效率和减少延迟。
NAT和P2P通信的挑战在传统的计算机网络中,大多数终端设备都处于私有网络中,使用NAT设备将私有IP地址转换为公共IP地址进行对外通信。
这种网络环境下,P2P通信面临以下挑战:1.防火墙:NAT设备本质上是一种防火墙,它会过滤来自公共网络的进入连接请求,因此会阻止外部P2P节点访问设备。
2.IP和端口映射:每个设备在私有网络中会分配一个唯一的内部IP地址和端口号,这使得在P2P网络中直接访问设备变得困难。
P2P打洞的基本原理为了克服NAT带来的障碍,P2P打洞技术通过利用NAT设备对出站和入站连接的处理机制来建立通信。
它主要包括以下几个步骤:1.发现:P2P应用程序通过一种中介服务器(如STUN服务器)进行交互,获取设备的公共IP地址和端口号信息。
2.打洞:P2P应用程序通过向STUN服务器发送UDP数据包,请求与另一个设备建立连接。
这将使STUN服务器记录设备的公共IP地址和端口,并将其返回给P2P应用程序。
3.连接:P2P应用程序通过交换彼此的公共IP地址和端口信息,直接尝试建立UDP或TCP连接。
由于设备在STUN服务器记录下的信息,若没有防火墙及路由器的干预,连接可以成功建立。
通过这种方式,P2P应用程序绕过了NAT设备,实现了直接的点对点通信。
P2P打洞的限制与改进尽管P2P打洞技术可以解决NAT带来的通信难题,但它仍然面临一些限制:1.对称NAT:如果设备处于对称NAT环境下,P2P打洞可能会失败。
对称NAT会为每个不同目标地址分配不同的公共IP和端口,这阻碍了直接通信的建立。
2.防火墙:一些防火墙可能会检测打洞技术并丢弃相关的数据包,从而影响通信的建立。
TCP和UDP打洞技术
内容概述:在p2p通信领域中,由NAT(Network Address Translation,网络地址转换)引起的问题已经众所周知了,它会导致在NAT内部的p2p客户端在无论以何种有效的公网ip都无法访问的问题。
虽 然目前已经发展出多种穿越NAT的技术,但相关的技术文档却很少,用来证明这些技术的稳定性和优点的实际数据更少。
本文的目的在于描述和分析在实际中运用 得最广泛、最可靠同时也是最简单的一种NAT穿越技术,该技术通常被称为“打洞”技术。
目前,“打洞”技术已经在UDP通信领域中得到了广泛的理解和应 用,在此,也将讨论如何利用它实现可靠的p2p的TCP流通信。
在收集了大量的“打洞”技术可以穿越的NAT 设备和网络的数据以后,我们发现82%的已测 NAT设备支持UDP形式的“打洞”穿越,64%的已测NAT设备支持TCP流形式的“打洞”穿越。
由于重量级p2p应用程序(如,VOIP、BT、在线 游戏等)的用户需求量持续上升,并且该事实也已经引起了NAT设备生产厂商的广泛关注,因此,我们认为未来会有越来越多的NAT设备提供对“打洞”穿越技 术的支持。
1、介绍用户量高速增长以及大量安全问题的巨大压力迫使Internet技术不断向前发展,但是这些新兴的技术很大程度地增加了应用程序开发的成本和复杂 性。
Internet最初的地址体系是每个节点有一个唯一不变的全局地址,可以通过该地址直接与任何其它的节点进行通信,而现如今,该地址体系已经被新的 实际上广泛使用的地址体系所替换,新的地址体系是由全局地址域和通过NAT接入全局地址域的大量私有地址域组成。
在新的地址体系中(如图1所示),只有在 “main”全局地址域中的节点可以在网络中很容易地与任何其它的拥有全局地址的节点通信,因为该节点拥有全局的、唯一的、可路由的地址。
在私有网络中的 节点可以与在同一个私有网络中的其它节点进行通信,并且在通常情况下可以向全局地址中的某个“著名”的节点发起TCP连接或发送UDP数据包。
浙江省计算机三级网络技术试题库480道真题(含有答案以及解释)
浙江省计算机三级网络技术试题库480道真题(含有答案以及解释)一、单项选择题1.以下哪项不是网络拓扑结构的分类?A.总线型B.直线型C.环型D.星型答案:B解释:网络拓扑结构的分类有:总线型、环型、星型、树型、网状型等。
2.以下关于传输媒介的描述错误的是?A.光纤传输速度快、带宽大。
B.双绞线传输距离长、抗干扰能力强。
C.同轴电缆传输距离长、安装复杂。
D.无线传输有信号干扰问题。
答案:C解释:同轴电缆传输距离相对较短,抗干扰能力较强,但安装复杂。
3.以下哪项不是网络传输介质的特点?A.带宽B.传输速度C.传输距离D.配置复杂度答案:D解释:网络传输介质的特点包括带宽、传输速度、传输距离、抗干扰能力等。
4.以下哪项技术不是用于局域网的连接方式?A.以太网B.Wi-FiC.蓝牙D.ADSL答案:D解释:ADSL主要用于宽带接入而非局域网连接。
5.以下哪种协议是用于文件传输的?A. FTPB.SMTPC. HTTPD. DHCP答案:A解释:FTP协议是用于文件传输的。
6.以下哪项不是互联网的应用?A.电子邮件B.在线购物C.网上银行D.智能电视答案:D解释:智能电视在广义上可以被视为互联网应用,但在本题中不是互联网传统的应用。
7.以下哪项不属于网络安全技术?A.防火墙B.病毒查杀软件C.密码保护D.检查硬件答案:D解释:检查硬件不属于网络安全技术,常见的网络安全技术有:防火墙、病毒查杀软件、密码保护、加密技术、网络入侵检测系统等。
8.在TCP/IP协议中,以下哪项不属于应用层协议?A.HTTPB.TCPC.FTPD.SMTP答案:B解释:TCP属于传输层协议,HTTP、FTP、SMTP等属于应用层协议。
9.以下哪项不是计算机网络的架构之一?A.C/S架构B.P2P架构C.无线架构D.集中式架构答案:C解释:无线架构在计算机网络的架构分类中并不常见。
常见的计算机网络架构包括:C/S架构、P2P架构、集中式架构等。
tcp打洞原理和实现 -回复
tcp打洞原理和实现-回复TCP打洞原理和实现引言:随着互联网技术的发展和普及,越来越多的应用程序需要进行网络通信。
而在网络通信中,由于存在网络地址转换(Network Address Translation, NAT)等防火墙设备和路由器,使得在特定情况下,直接进行端到端的通信变得困难。
为了解决这一问题,TCP打洞技术应运而生。
一、什么是TCP打洞?TCP打洞是一种通过防火墙或者路由器进行数据传输的技术。
它通过一种巧妙的方式,使两个内网主机通过NAT设备进行直接通信,而不需要进行端口转发或者端口映射。
二、TCP打洞原理:1. 内网主机和外网主机同时向同一个服务器发起连接请求。
为了进行TCP打洞,首先需要两个内网主机和一个公网主机。
假设内网主机A的IP地址为A_ip,端口号为A_port,内网主机B的IP地址为B_ip,端口号为B_port。
公网主机S为打洞服务器,IP地址为S_ip,端口号为S_port。
内网主机A和内网主机B同时向公网主机S发起连接请求,请求内容中包含自己的内网地址和端口号信息,并等待S的响应。
2. 公网主机S收到连接请求并将其转发给目标主机B。
公网主机S收到A的连接请求后,将A的内网地址和端口号信息转发给B。
3. 内网主机B与公网主机S建立连接。
内网主机B收到来自公网主机S的连接请求后,建立与S的连接。
4. 内网主机B通过与公网主机S建立的连接,向内网主机A发送回应。
内网主机B通过与公网主机S建立的连接,将自己的内网地址和端口号信息发送给内网主机A。
5. 内网主机A通过与公网主机S建立的连接,向内网主机B发送回应。
内网主机A通过与公网主机S建立的连接,将自己的内网地址和端口号信息发送给内网主机B。
6. 内网主机A与内网主机B建立直接通信连接。
通过第5步和第6步,内网主机A和内网主机B分别获取了对方的内网地址和端口信息,并通过打洞服务器S建立了直接通信的连接。
7. 建立的直接通信连接保持活跃。
tcp打洞原理和实现 -回复
tcp打洞原理和实现-回复TCP打洞(TCP Hole Punching)是一种网络通信技术,通过在防火墙、NAT网关等网络设备上创建一个暂时的连接,使得两台位于私有网络中的主机之间可以直接通信,而不需要通过中间的服务器进行转发。
本文将详细介绍TCP打洞的原理和实现方法。
一、原理在传统的TCP/IP网络中,由于NAT(Network Address Translation,网络地址转换)的存在,导致私有网络内的主机无法直接与外部网络进行通信。
NAT会将私有网络内的主机的私有IP地址映射为公共IP地址,来实现多个主机共用一个公共IP地址。
这样,在外部网络中看来,所有位于私有网络内的主机都是使用同一个公共IP地址进行通信的。
当私有网络内的主机需要与外部网络的主机进行通信时,它们会通过NAT 网关将数据包发送到外部网络。
由于NAT的存在,外部网络的主机只能看到数据包的源IP地址为NAT网关的公共IP地址,而看不到数据包的源IP地址是具体的私有IP地址。
这就导致外部网络中的主机无法直接回复数据包给私有网络内的主机。
为了解决这个问题,打洞技术应运而生。
TCP打洞技术利用NAT网关对于同一个源IP地址和源端口的数据包的处理,创建一个映射,使得两台主机之间的连接得以建立。
打洞技术的核心思想是通过两个主机同时向相同的服务器发送数据包,并且这两个数据包具有相同的源IP地址和源端口,这样就能够通过NAT网关的映射机制,将两个主机的通信路径打通。
二、实现方法下面将介绍一种基于UDP协议的TCP打洞实现方法:1. 建立两个测试主机A和B,它们分别位于两个不同的私有网络中,分别运行在NAT之后。
2. 同时向一台可公网访问的服务器S发送UDP数据包,数据包的内容可以是任意的。
3. A和B收到来自服务器S的数据包后,分别向S发送UDP数据包,数据包的内容也可以是任意的。
需要注意的是,A和B发送的数据包必须具有相同的源IP地址和源端口。
P2P技术之UDP穿透
P2P技术之UDP穿透本文章出自的AZ猫著,如需要转发,请注明来自Peer-To-Peer缩写P2P中文称之为对等联网。
用途于交流,比如QQ,MSN等等。
文件传输、分布式数据计算等等。
这里我们主要是是简单讲解一下UDP实现NAT的穿透(俗称打洞)当然TCP与之相似,可以以此类推。
首先我们要确认以下事实:. 两个独立内网是无法连通的;. 但是内网计算机可以主动连接其他有独立IP的外网计算机;. UDP协议通讯是非持续连接的, 所以网关那边会给你开一个临时端口,让你能够接受外网计算机返回给你的udp包,如果一段时间内没有传输,临时端口便会取消。
这就给了我们可钻之机.NAT最开始出现在路由器上。
详细的大家可以在网上查下资料NAT的全称是Network Address Translator中文称之为网络地址转换NAT分为两大类,NAT和NAPT(Network Address Port Translator)这个不用说了,端口地址转换。
用于实例,简单的说,实现P2P需要一个中转服务器。
也就是需要一个第三方。
(一会儿我们来说为什么需要一个第三方)以简单的通迅来讲,首先我们来看一个示例图。
A<——————>B A与B之间进行的通迅A的IP地址为222.182.100.1B的IP地址为222.182.100.2如果这两个用户都是采用的全球唯一的IP地址,那么他们通迅很简单,也不需要实现P2P。
A<------------------>Nat<-------------------->B如果其中一方为内网用户,即IP地址不为全球唯一IP, 就需要路由器来帮助通迅了。
数据包在经过路由器的时候,路由器会完成IP地址和端口的映射。
如:A为内网用户。
B为外网用户。
则B的IP为全球唯一IP地址。
可以直接通迅。
A的IP地址为:192.168.1.100:1025, 这当然是内网的地址.A(内网)<------------------>R(Nat)<-------------------->B(外网)假设数据从A先发送到路由器R,R会产生一个会话(Session),保存时间为几分钟到数小时,这个Session映射(保存)了数据包的源地址(192.168.1.100:1025),并修改为222.182.100.1:3645(假设), 之后R继续将数据包转发给B.这个时候实际上A就是在进行路由NAT的穿透,如果我们在B向A发送信息的时候采用192.168.1.100:1025这样的IP和端口,是找不到A的;那么B需要的是在收到A的信息的时候,获取其IP地址和端口,那么获取到的就是222.182.100.1:3645这个路由器的映射Session地址。
tcp打洞原理和实现
tcp打洞原理和实现TCP打洞是一种用于在NAT(Network Address Translation)背后创建直接通信连接的技术。
由于NAT的存在,使得在私有网络中的主机无法直接与公共网络上的主机进行通信。
而TCP打洞则可以通过巧妙的方式绕过NAT,实现私有网络与公共网络之间的直接通信。
TCP打洞的原理是利用NAT的状态维护机制,通过在NAT上创建相同的状态,使公网主机和私网主机能够建立直接的通信连接。
具体的实现步骤如下:1. 首先,私网主机A向公网主机B发送连接请求,由于NAT的存在,请求无法直接到达B。
但是NAT会在自己的状态表中记录下A的请求,并分配一个临时的端口号。
2. 接下来,B向A发起连接请求,由于NAT的状态表中已经有了A 的请求记录,B的请求可以通过NAT到达A。
3. A收到B的请求后,会将自己的响应包发送给B,同时也会在自己的NAT状态表中记录下B的请求,并分配一个临时的端口号。
4. 最后,B收到A的响应包后,会将自己的数据包直接发送给A,通过NAT的状态表中的记录,可以确保数据包能够正确地到达A。
通过以上的步骤,私网主机A和公网主机B就能够建立起直接的通信连接,实现数据的传输。
需要注意的是,TCP打洞的实现需要满足一定的条件。
首先,NAT设备必须支持对TCP连接的状态维护,并且能够正确地处理打洞过程中的请求和响应包。
其次,私网主机和公网主机之间必须能够相互通信,即私网主机必须能够发送请求包到公网主机,并能够接收公网主机的响应包。
总的来说,TCP打洞是一种通过巧妙利用NAT状态维护机制,实现私网主机与公网主机直接通信的技术。
它可以绕过NAT的限制,提供更加灵活和便利的网络通信方式。
通过合理的步骤和条件,TCP 打洞可以在保证数据安全的前提下,实现私网与公网之间的直接连接。
UDP打洞原理
• Symmetric(均衡,对称) NAPT: 对于到同一个IP地址,任意端口的连接分配使用同一个 Session; 对于到不同的IP地址, 任意端口的连接使用不同 的Session. 我们称此种NAPT为 Symmetric NAPT. 也就是只要本地绑 定的UDP端口相同, 发出的目的IP地址不同,则会建立 不同的Session. • Cone(圆锥型) NAPT: 对于到同一个IP地址,任意端口的连接分配使用同一个 Session; 对于到不同的IP地址,任意端口的连接也使用 同一个Session. 我们称此种NAPT为 Cone NAPT. 也就是只要本地绑定的 UDP端口相同, 发出的目的地址不管是否相同, 都使用 同一个Session.Βιβλιοθήκη 内网同一IP访问不同的服务器
58.217.200.1558.217.200.15:80
Google 173.194.127.177 情况1 2 Symmetric Cone NPAT NPAT
173.194.127.177:80
建立Session 173.194.127.1772001 192.168.1.128:1001
Client_A 192.168.1.114
Client_B 192.168.1.35
Session策略
• A. 源地址(内网IP地址)不同,忽略其它因素, 在 NAPT上肯定对应不同的Session B. 源地址(内网IP地址)相同,源端口不同,忽 略其它的因素,则在NAPT上也肯定对应不同 的Session C. 源地址(内网IP地址)相同,源端口相同,目 的地址(公网IP地址)相同,目的端口不同,则 在NAPT上肯定对应同一个Session D. 源地址(内网IP地址)相同,源端口相同,目 的地址(公网IP地址)不同,忽略目的端口,则 在NAPT上是如何处理Session的呢?
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Internet的快速发展以及IPv4地址数量的不足使得NAT设备得到了大规模的应用,然而这也给越来越多的端到端通信也带来了不少的麻烦。
一般来说,NAT 设备允许内网内主机主动向公网内主机发送数据,但却禁止内网外的主机主动向内网内的主机传递数据。
由于很多的会话双方处于不同的NAT设备后,它们通信一般通过公网服务器中转,而要建立P2P通信,则必须解决NAT穿越问题才能建立通信。
第三章 NAT穿越模块的设计与实现NAT 是介于内网和公网之间的设备,公网中的IP 地址是全球唯一的,而在内网中的IP 地址可以重复出现,但不能出现在公网中[18]。
NAT的基本功能就是通过一个或几个lP地址,来实现局域网上的所有主机都可以对因特网进行访问[19]。
NAT实现了公网地址和内网地址之间的映射,可从两个方面来概括:(1) 当内网内的IP包经过NAT需要流入公网时,NAT将此IP 包的源IP地址和端口改为NAT接口上的一个公网地址和端口;(2)当公网中的IP包经过NAT 需要访问内网资源时,NAT将此IP 包的目的地址和端口改为内网IP 地址和端口。
私网A1公网B主机A1到B的UDP数据包SRC:192.168.0.5:DST:10.200.146.5:A1到B的UDP数据包经过NAT-A后 SRC:202.198.154.1:6000NAT-A公网私网图3.1 UDP包经过NAT原理图图 3.1是 UDP包经过NAT后的示意图,可以看出UDP包从内网主机A发出时,到达NAT后它的源端IP和端口都已经改变。
同时从主机B的UDP包发往NAT-A 的公网IP和端口后,NAT将其自动转发给主机A。
3.1 NAT穿越方案分析3.1.1 NAT的类型NAT设备的类型对于穿越NAT,有着十分重要的影响,根据其端口映射方式,NAT可分为如下4类,前3种NAT类型可统称为cone NAT。
(1)全克隆( Full Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。
任何一个外部主机均可通过该映射发送IP包到该内部主机。
(2)限制性克隆(Restricted Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。
但是,只有当内部主机先给IP地址为X的外部主机发送IP包,该外部主机才能向该内部主机发送IP包。
(3)端口限制性克隆( Port Restricted Cone) :端口限制性克隆与限制性克隆类似,只是多了端口号的限制,即只有内部主机先向IP地址为X,端口号为P的外部主机发送1个IP包,该外部主机才能够把源端口号为P的IP包发送给该内部主机。
(4)对称式NAT ( Symmetric NAT) :这种类型的NAT与上述3种类型的不同,在于当同一内部主机使用相同的端口与不同地址的外部主机进行通信时, NAT对该内部主机的映射会有所不同。
对称式NAT不保证所有会话中的内有地址和公开IP之间绑定的一致性。
相反,它为每个新的会话分配一个新的端口号。
所以即使是同一台外部主机的不同连接,其分配的端口号都是不一样的,通常都是在原来的端口号上加一。
由此可见,Symmetric Cone条件最严格,Port /Restricted Cone次之,Full Cone条件最不严格。
因为我国的网络技术应用得比较晚,所以可以说绝大部分的网络都是cone NAT[20]。
3.1.2 NAT给P2P通信带来的问题研究NAT的存在,使得局域网的用户可以共享一个IP地址访问因特网,解决了IP地址的不足,同时起到了防火墙的作用。
但是NAT的存在给P2P网络也带来了问题:(1)内网主机的IP地址是虚拟的,在因特网上是非法的,因而内网主机对公网是不可见的。
(2)即使内网内主机的IP地址已知,NAT仍然阻止公网主机主动访问内网主机。
(3)内网主机可以作为客户机访问外网,但不能作为服务器向外网提供服务[21]。
NAT产生种种问题的原因主要是NAT不允许外部主机主动访问内部主机,这样虽然有安全性高的优点,但是同时带来服务性能低的不良效果。
上述这些限制使得在NAT的网络中,外网主机无法穿过NAT主动与内网主机进行通信,P2P网络各主机无法彼此发现对方进行对等信息交换,特别是位于不同NAT之后的不同内网中的机器,更是无法相互连接。
如果不能够穿越NAT,P2P网络就无法实现真正的对等,也就无法实现所有信息的交换或共享。
当前处于NAT后的主机通信一般通过服务器的中转,例如当客户机A和客户机B都分别处于不同的NAT后面,先各自发起一个TCP或UDP的连接,连接到一个大家都知道的拥有固定IP地址的服务器S上。
由于A和B不能直接连接,两个客户端就使用S服务器进行消息的传递。
例如,A要发送一条信息到客户端B,客户端A以C/S连接方式简单的发送一条信息到S服务器,然后S服务器使用已经和客户端B建立的C/S连接发送这条信息到客户端B。
NAT后主机不建立P2P 通信时发送数据的具体过程如图3.2所示。
这种方法的优势在于只要两个客户端都连在服务器上,它就是有效的。
它的明显缺点是它需要了服务器的处理并占用了带宽,而且即使服务器的网络状况良好,也有一定的通讯滞后问题。
所以我们需要对该方案进行改进,提出了NAT穿越技术。
NAT-A公网私网A1主机192.168.1.2端口:4000端口:2000图3.2 NAT后主机不建立P2P通信时发送数据的具体过程NAT穿越的主要目的是是让处于NAT后的通信主机在建立连接后,可以绕过服务器的中转,直接进行P2P通信。
这样可以大大节省网络带宽,且数据传输更稳定,出现延时现象更少。
3.1.3 Cone类型的UDP穿越UDP是是无连接的协议,几乎不提供可靠性措施,但是UDP的效率非常高。
它与TCP协议不同,不需要在传输数据之前要建立一种虚拟的连接关系。
所以UDP连接只要知道对方的IP地址和UDP端口,就可以进行数据传输。
在P2P网络中,采用UDP方式进行数据传输,只有获得对方主机的公网IP 地址和端口才可以进行数据交换。
因此,需要在P2P网络中设立一台有公网IP 地址的注册服务器,任何主机都要先登录到注册服务器,注册服务器将记录这个IP地址和端口号为公网IP地址和UDP端口。
这样在注册服务器上将建立一张映射表,这张映射表记录了登录到注册服务器的主机在内网中的IP地址和端口号和经过NAT之后NAT所分配的IP地址和端口号,即(内网IP地址:UDP端口号)-(公网IP地址:UDP端口号),如果主机不在NAT之后,则二者相同,这样每台登录的主机都拥有Internet上唯一的(公网IP地址:UDP端口号)。
NAT-A公网私网B1主机192.168.2.2A1主机192.168.1.2A2主机192.168.1.3B2主机192.168.2.3端口:2000端口:3000端口:4000端口:5000图3.3 UDP穿越示意图当一台主机要和另一台主机进行通信,它先从注册服务器那里获得目的主机的公网IP地址和端口号,而后就可以直接进行通信,实际的数据交换不需要注册服务器参与,从而实现了P2P穿越NAT。
当主机A1和B1位于不同的NAT之后,它们用UDP穿越NAT建立直接通信如图3.3所示,具体的过程如下:(1)A1和B1先登录到公网注册服务器,并向服务器发送各自的实际IP地址和UDP端口信息。
(2)注册服务器记录为两个公网IP地址和端口号,同时从接收到的UDP数据报头中提取IP地址和端口信息,记录为内网IP地址和端口号,这样在注册服务器上的映射表中就增加两条记录,分别为:A1:(192.168.1.2:2000)一(10.10.10.10:2000)、B1:(192.168.2.2:4000) 一(20.20.20.20:4000)。
(3)从注册服务器的映射表可以知道A1和B1位于不同的NAT之后。
A1要向B1发送UDP消息那么A1发送命令给Server,请求Server命令B1向A1方向打洞, Server在发送打洞命令时同时将Client A的公网地址10.10.10.10:2000发送给B1(20.20.20.20:4000)。
B1收到命令后向A1的公网地址10.10.10.10:2000发送信息,虽然NAT A会将这个信息丢弃(因为这样的信息是不请自来的,为了安全,大多数NAT都会执行丢弃动作)。
但是我们已经在NAT B上打一个方向为20.20.20.20:4000(即 A1的外网地址)的洞,那么A1发送到20.20.20.20:4000的信息, B1就能收到了。
然后 A1就可以通过B1的外网地址与B1进行P2P通信了。
(4)至此,两个不同NAT之后的主机A1和B1穿越NAT之后,实现了P2P的信息直连。
3.1.4 cone 类型的TCP 穿越对于UDP 穿越NAT,现在已经有了一些比较标准而且有效的方法,如STUN 协议。
但目前尚未能完全解决TCP 穿越NAT 的问题,即便有一些方法,但也处于测试阶段。
在此介绍一下当前一种TCP 穿越实现方法,其原理是呼叫双方处于不同的NAT 后,处于NAT 后的主机先与公网上的注册服务器建立辅助连接( TCP 、UDP 均可) ,在呼叫发生时,通过注册服务器的协助在呼叫双方间建立TCP 直连。
对于cone 类型的NAT 可采用图3.4所示的方法解决TCP 穿越问题,主要过程可分为建立辅助连接、查询被叫、TCP 打孔、建立TCP 直连4个部分。
3.1 建立辅助连接各会话用户先与注册服务器建立UDP 连接(以下称为辅助通道)并一直在该连接通道上发送UDP 数据包以保持自己处于激活状态,服务器记录各用户的ID (ID 是用户的唯一标识符)。
主叫(A)连接服务器(C)NATNAT被叫(B)Step10Step9Step8Step7Step6Step5Step4Step3Step1Step1Step2图3.4 “TCP 打孔”方法穿越NAT 过程(注:图中圆括号内为消息内容,方括号内为消息路径。
如连接通知(C: V)UDP[ C: R >NB: Q >B: P ]表示该消息内容为服务器地址、端口(C: V) ,消息从IP 地址C 端口R 出发经过IP 地址NB 端口Q 到达IP 地址B 端口P 。
)3.2 查询被叫(1)主叫A与呼叫服务器C建立TCP连接,并向服务器发送被叫ID,请求服务器协助查询被叫IP地址、端口。
服务器记录主叫在经NAT映射前后的IP地址、端口(NA:N)以及本次连接使用的端口V。
该请求在建立TCP直连的步骤3中得到回复。
(2)呼叫服务器通过已经建立的辅助通道向被叫发送连接通知,其中携带与主叫建立TCP连接使用的IP地址、端口(C:V),即通知被叫向该地址、端口回送消息。