基于TCP的NAT穿越技术分析与探讨.pdfVIP

《冶金自动化)2012年S2 基于TCP的NA．T穿越技术分析与探讨 孟 广 平， (宝山钢铁股份有限公司设备部，上海201900) 摘要：随着P2P应用的迅猛发展，利用基于TCF’的NAT穿越技术实现可靠的端到端的TCP连接越来越重要。 本文讨论了基于TCP穿越NAT的主流技术一一TCP打洞技术，并在分析现有技术的基础上，进一步探讨了改进 的方法。 关键词：NAT；穿越；TCP；STUNT O 引言 状态，再通过不同的机制巧妙地建立穿透NAT的 由于IPv4地址的长期匮乏，NAT技术不仅可 以使网络的多个内部地址共享外部地址，而且还 Blaster．STUNT#2以及Peer-to．PeerNAT方法o 可以有效地隐藏内部地址，具有一定的安全性，所 (1)STUNT方法‘1之1 以在互联网上得到了广泛的应用。 从服务器获取信息后，终端双方都主动发送 但是，NAT技术是通过修改IP报文中的头部SYN数据包，其中SYN包中TTL的设置很特别， 首先要大到SYN包能穿过各自的NAT设备，但又 地址以及端口信息实现的，属于一种网络中间盒 要小到穿过各自的NAT设备后就过期而被网络丢 (MiddleBox)技术，违背了互联网体系结构中端到 端和透明性的原则，这就给网络上很多端到端应 数据包，可以得知初始SYN数据包序列号，再把各 用的实现带来了困难，如网络视频会议、IP电话等 自的序列号告诉服务器。然后，服务器设置匹配 IP报文内容中带有IP地址及端口信息的应用，这 的序列号构造SYNACK包回发给终端，使终端双 些应用的互联网实现就需要采用NAT穿越技术建 方都认为该SYNACK包是对方回应的。最后，终 立端到端的连接。 端各自向对方发出完成TCP连接的ACK包。这 NAT穿越技术可以分为基于UDP的NAT穿 种方法的特点就是欺骗，服务器在其中扮演了重 越技术和基于TCP的NAT穿越技术。随着P2P 要的角色，同时双方的NAT特性都得到了利用，只 应用在即时通信、协同工作、内容分发、分布式计 要一边的NAT行为良好，就可以成功建立TCP连 算等各个方面的快速发展，相对于基于UDP的 接。但它需要终端确定一个条件苛刻的TrL，终 NAT穿越技术的不可靠数据传输，利用基于TCP 端都需要超级用户权限， 的NAT穿越技术实现可靠的端到端的TCP连接 尤为致命的是它的服务器作为第3方要为可 越来越重要。本文在分析现有TCP打洞技术的基 能是任意地址的终端构造欺骗包，而该欺骗包很 础上，探讨了该技术的改进方法。 -l； 可能被强调安全的网络防护措施过滤掉。 1主流TCP打洞技术分析 (2)NATBlaster方法¨j1 在位于不同NAT设备后的两台终端之间建立 TCP连接这样的典型情况下，TCP打洞技术需要