NAT爆破在NAT背后的主机之间建立TCP连接分类和主题-Read.PDF

NAT爆破：在NAT背后的主机之间建立TCP连接 摘要 防火墙和网络地址转换（NAT）设备变得越来越流行了，它们给使用P2P 协议建立连 接造成了明显的问题。适当的进行配置，这些中间箱阻止从局域网以外发起的TCP 连接请 求。这篇文章提出一种新颖的机制用于在两台中间箱后面的主机之间创建直接的TCP 连接， 且需要尽可能少的第三方的帮助。我们在通常的环境下使用通常的硬件实现了这些解决方案 中的两个。我们可以在两台全部在典型的NAT设备后面的主机之间创建直接的TCP 连接， 这种NAT设备是为小型网络设计的。一旦这个连接建立了，应用程序就可以使用标准的TCP 实现而不用任何外部的帮助就可以在彼此之间进行通信了。 分类和主题描述 分分类类和和主主题题描描述述 D.4.4【操作系统】：通信管理——网络通信； C.2.5【计算机通信网络】：局域网和广域网——Internet； C.2.2【计算机通信网络】：网络协议——协议架构 一般术语 一一般般术术语语 算法、设计、可靠性 关键字 关关键键字字 TCP 连接；网络地址转换；P2Pover NAT；状态防火墙；一致性转换；主动请求过滤；松散 的源路由；打洞 1 11 介绍 网络地址转换作为一种解决IPv4 32 位地址范围用尽问题的方法被引入的，它可以使 Internet 继续增长。NAT的第二个功能是向外部实体隐藏网络拓扑。网络地址转换设备 （NATs，也通常被叫做中间箱）通过在内网中使用独立的地址空间将内网和外网隔离。NAT 为每个网络连接动态在这些地址空间进行转换。除了进行IP 地址转换以外，NAT也必须为 内部不同的主机分配不同的端口。这就允许多个内部主机使用相同的源端口和同一个外部主 机进行通信。NAT的另外一个特征是他们仅仅允许源自内网的连接。NAT会丢弃外部的主 动连接尝试，因为它们无法知道把包转发给内部的哪台主机。 P2P网络变得越来越流行。尽管一些P2P 文件共享程序（例如Napster 和KaZaA）产生 了一些争论，许多有用的而且合法的P2P 应用仍然存在，例如即时通信、工作区共享和文 件共享。OpenHash项目是另外一个P2P 网络应用。它提供了一个可公开获得的分布式Hash 表(DHT),在此之上可以开发应用，包括多对多即时通信和可靠的CD标签数据库。 因为每个NAT只允许出去的连接建立，所以在NAT后面的两个对等体之间不能建立一 个直接的TCP 连接。商业的NAT供应商通过向它们的设备中增加端口转发特性解决了这个 限制。利用端口转发，管理员可以为每个端口指定可以接收主动的连接请求的终端主机。虽 然这种解决方案为很多种情况都提供了需要的支持，但是在有多台主机提供相同的服务和服 务需要在动态确定的端口上接受连接的情况下它是受限的。进一步讲，如果终端用户没有权 限访问或者没有需要的知识来配置NAT的时候，这种方案就没用了。 P2P协议通过一些通常的方法已经解决了这个问题。首先，协议有借助于向不能做服务 器的Peer发送指导它们向请求数据的peer建立初始连接的消息的激活技术。这种解决方法 只在只有一个peer 在NAT背后的情况才可以工作正常。第二种方法是使用代理中转数据， 代理是两个peer都可以连接的。虽然这种解决方案是在两个NAT后面的主机之间建立连接， 但是它是低效的，因为所有的负荷都要通过代理。更多的相关解决方案在第三节中讨论。 我们的工作目标是开发一种能够在两个NAT后面的主机之间建立直接的TCP连接的解 决方案。尤其是我们我们开发了适用于不同的环境的解决方案，环境取决于NAT的端口分 配特性和网络中的松散源路由能力。我们把重点放在TCP 连接而不是UDP连接，因为大多 数的P2P 应用都需要可靠的数据传输。进一步讲，UDP是无连接的协议，而且它不需要连 接握手或者序列号协作。由于协议的简单，解决UDP上的P2P复杂性较小。我们的解决方 案使用第三方提供peer需要的建立直连的信息。根据环境不同我们使用不同的技术采用一 种可预测的、及时的方式来建立连接。这些技术包括把包的TTL 值设置为低、捕获并分析 发出的包来给第三方提供有用的信息还有向网络中发出手工构造的包来确定NAT选择的端 口。此外，如果端口分配是随机的，birthdayparadox 被用作杠杆来缩小搜索NAT分配的外 部端口的范围。这种方法产生了一个大约等于本地端口扫描方法的平方根规模的搜索空间。 2 NAT 22 NNAATT分类 一个网络设备作为NAT必须具备三个特性：透明的地址分配、透明的路由、ICMP 包 负荷转