[p2p]UDP用打洞技術穿透NAT的原理與實現(附源代碼 轉)
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
首先先介紹一些基本概念:[br]nat(network address [br]translators),網絡地址轉換:網絡地址轉換是在ip地址日益缺乏的情況下產生的,它的主要目的就是為了能夠地址重用。nat分為兩大類,基本的nat和napt(network [br]address/port translator)。[br]最開始nat是運行在路由器上的一個功能模塊。
[p]最先提出的是基本的nat,它的產生基于如下事實:一個私有網絡(域)中的節點中只有很少的節點需要與外網連接(呵呵,這是在上世紀90年代中期提出 的)。那么這個子網中其實只有少數的節點需要全球唯一的ip地址,其他的節點的ip地址應該是可以重用的。[br]因此,基本的nat實現的功能很簡單,在子網內使用一個保留的ip子網段,這些ip對外是不可見的。子網內只有少數一些ip地址可以對應到真正全球唯一的ip地址。如果這些節點需要訪問外部網絡,那么基本nat就負責將這個節點的子網內ip轉化為一個全球唯一的ip然后發送出去。(基本的nat會改變ip包中的原ip地址,但是不會改變ip包中的端口)[br]關于基本的nat可以參看rfc 1631[/p] [p]另外一種nat叫做napt,從名稱上我們也可以看得出,napt不但會改變經過這個nat設備的ip數據報的ip地址,還會改變ip數據報的tcp/udp端口。基本nat的設備可能我們見的不多(呵呵,我沒有見到過),napt才是我們真正討論的主角。看下圖:[br]server s1[br]18.181.0.31:1235[br]|[br]^ session 1 (a-s1) ^ |[br]| 18.181.0.31:1235 | |[br]v 155.99.25.11:62000 v |[br]|[br]nat[br]155.99.25.11[br]|[br]^ session 1 (a-s1) ^ |[br]| 18.181.0.31:1235 | |[br]v 10.0.0.1:1234 v |[br]|[br]client a[br]10.0.0.1:1234[br]有一個私有網絡10.*.*.*,client [br]a是其中的一臺計算機,這個網絡的網關(一個nat設備)的外網ip是155.99.25.11(應該還有一個內網的ip地址,比如10.0.0.10)。如果client [br]a中的某個進程(這個進程創建了一個udp [br]socket,這個socket綁定1234端口)想訪問外網主機18.181.0.31的1235端口,那么當數據包通過nat時會發生什么事情呢?[br]首先nat會改變這個數據包的原ip地址,改為155.99.25.11。接著nat會為這個傳輸創建一個session(session是一個抽象的概 念,如果是tcp,也許session是由一個syn包開始,以一個fin包結束。而udp呢,以這個ip的這個端口的第一個udp開始,結束呢,呵呵, 也許是幾分鐘,也許是幾小時,這要看具體的實現了)并且給這個session分配一個端口,比如62000,然后改變這個數據包的源端口為62000。所 以本來是(10.0.0.1:1234->18.181.0.31:1235)的數據包到了互聯網上變為了 (155.99.25.11:62000->18.181.0.31:1235)。[br]一旦nat創建了一個session后,nat會記住62000端口對應的是10.0.0.1的1234端口,以后從18.181.0.31發送到62000端口的數據會被nat自動的轉發到10.0.0.1上。(注意:這里是說18.181.0.31發送到62000端口的數據會被轉發,其他的ip發送到這個端口的數據將被nat拋棄)這樣client [br]a就與server s1建立以了一個連接。[/p] [p]呵呵,上面的基礎知識可能很多人都知道了,那么下面是關鍵的部分了。[br]看看下面的情況:[br]server s1 server s2[br]18.181.0.31:1235 138.76.29.7:1235[br]| |[br]| |[br]+----------------------+----------------------+[br]|[br]^ session 1 (a-s1) ^ | ^ session 2 (a-s2) ^[br]| 18.181.0.31:1235 | | | 138.76.29.7:1235 |[br]v 155.99.25.11:62000 v | v 155.99.25.11:62000 v[br]|[br]cone nat[br]155.99.25.11[br]|[br]^ session 1 (a-s1) ^ | ^ session 2 (a-s2) ^[br]| 18.181.0.31:1235 | | | 138.76.29.7:1235 |[br]v 10.0.0.1:1234 v | v 10.0.0.1:1234 v[br]|[br]client a[br]10.0.0.1:1234[br]接上面的例子,如果client a的原來那個socket(綁定了1234端口的那個udp socket)又接著向另外一個server [br]s2發送了一個udp包,那么這個udp包在通過nat時會怎么樣呢?[br]這時可能會有兩種情況發生,一種是nat再次創建一個session,并且再次為這個session分配一個端口號(比如:62001)。另外一種是nat再次創建一個session,但是不會新分配一個端口號,而是用原來分配的端口號62000。前一種nat叫做symmetric [br]nat,后一種叫做cone [br]nat。我們期望我們的nat是第二種,呵呵,如果你的nat剛好是第一種,那么很可能會有很多p2p軟件失靈。(可以慶幸的是,現在絕大多數的nat屬于后者,即cone [br]nat)[/p] [p]好了,我們看到,通過nat,子網內的計算機向外連結是很容易的(nat相當于透明的,子網內的和外網的計算機不用知道nat的情況)。[br]但是如果外部的計算機想訪問子網內的計算機就比較困難了(而這正是p2p所需要的)。[br]那么我們如果想從外部發送一個數據報給內網的計算機有什么辦法呢?首先,我們必須在內網的nat上打上一個“洞”(也就是前面我們說的在nat上建立一個session),這個洞不能由外部來打,只能由內網內的主機來打。而且這個洞是有方向的,比如從內部某臺主機(比如:192.168.0.10)向外部 的某個ip(比如:219.237.60.1)發送一個udp包,那么就在這個內網的nat設備上打了一個方向為219.237.60.1的“洞”,(這 就是稱為udp [br]hole [br]punching的技術)以后219.237.60.1就可以通過這個洞與內網的192.168.0.10聯系了。(但是其他的ip不能利用這個洞)。[/p] [p]呵呵,現在該輪到我們的正題p2p了。有了上面的理論,實現兩個內網的主機通訊就差最后一步了:那就是雞生蛋還是蛋生雞的問題了,兩邊都無法主動發出連接 請求,誰也不知道誰的公網地址,那我們如何來打這個洞呢?我們需要一個中間人來聯系這兩個內網主機。[br]現在我們來看看一個p2p軟件的流程,以下圖為例:[/p] [p]server s (219.237.60.1)[br]|[br]|[br]+----------------------+----------------------+[br]| |[br]nat a (外網ip:202.187.45.3) nat b (外網ip:187.34.1.56)[br]| (內網ip:192.168.0.1) | (內網ip:192.168.0.1)[br]| |[br]client a (192.168.0.20:4000) client b (192.168.0.10:40000)[/p] [p]首先,client a登錄服務器,nat a為這次的session分配了一個端口60000,那么server s收到的client [br]a的地址是202.187.45.3:60000,這就是client a的外網地址了。同樣,client b登錄server s,nat [br]b給此次session分配的端口是40000,那么server s收到的b的地址是187.34.1.56:40000。[br]此時,client a與client b都可以與server s通信了。如果client a此時想直接發送信息給client [br]b,那么他可以從server s那兒獲得b的公網地址187.34.1.56:40000,是不是client [br]a向這個地址發送信息client b就能收到了呢?答案是不行,因為如果這樣發送信息,nat [br]b會將這個信息丟棄(因為這樣的信息是不請自來的,為了安全,大多數nat都會執行丟棄動作)。現在我們需要的是在nat [br]b上打一個方向為202.187.45.3(即client a的外網地址)的洞,那么client [br]a發送到187.34.1.56:40000的信息,client b就能收到了。這個打洞命令由誰來發呢,呵呵,當然是server s。[br]總結一下這個過程:如果client a想向client b發送信息,那么client a發送命令給server s,請求server [br]s命令client b向client [br]a方向打洞。呵呵,是不是很繞口,不過沒關系,想一想就很清楚了,何況還有源代碼呢(侯老師說過:在源代碼面前沒有秘密 [br]8)),然后client a就可以通過client b的外網地址與client b通信了。[/p] [p]注意:以上過程只適合于cone nat的情況,如果是symmetric nat,那么當client b向client [br]a打洞的端口已經重新分配了,client b將無法知道這個端口(如果symmetric [br]nat的端口是順序分配的,那么我們或許可以猜測這個端口號,可是由于可能導致失敗的因素太多,我們不推薦這種猜測端口的方法)。[/p] [p]另一篇文章接上:[/p] [p]下面解釋一下上面的文章中沒有提及或者說我覺得比較欠缺的地方. [br]私有地址/端口和公有地址/端口:我們知道,現在大部分網絡采用的都是napt(network address/port translator)了,這個東東的作用是一個對外的對話在經過nat之后ip地址和端口號都會被改寫,在這里把一次會話中客戶自己認為在使用的ip地址和端口號成為私有地址/端 口,而把經過napt之后被改寫的ip地址和端口號稱為公有地址/端口.或者可以這么理解,私有地址/端口是你家里人對你的昵稱而公有地址/端口則是你真 正對外公開的名字.如何獲得用戶的私用地址/端口號,這個很簡單了,而要得到公有地址/端口號就要在連接上另一臺機器之后由那臺機器看到的ip地址和端口 號來表示. [br][br]如果明白了上面的東西,下面進入我們的代碼,在這里解釋一下關鍵部分的實現: [br][br]客戶端首先得到自己的私有地址/終端,然后向server端發送登陸請求,server端在得到這個請求之后就可以知道這個client端的公有地址/終 端,server會為每一個登陸的client保存它們的私有地址/端口和公有地址/端口. [br][br]ok,下面開始關鍵的打洞流程.假設client a要向client b對話,但是a不知道b的地址,即使知道根據nat的原理這個對話在第一次會被拒 絕,因為client b的nat認為這是一個從沒有過的外部發來的請求.這個時候,a如果發現自己沒有保存b的地址,或者說發送給b的會話請求失敗了,它會要求server端讓b向a打一個洞,這個b->a的會話意義在于它使nat b認為a的地址/端口是可以通過的地址/端口,這樣a再向b發送 對話的時候就不會再被nat b拒絕了.打一個比方來說明打洞的過程,a想來b家做客,但是遭到了b的管家nat b的拒絕,理由是:我從來沒有聽我家b提過你的名字,這時a找到了a,b都認識的朋友server,要求server給b報一個信,讓b去跟管家說a是我的朋友,于是,b跟管家nat b說,a是我認識的朋友,這樣a的訪問請求就不會再被管家nat b所拒絕了.簡而言之,udp打洞就是一個通過server保存下來的地址使得彼此之間能 夠直接通信的過程,server只管幫助建立連接,在建立間接之后就不再介入了. [/p] [p]下面是一個模擬p2p聊天的過程的源代碼,過程很簡單,p2pserver運行在一個擁有公網ip的計算機上,p2pclient運行在兩個不同的nat后(注意,如果兩個客戶端運行在一個nat后,本程序很可能不能運行正常,這取決于你的nat是否支持loopback [br]translation,詳見[url=http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt]http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt[/url],當然,此問題可以通過雙方先嘗試連接對方的內網ip來解決,但是這個代碼只是為了驗證原理,并沒有處理這些問題),后登錄的計算機可以獲得先登錄計算機的用戶名,后登錄的計算機通過send [br]username message的格式來發送消息。如果發送成功,說明你已取得了直接與對方連接的成功。[br]程序現在支持三個命令:send , getu , exit[/p] [p]send格式:send username message[br]功能:發送信息給username[/p] [p]getu格式:getu[br]功能:獲得當前服務器用戶列表[/p] [p]exit格式:exit[br]功能:注銷與服務器的連接(服務器不會自動監測客戶是否吊線)[/p] [p]代碼很短,相信很容易懂,如果有什么問題,可以給我發郵件[url=mailto:zhouhuis22@sina.com]zhouhuis22@sina.com[/url] [br]或者在csdn上發送短消息。同時,歡迎轉發此文,但希望保留作者版權8-)。[br]_05/04052509317298.rar" [br][url=http://www.ppcn.net/upload/2004_05/04052509317298.rar]http://www.ppcn.net/upload/2004_05/04052509317298.rar[/url] [/p] [p][/p] [p]另一篇介紹打洞技術的(補充)[/p] [p]udp打洞技術依賴于由公共防火墻和cone nat,允許適當的有計劃的端對端應用程序通過nat"打洞",即使當雙方的主機都處于nat之后。這種技術在 rfc3027的5.1節[nat prot] 中進行了重點介紹,并且在internet[kegel]中進行了非正式的描敘,還應用到了最新的一些協議,例如[teredo,ice]協議中。不過, 我們要注意的是,"術"如其名,udp打洞技術的可靠性全都要依賴于udp。[br]這里將考慮兩種典型場景,來介紹連接的雙方應用程序如何按照計劃的進行通信的,第一種場景,我們假設兩個客戶端都處于不同的nat之后;第二種場景,我們假設兩個客戶端都處于同一個nat之后,但是它們彼此都不知道(他們在同一個nat中)。[br][br][br][br]處于不同nat之后的客戶端通信[br][br]我們假設 client a 和 client b 都擁有自己的私有ip地址,并且都處在不同的nat之后,端對端的程序運行于 client a,client b,s之間,并且它們都開放了udp端口1234。 client a和client b首先分別與s建立通信會話,這時nat a把它自己的udp端口62000分配給client a與s的會話,nat b也把自己的udp端口31000分配給client b與s的會話。[br][br]假 如這個時候 client a 想與 client b建立一條udp通信直連,如果 client a只是簡單的發送一個udp信息到client b的公網地址138.76.29.7:31000的話,nat b會不加考慮的將這個信息丟棄(除非nat b是一個 full cone nat),因為 這個udp信息中所包含的地址信息,與client b和服務器s建立連接時存儲在nat b中的服務器s的地址信息不符。同樣的,client b如果做同樣的事情,發送的udp信息也會被 nat a 丟棄。[br][br]假如 client a 開始發送一個 udp 信息到 client b 的公網地址上,與此同時,他又通過s中轉發送了一個邀請信息給client b,請求client b也給client a發送一個udp信息到 client a的公網地址上。這時client a向client b的公網ip(138.76.29.7:31000)發送的信息導致 nat a 打開一個處于 client a的私有地址和client b的公網地址之間的新的通信會話,與此同時,nat b 也打開了一個處于client b的私有地址和client a的公網地址(155.99.25.11:62000)之間的新的通信會話。一旦這個新的udp會話各自向對方打開了,client a和client b之間就可以直接通信,而無需s來牽線搭橋了。(這就是所謂的打洞技術)![/p] 該文章在 2014/1/27 23:33:39 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
