Characterization and Measurement of TCP Traversal through NATs and Firewalls

最新推荐文章于 2024-08-08 19:30:02 发布
最新推荐文章于 2024-08-08 19:30:02 发布
阅读量428 收藏
点赞数
文章标签: tcp traversal 防火墙 windows 测试 linux

文章Characterization and Measurement of TCP Traversal through NATs and Firewalls

作者:Saikat Guha Paul Francis

翻译:黄剑

摘要

近年来,权威机构已经开发出相应的技术来解决UDP穿越NAT/防火墙的问题(即是通过确定主机与NAT设备之间的UDP数据流来实现数据联通)。然而,由于TCP连接与生俱来的不对称性,穿越NAT设备的TCP连接较为困难。研究者最近提出了多种有希望的方法来解决穿越NAT设备的TCP连接问题。然而,种种方法的可行性是建立在NAT设备在处理TCPICMP)数据包的多样顺序的反应行为上。本文通过对大范围的商用NAT设备进行初步的行为研究来分析对一系列穿越NAT设备的TCP连接的理解。我们开发出了一种公开的、可用的测试软件来测量多种独立的探测以及完整的TCP连接确认。我们在实验室测试了16种商用NAT设备,同时在室外测试了93种家用NAT设备。通过这些测量结果以及商用NAT设备的市场数据,我们对家用网络的成功的NAT数据穿越的相似性进行了评估。这篇文章中的见解可以用来指导TCP-NAT传输协议的设计以及确定穿透NAT/防火墙的行为,其中包括为实现IPv6的数据传输的关键。

1            导言

NAT设备以及防火墙通过将外部主机与受保护网络内部的主机之间建立连接而打破了IP连接模型。如果两端的节点被各自的NAT/防火墙设备所保护起来,在一端与对方NAT设备之间建立连接之前普通的TCP连接是不能成功的。即使各节点的防火墙安全策略允许连接也是一样。举例而言,内部主机初始化TCP连接,并且双方主机也希望能够建立连接。近来的研究已经提出了不采用代理或是通过[9,5,3,6]隧道来进行TCP连接的任务。通过仔细的TCP数据包转换而在NAT设备上建立了必要的连接状态所完成以上目的。然而,并不是所有的NAT设备都是同样的反应,这就会引起各种方法以多种原因失效。理解NAT设备的这些行为和测量它们转移了多大程度的互联网的通用连接对于将其整合为体系结构是至关重要的。

今天的互联网体系和当初TCP/IP协议设计时所预想的有了巨大的差异。防火墙和NAT设备经常使得它难以建立起链路尽管其不违反相应的策略。举例来说,AliceBob通过躲藏在NAT设备后或是配置他们的防火墙丢弃入站的SYN数据包而达到不接受未经允许的连接。但是当双方同意建立连接时,如果他们没有重配置NAT设备而使得AliceSYN数据包被BobNAT设备所丢弃的话,那么他们还是不能建立其连接的。尽管如此,NAT/防火墙设备已经网络设施的一部分同时这会持续很长一段时间。即使IPv6被全球推广了,在演化阶段时,IPv4-IPv6NAT设备也是需要的,并且IPv6的防火墙也是安全所需。因此,建立同意条件下NAT设备后的双方主机的连接机制是必需的。

针对UDP的情况已经被STUN所解决了。在STUN的解决方案里,Alice发送一个UDP包给Bob。尽管BobNAT设备会将其丢弃,但是它使得AliceNAT设备生成本地状态,其可以使得Bob发送数据直达给Alice。而后Bob发送UDP数据包给AliceAliceNAT设备认为它是第一个数据包的一部分并且让它通过,同时BobNAT设备认为它是一个连接初始化过程并且在本地状态进行设置以接受Alice的数据包。这种方法被Skype所采用,其是一款流行的VoIP应用程序。不幸的是,进行TCP连接要复杂的多。一旦Alice发送她的SYN数据包,她的操作系统栈以及她的NAT设备就会期待接收到来自BobSYNACK数据包。然而,因为SYN数据包被丢弃,Bob的栈没有生成SYNACK数据包。解决该问题的被提议的工作区是复杂的,它们同NAT设备之间的交互很少被理解,并且它们所能解决问题的程度也不能得知。因此,像Skype所采用的文件传输模块之类的应用程序显示了像UDP等协议的不当之处。然而这些方法也可能适用,我们相信无论在什么可能的情况下应用程序采用本地操作系统TCP栈都是重要的。这样就能部分避免增加协议栈的复杂性,更重要的是,TCP栈经过多年已经优化为具有高效能以及拥塞控制。

总体来说,这个工作做出了四个贡献。一,我们鉴别并描述了整个NAT特性,这对于TCP穿透NAT传输的研究是很重要的。二,我们对多种提出的方案进行了测量了它们的特性以及P2PTCP传输的成功率。三,在这些测量的基础上,我们对提出的方案进行了改进。四,我们提供公共领域的软件工具,它们可以用来测量NAT设备以及作为TCP穿透NAT传输应用的基础。综上所述,我们为应用开发者提供了关于实现复杂性与穿透成功率之间的权衡的见解。最后,我们的研究成果能够用于指导NAT设备以及防火墙的标准过程,使得它们更有利于传输而不需要围绕着安全策略行事。

本文采用以下方式组织。第二章讨论已提出的TCP穿透NAT传输方案。第三章和第四章解释我们对测试及观察NAT设备行为的设置。第五章分析端口预测同时第六章分析了P2PTCP连接。第七章讨论相关工作。第八章总结本文。

2            TCP穿透NAT的数据传输

本章我们将讨论最近在相关文献上所提出的TCP穿透NAT传输方案。在所有的方案里,双方初始化TCP连接。输出的SYN数据包为自己的NAT设备生成了必需的NAT状态。各种方案通过采用本章介绍的不同的机制调节两种TCP连接尝试顺序。发送源SYN数据包的地址和端口被决定为通过端口预测。端口预测允许一主机猜测NAT设备的信息表,以此在建立连接之前发送SYN数据包,并讨论细节。这些方案同时也要求两主机之间的一些合作。这是通过大量的通道例如第三方形成的连接代理或是一个UDP/STUN会话而完成的。一旦直达的TCP连接建立起来了,那些通道就可以关闭。这调和机制会因为不同的NAT设备触发后的不同反应而导致所提出的方案在实际情况中失效。另外,多宿主后的节点不可能序化。在这种情况下,行为观察就成为了几乎不可或缺的一部分。简单来说,我们应当重新定义名词“NAT”的意义为: NAT/防火墙组合。

2.1   STUNT

 

2.2           NAT Blaster

2.3           Peer-to-Peer NAT

2.4           执行

我们在Linux以及Windows两个平台下执行以上的所有方案。我们也开发了一个Windows设备驱动执行一些所需功能用于支持一些不能直接在Windows下执行的方案。第一类STUNT方案要求在Linux以及Windows平台下具备超级用户权限用于在线监听SYN数据包并识得它的顺序。为了能够设置第一个SYN数据包中的TTL值,我们在Linux下使用IP-TTL Socket选项以及我们在Windows下的驱动。我们同时也执行STUNT服务器并且将其置于一个不用于输出过滤器的ISP后,这样可以用于欺骗任意地址。

我们发现在Windows平台下设置TTL值是有疑问的;因此,我们认为最好不去用它。如果TTL值不会降低,主机之一所发出的第一个SYN数据包会在另一端点的SYN数据包发出之前到达另一端点的NAT设备。NAT设备可以默认地丢弃入站的数据包,同时也可以发送ICMP未到达错误信息或TCP RST/ACK信息来回应。这些反应,如果有的话,可能会因为方案的规则......

宁芃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【rustdesk 】rfc5128 :跨NATs的P2P通信技术 和rdserver
突围
04-17 690
Endpoint-Independent Mapping NAT(简称EIM-NAT)是一种NAT。BEHAVE 文档([BEH-UDP]、[BEH-TCP] 和 [BEH-ICMP])。应用程序和 NAT 设备,即 [NAT-PMP]、[NSIS-NSLP]、[SOCKS]、“Endpoint-Dependent Filtering”指的是“Address-文档中,指的是Traditional NAT [NAT-TRAD]。[RSIP]、[MIDCOM] 和 [UPNP] 超出了本文档的范围。
Characterization and mode of occurrence of rare earth .pdf
04-04
《印尼爪哇燃煤电厂飞灰和底灰中稀有地球元素及钇的特性与存在方式》 摘要中提到的研究主要关注了燃煤电厂产生的飞灰和底灰(FABA)中的稀有地球元素(REE)及钇(Yttrium)的特征和存在模式。...
FTP and Firewalls
weixin_34355559的博客
10-25 81
    今天,朋友给介绍了这个文档,并且强调,如果看懂了,相信FTP的问题就不再是问题了。虽说是英文的,在这里,还是提供下载,以期让更多的朋友能分享到这份资源:FTPandFirewalls...
使用TCP协议的NAT穿透技术(转)
Mckay的专栏
07-24 2856
 其实很早我就已经实现了使用TCP协议穿透NAT了,但是苦于一直没有时间,所以没有写出来,现在终于放假有一点空闲,于是写出来共享之。     一直以来,说起NAT穿透,很多人都会被告知使用UDP打孔这个技术,基本上没有人会告诉你如何使用TCP协议去穿透(甚至有的人会直接告诉你TCP协议是无法实现穿透的)。但是,众所周知的是,UDP是一个无连接的数据报协议,使用它就必须自己维护收发数据包的完整性
通过NAT防火墙特性和TCP穿透的测评(翻译)
轻飘飞扬
01-12 7983
原文:Characterization and Measurement of TCP Traversal through NATs and Firewalls 原作者:Saikat Guha Paul Francis [摘要]     近些年,标准化社区已经开发出一些UDP穿透NAT/防火墙的技术(也就是,在NAT之后的主机之间建立UDP流)。然而,由于TCP连接建立的不对称特点,T
STUN, STUNT, XSTUNT
maikforever 的专栏
12-05 721
STUN (From: http://zh.wikipedia.org/w/index.php?title=STUN&variant=zh-cn)  STUN(Simple Traversal of User Datagram Protocol through Network Address Translators (NATs),NAT的UDP简单穿越)是一种网络协议,它允许位于NAT
STUN, STUNT, XSTUNT 介绍
lapcca的专栏
01-27 3892
  STUN (From: http://zh.wikipedia.org/w/index.php?title=STUN&variant=zh-cn)  STUN(Simple Traversal of User Datagram Protocol through Network Address Translators (NATs),NAT的UDP简单穿越)是一种网络协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于
nat类型检测
jwybobo2007的博客
12-16 4434
STUN客户端(101:10)向STUN服务器(404:40)发送请求,要求得到自身经NAT映射后的地址(202:20):         a,收不到服务器回复,则认为UDP被防火墙阻断,不能通信,网络类型:Blocked.         b,收到服务器回复(地址要嘛是映射地址要嘛就是源地址),对比本地地址,如果相同(直接返回的就是源地址101:10),则认为无NAT设备(没经过NAT映射转
NAT相关资料
lionzl的专栏
01-27 1789
Network address translation From Wikipedia, the free encyclopedia   (Redirected from Full cone NAT) Jump to: navigation, search "NAT" redirects here. For other uses, see Nat (disambiguat
TCP Traversal through Firewalls
12-19
Characterization and Measurement of TCP Traversal through NATs and Firewalls
Fabrication and measurement of optical characterization of one dimensional photonic crystal with defect
02-10
Numerical calculations based on the transfer matrix method are carried out, and the results of band gap with resonance peaks are obtained. The electron beam lithography technology (EBL) and induction ...
Characterization and SNP Identification of Goat TYRP1 Gene
03-03
山羊TYRP1基因及其SNP的确定,郑会芹,李兰会,作为酪氨酸酶相关家族的一个成员,酪氨酸酶相关蛋白1(TYRP1)被认为在一些物种的黑色素合成过程中起着重要作用,但很少在山羊中研
python
最新发布
m0_70848838的博客
08-08 351
Dict([(k0,v0),(k1,v0),(k2,v2)]) []中的每个()中都有2个值,⼀个是key,⼀个是value⾃动 解析为⼀个字典了。元组 (),(1,2,3,4) 创建空元组,创建有初始值的元组。字典.values() 字典中的value组成的列表。
Linux学习笔记:Linux基础知识汇总(个人复习版)
欢迎相互探讨交流知识呀~
08-05 1879
使用fdisk -l查看分区挂载情况,或者查看/etc/mtab文件,然后找到最接近的挂载点信息。4、创建站点主页 【eg.在/var/www/html内新建index.html】write_enable=YES//ftp可写,即上传权限;下载权限是默认赋予的。将数据同步写入硬盘中的指令,在关机之前输入,可以多输几次。使用df命令,如df -h,查看磁盘分区的挂载点。使用lsblk命令,查看系统的磁盘设备使用情况。-a:显示所有文件(包括隐藏文件),简洁版。-R:显示所有文件以及子目录下文件,简洁版。
美股文本信息抽取
cts618
08-07 309
美股文本信息抽取
Python3的安装及基础指令
m0_74614835的博客
08-08 365
>> dic={'name': 'huajuan', 'age': '21', 'gender': ' 女' 'phone': '1888'}{'name': 'huajuan', 'age': '21', 'gender': '女', 'phone': '1888'}>>> d={'id': 1001, 'name': '花卷', 'age': 21, 'gender': '女'}>>> lista=['李四', '张三', '王五']字典中的每个k-v组成元组,这些元组组成一个新的列表。
C++ STL专题 list的讲解
Mike的博客
08-07 772
1.list是可以在常数范围内任意位置进行插入和删除的序列式容器,并且可以前后双向迭代。2. list的底层是双链表结构,双向链表中每个元素存储在互不相关的独立节点中,在节点中通过指针指向其前一个元素和后一个元素。3. list与forward_list非常相似:最主要的不同在于forward_list是单链表,只能朝前迭代。4. 与其他的序列式容器相比(vector,deque), list通常在任意位置进行插入,移除元素的执行效率更好。5. 与其他序列式容器相比,
Pitfalls and Tradeoffs in Simultaneous, On-Chip FPGA Delay Measurement
05-20
Another tradeoff is between measurement accuracy and the complexity of the measurement circuitry. More complex measurement circuitry can provide more accurate measurements, but it can also increase ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值