关于STUN的一些基本概念

最新推荐文章于 2022-09-23 22:09:28 发布
最新推荐文章于 2022-09-23 22:09:28 发布
阅读量984 收藏
点赞数
分类专栏: 网络安全 标准与理论 文章标签: server traversal 防火墙 c network 服务器

STUN 协议的全称是 Simple Traversal of User Datagram Protocol Through Network Address Translators ,主要功能是检测是否位于 NAT 后面,如果位于 NAT 后面,经过 NAT 转换后的地址和端口是什么,另外可以检测 NAT 的类型。

基本思想

在私网内部安装一个 STUN client ,在公网上安装一个 STUN Server STUN 协议定义了一些消息格式,大体上分成 Request/Response client server 发送 request server 发送 response client 。如何检测 STUN client 是否在 NAT 后面呢?原理很简单, Server 在收到 client UDP 包以后, Server 将接收到该包的地址和端口利用 udp 传回来给 client client 把这些地址和端口与本机的 ip 地址和端口进行比较,如果不同,说明在 NAT 后面,否则就位于 NAT 后面。为了检测不同类型的 NAT STUN 协议定义了一些消息属性,要求 Server 有不同的动作,比如发送响应的时候使用不同的 IP 地址和端口,或者改变端口等等。 STUN 协议对 NAT 可能有效,但是对防火墙就无能为力了,因为防火墙可能不会打开 UDP 端口。

NAT 分类

STUN 协议将 NAT 粗略分为 4 种类型,即 Full Cone Restricted Cone Port Restricted Cone Symmetric 。举个实际例子来说明这四种 NAT 的区别:

A 机器在私网( 192.168.0.4

NAT 服务器( 210.21.12.140

B 机器在公网( 210.15.27.166

C 机器在公网( 210.15.27.140

现在, A 机器连接过 B 机器,假设是 A 192.168.0.4:5000 -> NAT (转换后 210.21.12.140:8000 -> B 210.15.27.166:2000 )。

同时 A 从来没有和 C 通信过。

则对于不同类型的 NAT ,有下列不同的结果:

Full Cone NAT C 发数据到 210.21.12.140:8000 NAT 会将数据包送到 A 192.168.0.4:5000 )。因为 NAT 上已经有了 192.168.0.4:5000 210.21.12.140:8000 的映射。

Restricted Cone C 无法和 A 通信,因为 A 从来没有和 C 通信过, NAT 将拒绝 C 试图与 A 连接的动作。但 B 可以通过 210.21.12.140:8000 A 192.168.0.4:5000 通信,且这里 B 可以使用任何端口与 A 通信。如: 210.15.27.166:2001 -> 210.21.12.140:8000 NAT 会送到 A 5000 端口上。

Port Restricted Cone C 无法与 A 通信,因为 A 从来没有和 C 通信过。而 B 也只能用它的 210.15.27.166:2000 A 192.168.0.4:5000 通信,因为 A 也从来没有和 B 的其他端口通信过。该类型 NAT 是端口受限的。

Symmetric NAT :上面 3 种类型,统称为 Cone NAT ,有一个共同点:只要是从同一个内部地址和端口出来的包, NAT 都将它转换成同一个外部地址和端口。但是 Symmetric 有点不同,具体表现在:只要是从同一个内部地址和端口出来,且到同一个外部目标地址和端口,则 NAT 也都将它转换成同一个外部地址和端口。但如果从同一个内部地址和端口出来,是到另一个外部目标地址和端口,则 NAT 将使用不同的映射,转换成不同的端口(外部地址只有一个,故不变)。而且和 Port Restricted Cone 一样,只有曾经收到过内部地址发来包的外部地址,才能通过 NAT 映射后的地址向该内部地址发包。

现针对 Symmetric NAT 举例说明:

A 机器连接过 B 机器,假使是 A 192.168.0.4:5000 -> NAT (转换后 210.21.12.140:8000 -> B 210.15.27.166:2000

如果此时 A 机器( 192.168.0.4:5000 )还想连接 C 机器( 210.15.27.140:2000 ),则 NAT 上产生一个新的映射,对应的转换可能为 A 192.168.0.4:5000 -> NAT (转换后 210.21.12.140:8001 -> C 210.15.27.140:2000 )。此时, B 只能用它的 210.15.27.166:2000 通过 NAT 210.21.12.140: 8000 A 192.168.0.4:5000 通信, C 也只能用它的 210.15.27.140:2000 通过 NAT 210.21.12.140:8001 A 192.168.0.4:5000 通信,而 B 或者 C 的其他端口则均不能和 A 192.168.0.4:5000 通信。


zzulp
关注
专栏目录
NAT穿透中的STUN和TURN技术浅析
dvlinker的技术专栏
08-29 2524
STUN和TURN技术浅析
ICE,STUN,TURN协议
11-18
整体介绍ICE框架,拆解讲解NAT\STUN\TURN等内容,最后谈到ICE。
STUN/TURN/ICE协议在P2P SIP中的应用(一)
weixin_30293079的博客
06-26 286
1 说明 本文详细描述了基于STUN系列协议实现的P2P SIP电话过程,其中涉及到了SIP信令的交互,P2P的原理,以及STUN、TURN、ICE的协议交互 本文所提到的各个服务单元的交互均使用UDP,不涉及TCP的打洞及其他和TCP相关的操作。 本文假设通信双方均没有防火墙对协议以及端口的限制。 本文不涉及客户...
STUN/TURN协议
流媒体巅峰之路
07-15 1404
STUN和TURN协议解析 在现实Internet网络环境中,大多数计算机主机都位于防火墙或NAT之后,只有少部分主机能够直接接入Internet。很多时候,我们希望网络中的两台主机能够直接进行通信,即所谓的P2P通信,而不需要其他公共服务器的中转。由于主机可能位于防火墙或NAT之后,在进行P2P通信之前,我们需要进行检测以确认它们之间能否进行P2P通信以及如何通信。这种技术通常称为NAT穿透(NAT Traversal)。最常见的NAT穿透是基于UDP的技术,如RFC3489中定义的STUN协议。
stun源代码
11-13
stun源代码,奉献给做Nat穿透的码农们,里面的开发思路值得参考
mediaSoup 源码分析-Stun packet处理
occupy8的专栏
10-16 921
#对着协议看代码就已经很清晰了。 #stun packet 包头 // 0 1 2 3 // 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 // +-+-+-+-+-+-+-+-+-+-+...
stun-client:基于[RFC8489](https)的C#编写的非常基本的STUN客户端
04-12
非常简单的STUN客户 ... 这是作为概念验证的目的,旨在使用STUN协议向NAT添加NAT打Kong。 它仅实现XOR-MAPPED-ADDRESS , MAPPED-ADDRESS和SOFTWARE属性,这些属性足以向公共STUN服务器请求IP端点。 如何使用 请不要
stun信令
qq_32648921的博客
03-03 1734
#1. 简介 stun协议本身是用来进行NAT穿透使用,其本身实际上是NAT内部设备获取外部IP地址的一种协议。STUN协议在RFC上目前经过三种演变,其中RFC3489上定义的STUN和之后的RFC5389和8489上定义的stun在概念上存在明显区分: RFC3489定义:Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs) (STUN) RFC5389和RFC8489:Se
Go-go-stun-STUN客户端(RFC3489和RFC5389)的一个Go实现
08-13
RFC3489是STUN的最初版本,发布于2003年,定义了STUN的基本操作,包括绑定请求、绑定响应和错误响应等消息格式。这个版本的STUN主要用于帮助应用程序确定其公共IP和端口,以及检查NAT的行为。 而RFC5389是STUN的...
STUN-RFC5389中英文合集.zip
09-27
STUN协议基本概念 STUN(Simple Traversal of User Datagram Protocol (UDP) Through NATs)是一种轻量级的协议,它允许位于NAT后的客户端发现其公共IP地址和端口,以及检测NAT的行为。这一过程称为“打洞”(hole ...
STUN 协议实现源码
04-13
按照rfc3489实现STUN协议的客户端和服务端源码,可以做为研究NAT穿透的很好的资料哦!
STUN客户端服务器源代码,仅供参考
05-21
开源的STUN服务器源代码,仅供参考,在实际的网络环境中,靠STUN方式穿透成功率低的可怕
真正好用的nat穿透源代码,附送STUN检测代码
01-16
网上的原理很多,代码很少,好用的更少,多数都有问题,这个代码是我根据网上的代码修改的,保证好用。还有一些代码是我整理的stun资料。
使用Google STUN服务器的Cloudflare动态DNS-C/C++开发
05-27
使用Google STUN服务器的Cloudflare的动态DNS cloudflaredd是一个小脚本,旨在作为systemd进程运行,以自动将动态dns更改上传到由Cloudflare管理的一组域dns记录。 基本上,每三分钟,我们使用一个名为STUN(在RFC 5389中定义)的协议来检索我们的公共IP地址。 如果地址与上一次迭代相比有所更改,我们将使用新数据更新cloudflare记录。 使用STUN很棒,因为它超级快(一次基于UDP的往返),并且完全免费,因为Google托管了免费的pu
简析STUN协议-好东西分享
12-03
STUN(Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一 个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT 路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。
stun
chinabinlang的专栏
07-11 866
源码地址 http://sourceforge.net/projects/stun/
C++/Qt音视频通话开发MetaRTC源码解读,coturn穿透stun的使用
weixin_40355471的博客
09-23 2943
coturn服务器搭建,stun流程实现,stun穿透服务器使用,sdp交互,主叫穿透流程,被叫穿透流程,stun抓包wireshark,qt实现。
P2P通信标准协议(三)之ICE
weixin_34235105的博客
12-20 328
在P2P通信标准协议(二)中,介绍了TURN的基本交互流程,在上篇结束部分也有说到,TURN作为STUN 协议的一个拓展,保持了STUN的工具性质,而不作为完整的NAT传输解决方案,只提供穿透NAT的功能, 并且由具体的应用程序来使用.虽然TURN也可以独立工作,但其本身就是被设计为ICE/RFC5245 的一部分,本章就来介绍一下ICE协议的具体内容. SDP ICE信息的描述格式通常采用标准...
NAT类型与穿透
热门推荐
mergerly的专栏
12-24 1万+
网络上已经有很多很多关于NAT类型与穿透的文章了,所以就不重复写了,稍作整理然后加一些自己的评注与总结。     NAT话题,主要涉及: - NAT 与 防火墙 - NAT 基本类型 与 原理 - NAT 穿透方式及原理 - 基于NAT穿透的网络应用 - NAT穿透相关的工具和开源项目   焦点集中在NAT类型以及对应的穿透方式,下面分别
NAT打洞技术详解:类型、NAPT分类及其应用
NAT(网络地址转换)是网络中的一个重要概念,特别是在互联网服务中,用于解决私有IP地址空间不足的问题。本文档主要聚焦于UDP打洞技术,针对NAT类型的讨论集中在向外NAT,特别是基本NAT(Basic NAT)和NAPT(网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值