TCP穿透NAT和防火墙的特点与测评.pdf

Characterization and Measurement of TCP
Traversal through NATs and Firewalls
TCP 穿透 NAT 和防火墙的特点与测评
Saikat Guha Paul Francis
Cornell University Ithaca, NY 14853
{saikat, francis}***@
[翻译]Bruce Mioo <brucemiao@>
[摘要]近些年,标准化社区已经开发出一些 UDP 穿透 NAT/防火墙的技术(也就是,在
NAT 之后的主机之间建立 UDP 流)。然而,由于 TCP 连接建立的不对称特点,TCP 的 NAT 穿
透要困难的多。最近,研究者们提出了多种 TCP 穿透 NAT 的途径,然而,这些方法中,成功
的都依赖于 NAT 对各种 TCP(和 TCMP)包的序列如何响应的。本文对 TCP 穿透主流商用 NAT
产品的主要技术进行了首次深入、广泛的研究。我们开发了一套公开、有效的软件测试套件用
来测定 NAT 对各种独立探测以及完整的 TCP 连接建立的响应。我们在实验室测试了 16 个 NAT
产品,在公网上测试了 93 个家用 NAT 产品。根据这些测试结果,如同 NAT 产品的市场宣传那
样,我们评估了家用网络中 NAT 穿透成功的可能性。本文的另外一个出发点,就是可以给 TCP
穿透 NAT 协议的设计和 NAT/防火墙行为的标准化工作给与指导,包括 IPv6 过渡期间 IPv4 与
IPv6 之间穿透 NAT 的鉴定。
1 绪论
NAT和防火墙通过阻止外部主机主动连接一个受保护的内网1主机的方式破坏了IP连通性
模型。如果两个终端都被他们各自的NAT或防火墙保护着,由于发起连接的终端在另一终端的
NAT2之外,通常的TCP连接是不能建立的,除非各自的防火墙安全策略允许这样的连接。例如,
防火墙策略是这样的:内部主机可以发起TCP连接,而且两个主机都希望发起连接。近来的研
究工作已经集中在不使用代理或隧道来建立TCP连接。通过在NAT上设置必要的连接状态,并
仔细、巧妙地交换TCP包的方式来建立TCP连接,确实很轻巧。然而,并不是公网上的所有NAT
都用同样的方式响应,所以,造成这些方式在很多情况下失败。理解NAT的这种行为,测定他
中普遍连通性的原始目标的偏移有多少,对于把他们干净利索地集成到这种架构中
是至关重要的。
今天的 架构于 TCP/IP 设计之初的环境已经大不相同。防火墙和 NAT 经常是的建立
一个连接成为不可能,即使连接没有违反任何安全策略。例如,通过隐藏在一个 NAT 后面或配
置他们的防火墙阻止外入的 SYN 包,Alice 和 Bob 可能都不允许未授权的连接。然而,当 Alice
和 Bob 都同意建立连接的时候,如果不重新配置他们的 NAT,他们也没有办法建立了,因为
Alice 的 SYN 包会被 Bob 的 NAT 阻止,Bob 的 SYN 包也会被 Alice 的 NAT 阻止。虽然如此,
但 NAT 和防火墙已经成为网络架构中的永久一部分了,而且,很长一段时间内,仍将会是。即
使 IPv6 已经在全球展开,但在过渡期间,IPv4 与 IPv6 之间的 NAT 仍将是必须的,而且,为了
安全,IPv6 防火墙仍将是必须的。因此,使得 NAT 后面的同意连接的主机之间能够彼此通讯的
机制,是必须的。
通过 STUN,已经解决了 UDP 方式的穿透问题。使用 STUN,Alice 发送一个 UDP 包给 Bob,
尽管这个包被 Bob 的 NAT 阻止,但却使 Alice 的 NAT 创建了一个本地状态,该状态允许 Bob
的回应包到达 Alice 而不被 Alice 的 NAT 阻止。然后,Bob 发送一个 UDP 包给 Alice,Alice 的
NAT 认为这个包是第一个包的网络流的一部份,所以路由它通过;同样,Bob 的 NAT 把第二个
包(Bob 发给 Alice 的包)当作一个连接发起,因此创建本地状态并路由 Alice 的回应包。流行
的 Vo I P 应用程序 Skype 就是使用的这种方式。不幸的是,建立 TCP 连接要比这复杂的多。一
旦 Alice 发送了她的 SYN 包,她的操作系统就如同她的 NAT 一样,期望从 Bob 接收到一个
SYNACK 包作为回应。然而,由于 Alice 的 SYN 包被 Bob 的 NAT 阻止,Bob 的协议栈根本不
会产生 SYNACK。解决这个问题的建议工作很复杂,因为广域网中与 NAT 的交