P2P 之 TCP穿透NAT的原理

P2P 之 TCP穿透NAT的原理

原文： http://www.xymyeah.com/734.html


摘要
防火墙和网络地址转换（NAT）设备对于传统的P2P协议存在一定的问题。一些中间设备抑制了来自外部网络到内部网络的TCP请求，这篇文章的目的就是寻找一个能够在两个NAT设备内部的主机间建立TCP连接的方法。我们已经在两个普通的硬件条件下实现了这个功能。

1.入门
由于32位IP地址的减少，现在出现了很多通过一个internet地址代理内部网络上网的设备，这就是NAT技术。这些设备对于INTERNET已经越来越重要了，但是它们的独立发展因为缺乏标准而对现在的internet协议造成危害。

2.技术
典型的NAT和防火墙设备都是不允许外部地址主动请求而进入内部网络的，如果用户的程序需要在两个内部网络间建立直接性的连接，那么两个内部设备之间必须是相互信任的。如果A和B两个部分都初始化了TCP连接，NAT设备就会认为它们之间是相互信任的，也就允许它们之间的连接了。
图1是一个例子，目标是能够让A和B（分别在NATA和NATB后）建立TCP连接。
我们讨论了多种在特定的NAT设备环境下的TCP连接方案。
如果我们的情况如下：
1、可预测NA的端口，可预测NB的端口，可指定源IP的特定路由
2、可预测NA的端口，可预测NB的端口，不可指定源IP的特定路由
3、随机的NA端口，可预测NB的端口，可指定源IP的特定路由
4、随机的NA端口，可预测NB的端口，不可指定源IP的特定路由
5、随机的NA端口，随机的NB端口，可指定源IP的特定路由
6、随机的NA端口，随机的NB端口，不可指定源IP的特定路由

我们必须作出这4种假设：
1、 两个主机都不受NAT设备所限制；
2、我们可以配置网络设备使得主机看不到来自外部网络的ICMP包（TTL超过限制），因为这些ICMP数据包无论被任何一方接收到都是中断TCP连接。我们讨论的一些解决方案就依赖通过发送一个初始TTL很小的SYN包来建立TCP连接。一旦SYN包被路由器丢弃，ICMP TTL 超时包就会被传送到NAT设备，我们不允许NAT设备将这个超时TTL的返回包传送到内部网络，即使NAT会将这个包传送到内部，也需要通过配置防火墙来限制这个包到达主机；
3、 即使NAT设备看到ICMP超时的数据包，设备本身的映射表将不会作任何改动；
4、 内部网络的其它主机不会占用抢占这个端口，因为如果网络特别繁忙，这个端口可能会无效。

3.1第一种情况
我们可以通过图2表示的顺序解决问题:
1）A和B可以设定LSR(IP报头中的一个选项)通过X路由发送SYN数据包.
2）X可以缓存它们的数据包并且发送欺骗的SYN+ACKS给NA和NB.
3）A和B可以通过由X发送来的数据进行应答.
4）X丢弃这两个ACK包,因为它已经可以确定A和B相互应答成功.





图2是假设A和B都事先彼此的NAT的通信端口，A知道B的通信端口是NB:5000,B知道A的是NA:4000,并且要求X不在任何NAT设备的后面.实际中这两个端口是预测得到的，预测过程如图3：


3.2第二种情况
第一种情况依赖与自由设定路由，但是现在很多路由器大多都限制这样做，并且会丢弃这样的服务请求包。因此在实际应用中，这种方案失败的可能性很大。如果自由设定路由不可行，我们可以通过out-of-band通道(他们预先与X连接好的TCP连接)来传送原本必须将数据包路由到X才能看到的包。注意在图二的第二步X已经知道了TCP的序号Q和P，因为X已经收到了这两个SYN包，但是如果数据包没有路由经过X就不可能收到它们。为了初始化这个连接，两个主机发送初始SYN包，并且他们都知道是不可能到达目标的，但是它们都可以记住自己的SYN号(个人看法,通过钩子获得发送的数据SYN包)并且可以发送给 X，X得到了它们的SYN包，就可以欺骗它们发送ACK包了。有两种方法可以发送无法到达目标的数据包。简单的方法就是每个主机发送一个SYN给对方，要求应答包不会到达内部网络.如果NAT(防火墙)会将应答包传回给内部网络,通常是发送TCP的reset包(RST)，如果NAT生成RST包，A和B 就不能简单地发送一个向图2中SYN给彼此，因为如果这样NA和NB就无法打洞了呵呵，如果NAT不发送RST包，那么这个TCP连接就不会被中断。另外一个发送无法到达目标网络的SYN包的方法是减小TTL值，使它们无法彼此到达。如果用户无法配置防火墙丢弃这个ICMP应答包，或者NAT不继续传送这个ICMP，这个TCP就不会立即关闭。这个解决方案不能使用一种简单的欺骗，因为我们必须保证源地址的SYN包发送者不会没有收到ICMP的RST包，否则会导致中间设备建立错误路由.仅仅依靠SYN包，NAT就可以建立从internet IP和端口到外部IP和端口的路由.由于欺骗的SYN包是错误的源IP(并非发出者X)，这个路由将不会发送到X而是发送到NA或者NB。另外，这种方案都需要设置TTL到足够小，以便于对方的NAT不会收到到各自发出的初始SYN包，否则就无法完成打洞。(图4)




3.3第三种情况
比前两种简单，但是X将无法预见NA或者NB的端口。B将先给X发送一个SYN包告诉以便于X知道它所选用的端口号，然后X将这个信息发送到A，A就可以向这个确定的地址和端口发送SYN，图5是第一种情况的变形:：
1)X向图3一样预测端口，但是它不能预测到NA的下一个端口号，但是可以预测NB的下一个端口号是5000，并且可以通知A和B这个节点已经建立了连接；
2)A和B同步节点X；
3)X可以欺骗A和B；
4)A和B相互发送ACK；
5)X丢弃发给它的ACK,因为它已经可以确认它们已经建立连接。


3.5. Simultaneous TCP open(TCP同时打开)
在一对节点都在已存在middlebox后，有一种建立直接P2P TCP连接的方法有时候会被使用。大多数TCP连接都是从一个终端发从一个SYN包到另一个终端，另一个中断同步响应一个SYN-ACK包。无论怎样，对于两个终端来说，同时通过发送同步包到对方然后用一个ACK包应答来建立一个TCP连接是可行的。这种过程就被称为"simultaneous open"(同时打开)

如果一个middlebox从尝试建立一个TCP连接的私有网络的外面接受一个TCP SYN包，middlebox通常以丢弃这个SYN包或者发送一个TCP RST(连接复位)包的方式来拒绝这个连接尝试。但是，如果同步包与源和目的地址端口一起到达，那么会让middlebox相信一个TCP连接已经建立起来，然后middlebox将会允许数据包通过。特别是如果middlebox刚刚得到并转换了一个从同样地址和端口来的SYN包，它将认为连接是成立的并允许进来的SYN通过。如果客户端A和B能彼此预测公共端口，它们各自的middlebox将分配下一个TCP连接端口，如果其中一个客户端和另一个客户端建立一个外部的TCP连接，可以在对方SYN到达本地middlebox之前就发送SYN包通过它本地自己的middlebox，那么P2P TCP连接就可以工作了。

令人遗憾的是，这个方法也可能比上面说的UDP端口号预测方法更脆弱并对时效更加敏感。首先，除非在进行 TCP连接时，两个middleboxes是简单的防火墙或者cone NAT，在各自尝试猜测公共端口号来让NAT分配新的连接时，和上面(UDP端口预测)说到的完全一样的事情会导致连接失败。另外，如果有一方的客户发送的同步包太迅速的到达对面的middlebox，远端middlebox可能会用一个RST包拒绝SYN包，接下来就会导致本地的middlebox关闭对话并且在将来SYN重发时使用了相同但无用的端口号。最终，对simultaneous open的支持作为一个TCP的特殊应用，没有在广泛的系统中被使用。因此，这个方法也只为历史因素在这里被同样提及；它不建议被应用程序使用。在现有 NAT上想要实现P2P直接通讯的应用程序应该使用UDP。
4.4 TCP P2P applications (TCP P2P应用程序)

被程序员们广泛使用的SOCKET API，常用于C/S结构应用设计中。在它的通常使用方式中，一个SOCKET能绑定一个TCP或UDP端口。一个应用程序不会被允许用同样的端口 (TCP or UDP)和多个SOCKET绑定来和多个外部主机同时建立连接(或)用一个SOCKET在端口上监听而其他SOCKET来建立外部连接。但是上述单个 SOCKET的端口绑定限制在UDP上不是问题，因为UDP是基于数据报文的协议。UDP P2P应用程序设计者可以用recvfrom()和sendto()函数来让一个SOCKET不仅发送而且可以从多个主机上接受数据报文。

这不是TCP具有的情况。由于TCP，每个输入和输出连接都要和一个单独的SOCKET有联系。Linux Sockets API用SO_REUSEADDR选项的帮助来解决这个问题(是不是应该这么说？)，这个选项好象不起作用，但可以

(在标准Single Unix里没有这个函数)。Win32 API提供了一个相同的调用SetReuseAddress。使用任何上述的选择，应用程序可以复用一个TCP端口的多个SOCKET。就是说，可以打开两个绑定在同样端口上的TCP stream Socket，一个用与listen()，另一个用与其它主机connect() 

来源：互联网纪事 http://www.xymyeah.com