UDP hole punching

UDP hole punching — это техника, обычно используемая в системах с трансляцией сетевых адресов (NAT), позволяющая установить связь между двумя компьютерами, находящимися в разных частных сетях, с использованием протокола UDP (User Datagram Protocol).

Данная методика широко применяется в одноранговых сетях и IP-телефонии (голосовая связь по IP)^[1]. Она также может использоваться для организации виртуальной частной сети (VPN) поверх UDP.

UDP hole punching устанавливает соединение между двумя хостами, обменивающимися данными через один или несколько устройств с трансляцией адресов. Как правило, для этого используется третий узел в общедоступной сети, который помогает узнать сетевые порты, используемые для непосредственного взаимодействия между двумя частными участниками.

После установления связи состояние NAT сохраняется обычным сетевым трафиком, либо, при его отсутствии, с помощью keep-alive-пакетов (обычно это пустые UDP-пакеты либо пакеты с минимальным содержимым).

Принцип работы

UDP hole punching — это способ установить двустороннее UDP-соединение через Интернет между двумя компьютерами, находящимися в частных сетях. Эта техника применима не ко всем типам NAT и не во всех сценариях.

NAT: базовые сведения[править | править код]

Существует несколько типов NAT. В приведённом ниже объяснении рассматривается динамический NAT c маскарадингом.

NAT позволяет устройствам в одной частной сети устанавливать исходящие соединения в Интернет, используя единственный публичный IP-адрес — адрес машины NAT. Для этого NAT отслеживает соединения, создаваемые компьютерами из частной сети, и сопоставляет кортеж (IP₁, P₁, IP_dst, P_dst) с кортежем (EIP, EP_X, IP_dst, P_dst).

Когда машина-адресат отвечает, она использует кортеж (IP_dst, P_dst, EIP, P_X).

Для связи двух машин, M₁ и M_α, из разных частных сетей требуется:

чтобы M₁ знала публичный адрес M_α и порт Y, используемый NAT_B;
чтобы M_α знала публичный адрес M₁ и порт X, используемый NAT_A.

При прохождении первого UDP-пакета от M₁ к M_α NAT_A создаёт соответствующую запись с ожиданием ответа.

При первом пакете от M_α к M₁ через NAT_B последний также фиксирует это соединение как открывающееся и ожидает ответа.

На этом этапе NAT и межсетевые экраны как бы «пробиваются» (от англ. Hole Punching) и позволяют дальнейший обмен данными между M₁ и M_α.

Следует отметить, что несмотря на название, техника hole punching не компрометирует безопасность NAT/фаервола.

M₁ и M_α должны найти способ обменяться необходимой информацией.

Обмен информацией[править | править код]

Компьютеры, находящиеся за NAT и выходящие в Интернет, обычно используют метод STUN (англ. Session Traversal Utilities for NAT) или ICE (англ. Interactive Connectivity Establishment) для определения публичного адреса NAT, с которым осуществляется связь.

В процессе UDP hole punching используется сервер встречи S в публичной сети для обмена сведениями, необходимыми для прямой связи между двумя участниками.

Оба компьютера начинают отправку пакетов, делая несколько попыток. В случае англ. Restricted cone NAT первый пакет с удалённого хоста блокируется.

NAT фиксирует факт отправки первого пакета к удалённому хосту и разрешает приём последующих пакетов от того же IP-адреса и порта.

Поддержание соединения[править | править код]

На NAT-сервере состояние UDP-соединения истекает через определённый интервал — обычно через несколько десятков секунд^[2]. Поэтому UDP hole punching периодически отправляет keep-alive-пакеты, чтобы обновлять внутренние счётчики состояний и предотвращать разрыв соединения.

Ограничения[править | править код]

UDP hole punching не работает с устройствами, осуществляющими англ. symmetric NAT (симметричный NAT), часто встречающимися в крупных корпоративных сетях.

Межсетевой экран на NAT-сервере должен отклонять входящие соединения извне. В противном случае, если первый внешний поток займёт запланированный порт, исходящий поток от частной машины через NAT будет вынужден использовать другой порт, что нарушает работу hole punching.

Этапы установки UDP hole punching

Пусть M₁ и M_α — два хоста, каждый в своей приватной сети.

NAT_A и NAT_B — соответственно, два NAT-маршрутизатора с публичными адресами EIP_A и EIP_B.

S — общедоступный сервер с известным публичным IP-адресом.

1. M₁ и M_α начинают UDP-обмен с S; NAT_A и NAT_B создают соответствующие UDP-состояния и назначают временные внешние номера портов EP_A и EP_B.
2. S анализирует UDP-пакеты, чтобы выяснить исходные порты, используемые NAT_A и NAT_B (экзотерные порты EP_A и EP_B).
3. S сообщает M_α значения EIP_A:EP_A, а M₁ — EIP_B:EP_B.

4. M₁ отправляет пакет на EIP_B:EP_B.
5. NAT_A анализирует пакет M₁ и добавляет в свою таблицу трансляции кортеж (IP₁, P₁, EIP_B, EP_B) = (EIP_A, EP_A, EIP_B, EP_B).
6. M_α отправляет пакет на EIP_A:EP_A.
7. NAT_B анализирует пакет M_α и добавляет кортеж (IP_α, P_α, EIP_A, EP_A) = (EIP_B, EP_B, EIP_A, EP_A).

8. В зависимости от состояния таблицы трансляции NAT_A при получении первого пакета от M_α пакет либо отклоняется (если записи нет), либо принимается.
9. Аналогично, на NAT_B пакет от M₁ отклоняется или допускается в зависимости от наличия записи.
10. Таким образом, пробиты «дыры» в NAT, и оба хоста могут связаться напрямую. В худшем случае второй пакет M₁ доходит до M_α, и второй пакет M_α — до M₁.

Если оба участника используют англ. Restricted cone NAT или англ. Symmetric NAT, внешние порты NAT будут отличаться от портов, использовавшихся для сервера S. На некоторых маршрутизаторах внешние порты увеличиваются по порядку, что позволяет угадать нужный порт и тем самым наладить обмен.

Примечания

↑ UDP Hole Punching, State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs) (англ.). ietf.org (1 марта 2008). Дата обращения: 21 июня 2024. Архивировано 29 декабря 2016 года.
↑ Simple Security in IPv6 Gateway CPE (англ.). ietf.org (1 января 2011). Дата обращения: 21 июня 2024. Архивировано 7 августа 2011 года.

Литература

Одноранговое взаимодействие через трансляторы сетевых адресов (NAT), PDF — подробное описание процесса hole punching.
Netfilter: отслеживание соединений и реализация NAT — информация об устройстве натинга и отслеживания соединений в ядре Linux.
STUNT — Simple Traversal of UDP Through NATs and TCP too.
Трансляция сетевых адресов и приложения одноранговых сетей (NATP2P).

[1] UDP Hole Punching, State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs) (англ.). ietf.org (1 марта 2008). Дата обращения: 21 июня 2024. Архивировано 29 декабря 2016 года.

[2] Simple Security in IPv6 Gateway CPE (англ.). ietf.org (1 января 2011). Дата обращения: 21 июня 2024. Архивировано 7 августа 2011 года.

[1]

[2]