网络打洞(P2P软件穿透内网进行通信) 原理

http://www.cnblogs.com/gansc23/archive/2010/10/20/1857066.html

首先先介绍一些基本概念:
NAT(Network
Address
Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator)。

最开始NAT是运行在路由器上的一个功能模块。

最先提出的是基本的NAT,它的产生基于如下事实:一个私有网络(域)中的节点中只有很少的节点需要与外网连接(呵呵,这是在上世纪90年代中期提出的)。那么这个子网中其实只有少数的节点需要全球唯一的IP地址,其他的节点的IP地址应该是可以重用的。


此,基本的NAT实现的功能很简单,在子网内使用一个保留的IP子网段,这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一的
IP地址。如果这些节点需要访问外部网络,那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。(基本的NAT会改变IP
包中的原IP地址,但是不会改变IP包中的端口)。关于基本的NAT可以参看RFC 1631。

另外一种NAT叫做NAPT,从名称上我们也可以看得出,NAPT不但会改变经过这个NAT设备的IP数据报的IP地址,还会改变IP数据报的TCP/UDP端口。基本NAT的设备可能我们见的不多(呵呵,我没有见到过),NAPT才是我们真正讨论的主角。看下图:
Server S1
18.181.0.31:1235
|
^ Session 1 (A-S1) ^ |
| 18.181.0.31:1235 | |
v 155.99.25.11:62000 v |
|
NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ |
| 18.181.0.31:1235 | |
v 10.0.0.1:1234 v |
|
Client A
10.0.0.1:1234


一个私有网络10.*.*.*,Client
A是其中的一台计算机,这个网络的网关(一个NAT设备)的外网IP是155.99.25.11(应该还有一个内网的IP地址,比如
10.0.0.10)。如果Client A中的某个进程(这个进程创建了一个UDP
Socket,这个Socket绑定1234端口)想访问外网主机18.181.0.31的1235端口,那么当数据包通过NAT时会发生什么事情呢?


先NAT会改变这个数据包的原IP地址,改为155.99.25.11。接着NAT会为这个传输创建一个Session(Session是一个抽象的概
念,如果是TCP,也许Session是由一个SYN包开始,以一个FIN包结束。而UDP呢,以这个IP的这个端口的第一个UDP开始,结束呢,呵呵,
也许是几分钟,也许是几小时,这要看具体的实现了)并且给这个Session分配一个端口,比如62000,然后改变这个数据包的源端口为62000。所
以本来是(10.0.0.1:1234->18.181.0.31:1235)的数据包到了互联网上变为了
(155.99.25.11:62000->18.181.0.31:1235)。

一旦NAT创建了一个Session
后,NAT会记住62000端口对应的是10.0.0.1的1234端口,以后从18.181.0.31:1235发送到62000端口的数据会被NAT
自动的转发到 10.0.0.1:1234上。(注意:这里是说18.181.0.31:1235发送到62000端口的数据会被转发,其他的IP或者
18.181.0.31上的其它端口发送到这个端口的数据将被NAT抛弃)这样Client A就与Server S1建立以了一个连接。

呵呵,上面的基础知识可能很多人都知道了,那么下面是关键的部分了。看看下面的情况:
Server S1 Server S2
18.181.0.31:1235 138.76.29.7:1235
| |
| |
+----------------------+----------------------+
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 155.99.25.11:62000 v | v 155.99.25.11:62000 v
|
Cone NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
|
Client A
10.0.0.1:1234

接上面的例子,如果Client A的原来那个Socket(绑定了1234端口的那个UDP Socket)又接着向另外一个Server S2发送了一个UDP包,那么这个UDP包在通过NAT时会怎么样呢?

时可能会有两种情况发生,一种是NAT再次创建一个
Session,并且再次为这个Session分配一个端口号(比如:62001)。另外一种是NAT再次创建一个Session,但是不会新分配一个端
口号,而是用原来分配的端口号62000。前一种NAT叫做Symmetric NAT,后一种叫做Cone
NAT。我们期望我们的NAT是第二种,呵呵,如果你的NAT刚好是第一种,那么很可能会有很多P2P软件失灵。(特别是如果双方都是Symmetric
NAT,或者一方是Symmetric NAT,另一方是Restricted Cone
NAT,这种情况下,建立p2p的连接将会比较困难。关于Restricted Cone NAT,请参看http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt)(draft-ford-midcom-p2p-01.zip)


了,我们看到,通过NAT,子网内的计算机向外连结是很容易的(NAT相当于透明的,子网内的和外网的计算机不用知道NAT的情况)。但是如果外部的计算
机想访问子网内的计算机就比较困难了(而这正是P2P所需要的)。那么我们如果想从外部发送一个数据报给内网的计算机有什么办法呢?


先,我们必须在内网的NAT上打上一个“洞”(也就是前面我们说的在NAT上建立一个Session),这个洞不能由外部来打,只能由内网内的主机来打。
而且这个洞是有方向的,比如从内部某台主机(比如:192.168.0.10:11111)向外部的某个IP(比
如:219.237.60.1:22222)发送一个UDP包,那么就在这个内网的NAT设备上打了一个方向为219.237.60.1:22222的
“洞”,(这就是称为UDP Hole
Punching的技术)以后219.237.60.1:11111就可以通过这个洞与内网的192.168.0.10:22222联系了。(但是其他的
IP或者219.237.60.1上的其它端口不能利用这个洞)。

呵呵,现在该轮到我们的正题P2P了。有了上面的理论,实现两个内网的主机通讯就差最后一步了:那就是鸡生蛋还是蛋生鸡的问题了,两边都无法主动发出连接请求,谁也不知道谁的公网地址,那我们如何来打这个洞呢?我们需要一个中间人来联系这两个内网主机。现在我们来看看一个P2P软件的流程,以下图为例:
Server S (219.237.60.1)
|
|
+----------------------+----------------------+
| |
NAT A (外网IP:202.187.45.3) NAT B (外网IP:187.34.1.56)
| (内网IP:192.168.0.1) | (内网IP:192.168.0.1)
| |
Client A (192.168.0.20:4000) Client B (192.168.0.10:40000)


先,Client A登录服务器,NAT A为这次的Session分配了一个端口60000,那么Server S收到的Client
A的地址是202.187.45.3:60000,这就是Client A的外网地址了。同样,Client B登录Server S,NAT
B给此次Session分配的端口是40000,那么Server S收到的B的地址是187.34.1.56:40000。


时,Client A与Client B都可以与Server S通信了。如果Client A此时想直接发送信息给Client
B,那么他可以从Server S那儿获得B的公网地址187.34.1.56:40000,是不是Client A向这个地址发送信息Client
B就能收到了呢?答案是不行,因为如果这样发送信息,NAT
B会将这个信息丢弃(因为这样的信息是不请自来的,为了安全,大多数NAT都会执行丢弃动作)。现在我们需要的是在NAT
B上打一个方向为202.187.45.3:60000(即Client A的外网地址)的洞,那么Client
A发送到187.34.1.56:40000的信息,Client B就能收到了。既然Client A不能够通知Client
B来打这个洞,那么我们只能通过服务器来转发这个命令了。

总结一下这个过程:如果Client A想向Client
B发送信息,那么Client A发送命令给Server S,请求Server S命令Client B向Client
A方向打洞。呵呵,是不是很绕口,不过没关系,想一想就很清楚了,何况还有源代码呢(侯老师说过:在源代码面前没有秘密 8)),然后Client
A就可以通过Client B的外网地址与Client B通信了。

这是一个Client A与Client B建立p2p连结的大概的流程:
(1) Client A->Server S (Client A向Server S发送一个请求,请求信息是希望Client B向Client A方向打洞)
(2) Server S->Client B (S要求B向A打洞)
(3) Client B->Client A (打洞消息,这个消息Client A很可能不会收到,但是收不到没有关系,NAT B上的洞已经打好了)
(4) Client A->Client B (发送正真的消息)


意:以上过程只适合于Cone NAT的情况,如果是Symmetric NAT,那么当Client B向Client
A打洞的端口已经重新分配了,Client B将无法知道这个端口(如果Symmetric
NAT的端口是顺序分配的,那么我们或许可以猜测这个端口号,可是由于可能导致失败的因素太多,我们不推荐这种猜测端口的方法)。


面是一个模拟P2P聊天的过程的源代码,过程很简单,P2PServer运行在一个拥有公网IP的计算机上,P2PClient运行在两个不同的NAT后
(注意,如果两个客户端运行在一个NAT后,本程序很可能不能运行正常,这取决于你的NAT是否支持loopback translation,详见http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt(draft-ford-midcom-p2p-01.zip),
当然,此问题可以通过双方先尝试连接对方的内网IP来解决,但是这个代码只是为了验证原理,并没有处理这些问题),后登录的计算机可以获得先登录计算机的
用户名,后登录的计算机通过send username message的格式来发送消息。如果发送成功,说明你已取得了直接与对方连接的成功。
程序现在支持三个命令:send , getu , exit
send格式:send username message
功能:发送信息给username
getu格式:getu
功能:获得当前服务器用户列表
exit格式:exit
功能:注销与服务器的连接(服务器不会自动监测客户是否吊线)

代码很短,相信很容易懂,如果有什么问题,可以给我发邮件 [email protected] 或者在CSDN上发送短消息。同时,欢迎转发此文,但希望保留作者版权8-)。

附:

NAT/NAPT模块是通过一张记录表来记录我们打洞后的映射关系,但是这个映射关系是有生命期的(除非在网关上设置了静态映射),所以它不会一直都存在
于记录表中,如果我们需要保持我们打洞后的映射关系,就可能需要有一端以心跳包的方式来使NAT/NAPT模块保持我们打洞后的映射关系。

参考:http://www.k8w.net/technology/develop/200710/81.html

时间: 2024-11-10 13:11:42

网络打洞(P2P软件穿透内网进行通信) 原理的相关文章

p2p软件如何穿透内网进行通信

http://blog.chinaunix.net/uid-22326462-id-1775108.html 首先先介绍一些基本概念: NAT(Network Address Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用.NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator). 最开始NAT是运行在路由器上的一个功能模块.最先提出的是基本的NAT,它的产生基于如下事实:

QQ通信原理及QQ是怎么穿透内网进行通信的?

QQ是一个基于TCP/UDP协议的通讯软件 发送消息的时候是UDP打洞,登陆的时候使用HTTP~因为登陆服务器其实就是一个HTTP服务器,只不过不是常用的那些,那个服务器是腾讯自行开发的!!! 一.登录 QQ客户端在局域网内,当你打开QQ登录到QQ服务器时,通过外网,你的客户端与QQ服务器建立了一个长连接.你可以用netstat -bn  看到此连接的状态是 establish 此时,在QQ服务器那面看到的连接的IP是你们局域网对外的IP.举个例子: QQ服务器      IP:121.115.

【转】QQ通信原理及QQ是怎么穿透内网进行通信的?

QQ是一个基于TCP/UDP协议的通讯软件 发送消息的时候是UDP打洞,登陆的时候使用HTTP~因为登陆服务器其实就是一个HTTP服务器,只不过不是常用的那些,那个服务器是腾讯自行开发的!!! 一.登录 QQ客户端在局域网内,当你打开QQ登录到QQ服务器时,通过外网,你的客户端与QQ服务器建立了一个长连接.你可以用netstat -bn  看到此连接的状态是 establish 此时,在QQ服务器那面看到的连接的IP是你们局域网对外的IP.举个例子:       QQ服务器      IP:12

QQ通讯原理及QQ是怎么穿透内网的(转)

QQ是一个基于TCP/UDP协议的通讯软件 发送消息的时候是UDP打洞,登陆的时候使用HTTP~因为登陆服务器其实就是一个HTTP服务器,只不过不是常用的那些,那个服务器是腾讯自行开发的!!! 一.登录 QQ客户端在局域网内,当你打开QQ登录到QQ服务器时,通过外网,你的客户端与QQ服务器建立了一个长连接.你可以用netstat -bn  看到此连接的状态是 establish 此时,在QQ服务器那面看到的连接的IP是你们局域网对外的IP.举个例子:       QQ服务器      IP:12

穿透内网所了解的一些知识

动机 内网是相对于外网而言的,内网即是私有网络,互联网上的每个主机必须有一个唯一的IP地址来标识,现有的IPv4的地址为32位,所能标识的主机非常有限,随着internet上主机数量的不断的发展,IPv4地址的短缺越来越明显,IP地址资源也就愈加显得捉襟见肘.为了解决这种问题,出现了一种解决IPv4地址短缺以避免IP地址枯竭的方案,就是我们所谓的NAT(网络地址转换)技术,现在NAT成了家庭和小型办公室网络连接上的路由器的一个标准特征,但是,NAT也让主机之间的通信变得复杂,导致通信效率的降低.

花生棒2代:穿透内网 让NAS一起去旅行

---恢复内容开始--- 在公网环境下,要实现用域名进行远程访问管家婆管理软件.服务器或门店视频监控等,可用动态域名解析软件.但如今IPV4资源枯竭下,长城宽带等宽带运营商更多的给用户分配了内网IP地址.内网怎么支持呢? 家里的网络就属于内网IP,之前在家里玩过twonky推送,偶然知晓花生棒.据说花生棒可以穿透内网,搞定内网DDNS动态域名解析,让我得以在远程也能推送.于是,在秒杀活动98元果断下手买了一个.正好手上还有一台QNAP NAS,搭配花生棒使用就能将在旅行时候拍的照片,远程让它出现

使用花生棒穿透内网限制访问黑群辉NAS

 使用花生棒穿透内网限制访问群辉NAS 相信有很多的内网用户,因为种种原因得不到公网IP,无法完成从外网访问内网电脑或个人网络接入服务器(简称NAS).由于白天在公司工作没完成,需要回家继续完成或者工作中需要临时调取家中NAS的数据,这时花生棒就可以派上用场,下面是我用花生棒做的远程穿透局域网限制防问的案例,分享出来与大家一起学习. 首先说明下网络拓扑,我的路由器是二级路由器,(即在一级路由引条网线接入我的路由,然后从我的路由再分别接家里所有电脑,这种情况我的路由就是二级路由器.)如果是三.四…

通过VPS穿透内网发布内网服务(未完待续)

当我们有一个本地服务又想暂时对外提供的时候,发现机子在内网.这个时候我们刚好手上有台VPS,那么接下来我们就来尝试下穿透内网对外提供 主机名 IP VPN IP 备注 VPS 外网192.168.31.133 192.168.0.1 外网VPS server 内网192.168.137.2 192.168.0.234 VPN客户端 1.VPS开启VPN,我们选择pptp比较简单. 需要安装ppp pptpd 还需要支持iptables(安装iptables为了做nat,基本都带iptables)

用UPnP穿透内网

frombegintoend 原文 用UPnP穿透内网 参考了网上的一篇文章,由于时间长了,具体地址不知道了. 引入了一个DLL: Interop.NATUPNPLib.dll,实现穿透局域网,进行Socket通信. using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading; using System.Text.RegularExpres