`
wangleifire
  • 浏览: 511021 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

P2P技术穿透防火墙及代码的简单实现

阅读更多

            首先先介绍一些基本概念:
            NAT(Network Address
            Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。NAT分为两大类,基本的NAT和NAPT(Network
            Address/Port Translator)。
            最开始NAT是运行在路由器上的一个功能模块。

            最先提出的是基本的NAT,它的产生基于如下事实:一个私有网络(域)中的节点中只有很少的节点需要与外网连接(呵呵,这是在上世纪90年代中期提出 的)。那么这个子网中其实只有少数的节点需要全球唯一的IP地址,其他的节点的IP地址应该是可以重用的。
            因此,基本的NAT实现的功能很简单,在子网内使用一个保留的IP子网段,这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一的 IP地址。如果这些节点需要访问外部网络,那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。(基本的NAT会改变IP 包中的原IP地址,但是不会改变IP包中的端口)
            关于基本的NAT可以参看RFC 1631

            另外一种NAT叫做NAPT,从名称上我们也可以看得出,NAPT不但会改变经过这个NAT设备的IP数据报的IP地址,还会改变IP数据报的 TCP/UDP端口。基本NAT的设备可能我们见的不多(呵呵,我没有见到过),NAPT才是我们真正讨论的主角。看下图:
            Server S1
            18.181.0.31:1235
            |
            ^ Session 1 (A-S1) ^ |
            | 18.181.0.31:1235 | |
            v 155.99.25.11:62000 v |
            |
            NAT
            155.99.25.11
            |
            ^ Session 1 (A-S1) ^ |
            | 18.181.0.31:1235 | |
            v 10.0.0.1:1234 v |
            |
            Client A
            10.0.0.1:1234
            有一个私有网络10.*.*.*,Client
            A是其中的一台计算机,这个网络的网关(一个NAT设备)的外网IP是155.99.25.11(应该还有一个内网的IP地址,比如10.0.0.10)。如果Client
            A中的某个进程(这个进程创建了一个UDP
            Socket,这个Socket绑定1234端口)想访问外网主机18.181.0.31的1235端口,那么当数据包通过NAT时会发生什么事情呢?
            首先NAT会改变这个数据包的原IP地址,改为155.99.25.11。接着NAT会为这个传输创建一个Session(Session是一个抽象的概 念,如果是TCP,也许Session是由一个SYN包开始,以一个FIN包结束。而UDP呢,以这个IP的这个端口的第一个UDP开始,结束呢,呵呵, 也许是几分钟,也许是几小时,这要看具体的实现了)并且给这个Session分配一个端口,比如62000,然后改变这个数据包的源端口为62000。所 以本来是(10.0.0.1:1234->18.181.0.31:1235)的数据包到了互联网上变为了 (155.99.25.11:62000->18.181.0.31:1235)。
            一旦NAT创建了一个Session后,NAT会记住62000端口对应的是10.0.0.1的1234端口,以后从18.181.0.31发送到 62000端口的数据会被NAT自动的转发到10.0.0.1上。(注意:这里是说18.181.0.31发送到62000端口的数据会被转发,其他的 IP发送到这个端口的数据将被NAT抛弃)这样Client
            A就与Server S1建立以了一个连接。

            呵呵,上面的基础知识可能很多人都知道了,那么下面是关键的部分了。
            看看下面的情况:
            Server S1 Server S2
            18.181.0.31:1235 138.76.29.7:1235
            | |
            | |
            +----------------------+----------------------+
            |
            ^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
            | 18.181.0.31:1235 | | | 138.76.29.7:1235 |
            v 155.99.25.11:62000 v | v 155.99.25.11:62000 v
            |
            Cone NAT
            155.99.25.11
            |
            ^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
            | 18.181.0.31:1235 | | | 138.76.29.7:1235 |
            v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
            |
            Client A
            10.0.0.1:1234
            接上面的例子,如果Client A的原来那个Socket(绑定了1234端口的那个UDP Socket)又接着向另外一个Server
            S2发送了一个UDP包,那么这个UDP包在通过NAT时会怎么样呢?
            这时可能会有两种情况发生,一种是NAT再次创建一个Session,并且再次为这个Session分配一个端口号(比如:62001)。另外一种是 NAT再次创建一个Session,但是不会新分配一个端口号,而是用原来分配的端口号62000。前一种NAT叫做Symmetric
            NAT,后一种叫做Cone
            NAT。我们期望我们的NAT是第二种,呵呵,如果你的NAT刚好是第一种,那么很可能会有很多P2P软件失灵。(可以庆幸的是,现在绝大多数的NAT属于后者,即Cone
            NAT)

            好了,我们看到,通过NAT,子网内的计算机向外连结是很容易的(NAT相当于透明的,子网内的和外网的计算机不用知道NAT的情况)。
            但是如果外部的计算机想访问子网内的计算机就比较困难了(而这正是P2P所需要的)。
            那么我们如果想从外部发送一个数据报给内网的计算机有什么办法呢?首先,我们必须在内网的NAT上打上一个“洞”(也就是前面我们说的在NAT上建立一个 Session),这个洞不能由外部来打,只能由内网内的主机来打。而且这个洞是有方向的,比如从内部某台主机(比如:192.168.0.10)向外部 的某个IP(比如:219.237.60.1)发送一个UDP包,那么就在这个内网的NAT设备上打了一个方向为219.237.60.1的“洞”,(这 就是称为UDP
            Hole
            Punching的技术)以后219.237.60.1就可以通过这个洞与内网的192.168.0.10联系了。(但是其他的IP不能利用这个洞)。

            呵呵,现在该轮到我们的正题P2P了。有了上面的理论,实现两个内网的主机通讯就差最后一步了:那就是鸡生蛋还是蛋生鸡的问题了,两边都无法主动发出连接 请求,谁也不知道谁的公网地址,那我们如何来打这个洞呢?我们需要一个中间人来联系这两个内网主机。
            现在我们来看看一个P2P软件的流程,以下图为例:

            Server S (219.237.60.1)
            |
            |
            +----------------------+----------------------+
            | |
            NAT A (外网IP:202.187.45.3) NAT B (外网IP:187.34.1.56)
            | (内网IP:192.168.0.1) | (内网IP:192.168.0.1)
            | |
            Client A (192.168.0.20:4000) Client B (192.168.0.10:40000)

            首先,Client A登录服务器,NAT A为这次的Session分配了一个端口60000,那么Server S收到的Client
            A的地址是202.187.45.3:60000,这就是Client A的外网地址了。同样,Client B登录Server S,NAT
            B给此次Session分配的端口是40000,那么Server S收到的B的地址是187.34.1.56:40000。
            此时,Client A与Client B都可以与Server S通信了。如果Client A此时想直接发送信息给Client
            B,那么他可以从Server S那儿获得B的公网地址187.34.1.56:40000,是不是Client
            A向这个地址发送信息Client B就能收到了呢?答案是不行,因为如果这样发送信息,NAT
            B会将这个信息丢弃(因为这样的信息是不请自来的,为了安全,大多数NAT都会执行丢弃动作)。现在我们需要的是在NAT
            B上打一个方向为202.187.45.3(即Client A的外网地址)的洞,那么Client
            A发送到187.34.1.56:40000的信息,Client B就能收到了。这个打洞命令由谁来发呢,呵呵,当然是Server S。
            总结一下这个过程:如果Client A想向Client B发送信息,那么Client A发送命令给Server S,请求Server
            S命令Client B向Client
            A方向打洞。呵呵,是不是很绕口,不过没关系,想一想就很清楚了,何况还有源代码呢(侯老师说过:在源代码面前没有秘密
            8)),然后Client A就可以通过Client B的外网地址与Client B通信了。

            注意:以上过程只适合于Cone NAT的情况,如果是Symmetric NAT,那么当Client B向Client
            A打洞的端口已经重新分配了,Client B将无法知道这个端口(如果Symmetric
            NAT的端口是顺序分配的,那么我们或许可以猜测这个端口号,可是由于可能导致失败的因素太多,我们不推荐这种猜测端口的方法)。

             另一篇文章接上:

            下面解释一下上面的文章中没有提及或者说我觉得比较欠缺的地方.
             私有地址/端口和公有地址/端口:我们知道,现在大部分网络采用的都是NAPT(Network Address/Port Translator)了, 这个东东的作用是一个对外的对话在经过NAT之后IP地址和端口号都会被改写,在这里把一次会话中客户自己认为在使用的IP地址和端口号成为私有地址/端 口,而把经过NAPT之后被改写的IP地址和端口号称为公有地址/端口.或者可以这么理解,私有地址/端口是你家里人对你的昵称而公有地址/端口则是你真 正对外公开的名字.如何获得用户的私用地址/端口号,这个很简单了,而要得到公有地址/端口号就要在连接上另一台机器之后由那台机器看到的IP地址和端口 号来表示.

             如果明白了上面的东西,下面进入我们的代码,在这里解释一下关键部分的实现:

             客户端首先得到自己的私有地址/终端,然后向server端发送登陆请求,server端在得到这个请求之后就可以知道这个client端的公有地址/终 端,server会为每一个登陆的client保存它们的私有地址/端口和公有地址/端口.

              OK,下面开始关键的打洞流程.假设client A要向client B对话,但是A不知道B的地址,即使知道根据NAT的原理这个对话在第一次会被拒 绝,因为client B的NAT认为这是一个从没有过的外部发来的请求.这个时候,A如果发现自己没有保存B的地址,或者说发送给B的会话请求失败了, 它会要求server端让B向A打一个洞,这个B->A的会话意义在于它使NAT B认为A的地址/端口是可以通过的地址/端口,这样A再向B发送 对话的时候就不会再被NAT B拒绝了.打一个比方来说明打洞的过程,A想来B家做客,但是遭到了B的管家NAT B的拒绝,理由是:我从来没有听我家B 提过你的名字,这时A找到了A,B都认识的朋友server,要求server给B报一个信,让B去跟管家说A是我的朋友,于是,B跟管家NAT B 说,A是我认识的朋友,这样A的访问请求就不会再被管家NAT B所拒绝了.简而言之,UDP打洞就是一个通过server保存下来的地址使得彼此之间能 够直接通信的过程,server只管帮助建立连接,在建立间接之后就不再介入了.

            下面是一个模拟P2P聊天的过程的源代码,过程很简单,P2PServer运行在一个拥有公网IP的计算机上,P2PClient运行在两个不同的NAT 后(注意,如果两个客户端运行在一个NAT后,本程序很可能不能运行正常,这取决于你的NAT是否支持loopback
            translation,详见http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt ,当然,此问题可以通过双方先尝试连接对方的内网IP来解决,但是这个代码只是为了验证原理,并没有处理这些问题),后登录的计算机可以获得先登录计算机的用户名,后登录的计算机通过send
            username message的格式来发送消息。如果发送成功,说明你已取得了直接与对方连接的成功。
            程序现在支持三个命令:send , getu , exit

            send格式:send username message
            功能:发送信息给username

            getu格式:getu
            功能:获得当前服务器用户列表

            exit格式:exit
            功能:注销与服务器的连接(服务器不会自动监测客户是否吊线)

            代码很短,相信很容易懂,如果有什么问题,可以给我发邮件zhouhuis22@sina.com
            或者在CSDN上发送短消息。同时,欢迎转发此文,但希望保留作者版权8-)。
            _05/04052509317298.rar"
            http://www.ppcn.net/upload/2004_05/04052509317298.rar  

 

另一篇介绍打洞技术的(补充)

UDP打洞技术依赖于由公共防火墙和cone NAT,允许适当的有计划的端对端应用程序通过NAT"打洞",即使当双方的主机都处于NAT之后。这种技术在 RFC3027的5.1节[NAT PROT] 中进行了重点介绍,并且在Internet[KEGEL]中进行了非正式的描叙,还应用到了最新的一些协议,例如[TEREDO,ICE]协议中。不过, 我们要注意的是,"术"如其名,UDP打洞技术的可靠性全都要依赖于UDP。
这里将考虑两种典型场景,来介绍连接的双方应用程序如何按照计划的进行通信的,第一种场景,我们假设两个客户端都处于不同的NAT之后;第二种场景,我们假设两个客户端都处于同一个NAT之后,但是它们彼此都不知道(他们在同一个NAT中)。


 
处于不同NAT之后的客户端通信

    我们假设 Client A 和 Client B 都拥有自己的私有IP地址,并且都处在不同的NAT之后,端对端的程序运行于 CLIENT A,CLIENT B,S之间,并且它们都开放了UDP端口1234。 CLIENT A和CLIENT B首先分别与S建立通信会话,这时NAT A把它自己的UDP端口62000分配给CLIENT A与S的会话,NAT B也把自己的UDP端口31000分配给CLIENT B与S的会话。

假 如这个时候 CLIENT A 想与 CLIENT B建立一条UDP通信直连,如果 CLIENT A只是简单的发送一个UDP信息到CLIENT B的公网地址138.76.29.7:31000的话,NAT B会不加考虑的将这个信息丢弃(除非NAT B是一个 full cone NAT),因为 这个UDP信息中所包含的地址信息,与CLIENT B和服务器S建立连接时存储在NAT B中的服务器S的地址信息不符。同样的,CLIENT B如果做同样的事情,发送的UDP信息也会被 NAT A 丢弃。

 假如 CLIENT A 开始发送一个 UDP 信息到 CLIENT B 的公网地址上,与此同时,他又通过S中转发送了一个邀请信息给CLIENT B,请求CLIENT B也给CLIENT A发送一个UDP信息到 CLIENT A的公网地址上。这时CLIENT A向CLIENT B的公网IP(138.76.29.7:31000)发送的信息导致 NAT A 打开一个处于 CLIENT A的私有地址和CLIENT B的公网地址之间的新的通信会话,与此同时,NAT B 也打开了一个处于CLIENT B的私有地址和CLIENT A的公网地址(155.99.25.11:62000)之间的新的通信会话。一旦这个新的UDP会话各自向对方打开了,CLIENT A和CLIENT B之间就可以直接通信,而无需S来牵线搭桥了。(这就是所谓的打洞技术)!

分享到:
评论

相关推荐

    P2P 之 UDP穿透NAT的原理与实现(附源代码)P2PServer.rar

    本资源“P2P 之 UDP穿透NAT的原理与实现(附源代码)P2PServer.rar”旨在详细介绍如何通过UDP协议穿透NAT,实现P2P网络中的节点间通信。下面将详细讲解这个主题。 首先,我们要理解NAT的工作原理。NAT允许私有网络...

    UDP P2P透防火墙关键技术for DELPHI源码

    在DELPHI中实现UDP P2P透防火墙的关键技术,开发者需要深入理解网络编程、端口映射、UDP打洞(UDP Hole Punching)等技术。 1. UDP打洞:这是P2P透防火墙的核心策略,通过利用NAT设备的规则来创建一个“洞”,让两...

    P2P之UDP打洞穿透NAT的源代码

    UDP打洞技术是一种在NAT(网络地址转换)环境下实现...总之,这个项目提供了一个实用的示例,展示了如何利用UDP打洞技术穿透NAT,实现P2P通信。对于想要深入理解网络编程和P2P技术的人来说,这是一个非常有价值的资源。

    真正好用的nat穿透源代码,附送STUN检测代码

    "P2PServer"和"P2PClient"则代表了P2P网络的服务器端和客户端程序,它们利用前面的NAT穿透技术实现在NAT环境下的直接通信。 "stund_0.96_Aug13.gz"是一个名为STUN Daemon的软件包,版本为0.96,发布于2013年8月。...

    P2PNat_export_UDP穿透_p2p穿透_网关穿透_

    标题中的“P2PNat_export_UDP穿透_p2p穿透_网关穿透_”指的是一个关于P2P网络中如何实现在NAT(网络地址转换)环境下的UDP通信的技术。UDP穿透是P2P网络中一个关键的技术,尤其在如今许多家庭和企业网络使用NAT的...

    P2P 之 UDP穿透NAT的原理与实现(附源代码)

    本文将深入探讨UDP穿透NAT的原理以及实现方法,并提供源代码供参考。 1. UDP穿透NAT原理: - NAT工作原理:NAT设备会记录内网设备与公网的通信,将内网私有IP地址映射到公网IP地址,同时为每次会话分配一个端口号...

    P2P之UDP穿透NAT的原理与实现

    UDP(User Datagram Protocol)是一种无连接的、不可靠的传输层协议,广泛用于实时音频、视频...在提供的"UDP-NAT"压缩包文件中,可能包含了实现这一功能的代码示例,读者可以参考这些代码来加深理解并实践相关技术。

    UDP打洞P2P技术

    UDP打洞P2P技术是互联网通信中一种用于穿透网络地址转换(NAT)的技术,它使得两个位于不同NAT后的设备能够直接通信,而无需通过中心服务器作为中介。这一技术在实现点对点(P2P)应用,如文件共享、实时通信和在线...

    P2P穿透NAT通信

    标题“P2P穿透NAT通信”涉及到的是网络编程领域中的一个重要话题,即如何让位于不同内网(通常被NAT(Network Address Translation)设备隔离)的主机之间进行直接通信。NAT技术通常用于公网和私网之间的地址转换,...

    如何穿透局域网(P2P).rar

    标题 "如何穿透局域网(P2P)" 指向的是一个关于穿透网络地址转换(NAT)以实现点对点(P2P)通信的技术主题。在互联网中,NAT技术广泛应用于家庭和企业网络,它允许多个内部设备共享一个公共IP地址,从而节省公网IP...

    实现TCP的P2P打洞C语言源代码.pdf

    总的来说,TCP的P2P打洞是一种在NAT环境中实现设备直接通信的技术,它依赖于客户端和服务器之间的交互以及对NAT设备特性的利用。通过这样的机制,即使在复杂的网络环境下,内网设备也能有效地进行直接通信。

    libjingle,P2P传输的开源库

    P2P传输的开源库,通过libjingle我们可以建立一个直通的网络连接(无视中间的NAT、防火墙、中继服务器和代理等),无需特别关心Session建立的细节(加解密、格式等),直接进行数据的交换

    P2P即时通讯源代码

    在线即时语音、视频聊天 穿透网关防火墙,可在互联网和局域网任意对话 系统采用先进的点对点通讯技术,消息(包括文本、语音、视频、文件)的 传输大多数情况不需要经服务器中转而直接发往接收者所使用的机器,传输...

    P2P源码 Azureus 2.5.0.2(JAVA)

    此外,通过分析源代码,开发者可以了解如何实现高效的文件分发策略,如DHT(分布式哈希表)用于节点发现,以及UPnP和NAT-PMP技术,这些技术帮助穿透防火墙和路由器,使得对等方之间的连接更加顺畅。 在开发过程中,...

    P2PCenter_last.rar_HTTP_P2P更新文件_http-flv_udp 文件传输_直播

    Peer 间传输数据采用UDP,能有效的穿透防火墙,在进一步的版本中将实现TCP及UPNP穿透 能够实现流媒体的点播及直播,还能共享其他文件,文件类型不限。 流媒体文件支持广泛,如rmvb,wmv,flv,mp4等 源代码下载论坛:...

    Delphi_DataSnap.rar_datasnap_doc_friendshp_p2p delphi

    多层开发文档(包括远程调用技术代码追踪(socket).doc、P2P穿透防火墙源码分析等)

    网络编程类40个实例

    P2P之UDP穿透NAT的原理与实现源代码 截获以太网数据,附源代码 利用FTP协议进行文件浏览 利用SMTP协议发送邮件 利用TCP IP实现简单的客户服务器模式 利用命名管道进行通信 两台机器间的串口通讯 列举主机IP地址 实现...

    类似于QQ的P2P聊天软件

    服务器还需要处理P2P连接的建立,可能需要实现NAT穿透技术,如STUN(简单Traversal ofUDP through NATs)或ICE(Interactive Connectivity Establishment)协议,以便P2P节点能够穿透防火墙和NAT设备进行通信。...

    TCP和UDP穿越NAT技术及其代码

    而"P2P_TCP_Software.rar"和"P2P_by_shootingstars.rar"可能是包含C++实现的源代码库,其中"P2P_TCP_Software"可能专注于TCP的NAT穿透,而"P2P_by_shootingstars"可能包含了基于UDP的P2P通信实现,可能包括STUN、...

Global site tag (gtag.js) - Google Analytics