UDP саңылауын тесу - UDP hole punching - Wikipedia

UDP саңылауын тесу - бұл әдетте қолданылатын әдіс желі мекенжайын аудару (NAT) техникалық қызмет көрсетуге арналған қосымшалар Пайдаланушының Datagram хаттамасы NAT арқылы өтетін пакеттік ағындар (UDP). NAT өтуі әдістері әдетте клиенттен клиентке желілік қосымшалар үшін қажет ғаламтор қосылған хосттарды тарту жеке желілер, әсіресе пиринг жүйесі, Тікелей клиенттен клиентке (DCC) және Интернет арқылы хаттама (VoIP) орналастырулар.[1]

UDP тесіктері бір немесе бірнеше желілік мекенжай аудармашылары арқылы байланысатын екі хост арасында байланыс орнатады. Әдетте, қоғамдық транзиттік желідегі үшінші тарап хосттары UDP порт күйлерін құру үшін қолданылады, олар байланыс жасайтын хосттар арасындағы тікелей байланыс үшін пайдаланылуы мүмкін. Порт күйі сәтті орнатылғаннан кейін және хосттар байланыс орнатқаннан кейін порт күйін қалыпты байланыс трафигі немесе ұзақ уақыт болмаған жағдайда, тірі қалу әдетте бос UDP пакеттерінен немесе минималды интрузивті емес мазмұннан тұратын пакеттерден тұрады.

Шолу

UDP саңылауын тесу - бұл екі бағытты UDP байланысын орнатудың әдісі ғаламтор желілік мекенжай аудармашыларын қолданатын жеке желілердегі хосттар. Техника барлық сценарийлерде немесе барлық NAT түрлерінде қолданыла бермейді, өйткені NAT жұмыс сипаттамалары стандартталмаған.

Интернет арқылы NAT арқылы қосылған жеке желі ішіндегі желілік байланысы бар хосттар NAT үшін сеанс траверсальді утилиталары (STUN) әдісі немесе Интерактивті байланыс орнату (ICE) оның коммуникациялық құрдастары қажет ететін NAT мекен-жайын анықтау. Бұл үдерісте жалпыға қол жетімді желідегі басқа хост қолданбалар хосттары арасындағы тікелей байланыс үшін жарамды деп саналатын порттың картасын және басқа UDP порт күйін орнату үшін қолданылады. UDP күйі әдетте бірнеше секундтан кейін бірнеше ондаған секундтан бірнеше минутқа дейін аяқталатындықтан,[2] және UDP порты процесте жабық, UDP тесіктері периодты беруді қолданады тірі қалу пакеттер, әрқайсысы NAT-тің UDP мемлекеттік машинасындағы өмір сүру уақытының есептегіштерін жаңартады.

UDP тесіктері жұмыс істемейді симметриялық NAT ірі корпоративті желілерде кездесетін құрылғылар (екі бағытты NAT деп те аталады). Симметриялы NAT-те, белгілі STUN серверіне қосылумен байланысты NAT-ті салыстыру, белгілі серверден деректерді қабылдаумен шектеледі, сондықтан белгілі сервердің NAT картасын жасау соңғы нүктеге дейін пайдалы ақпарат емес.

Біршама нақтыланған тәсілмен екі хост та бірнеше әрекетті қолдана отырып, бір-біріне жібере бастайды. Үстінде NAT шектелген конусы, басқа хосттың бірінші пакеті бұғатталады. Осыдан кейін NAT құрылғысында пакетті басқа машинаға жіберу туралы жазба бар және осы IP мекен-жайдан және порт нөмірінен келген кез келген пакеттерді жіберуге мүмкіндік береді. Бұл әдіс кеңінен қолданылады пиринг жүйесі бағдарламалық жасақтама және Интернет арқылы хаттама телефония. Ол сонымен қатар құрылуына көмектесу үшін қолданыла алады виртуалды жеке желілер UDP арқылы жұмыс істейді. Сол әдіс кейде кеңейтіледі Трансмиссияны басқару хаттамасы (TCP) қосылымдар, бірақ сәтсіз, өйткені TCP қосылым ағындары қолданба емес, хост ОС басқарылады және реттік нөмірлер кездейсоқ таңдалады; осылайша реттік нөмірлерді тексеруді жүзеге асыратын кез-келген NAT құрылғысы пакеттерді бұрыннан бар қосылыммен байланысты деп санамайды және оларды тастайды.

Ағын

А және В әрқайсысы өзінің жеке желісіндегі екі хост болсын; NA және Н.B бұл IP мекен-жайы бойынша ғаламдық қол жетімді екі NAT құрылғысыA және EIPB сәйкесінше; S - жалпыға танымал, жалпыға қол жетімді IP-мекен-жайы бар сервер.

  1. A және B әрқайсысы S-мен UDP сөйлесуін бастайды; NAT құрылғылары NA және Н.B UDP аударма күйлерін құру және уақытша сыртқы порт нөмірлерін тағайындауA және БӨB.
  2. S пайдаланылатын бастапқы портты алу үшін UDP пакеттерін зерттейдіA және Н.B (сыртқы NAT порттары EPA және БӨB).
  3. S EIP-тен өтедіA: EPA B және EIP-ге дейінB: EPB А.-ға
  4. A пакетті EIP-ке жібередіB: EPB.
  5. NA А пакетін зерттейді және келесіні жасайды кортеж оның аударма кестесінде: (Source-IP-A, EPA, EIPB, EPB).
  6. B пакетті EIP-ке жібередіA: EPA.
  7. NB B пакетін зерттейді және оның аударма кестесінде келесі кортеж жасайды: (Source-IP-B, EPB, EIPA, EPA).
  8. Күйіне байланысты NAB-дің бірінші пакеті келген кезде аударма кестесі (яғни кортежді ма (Source-IP-A, EP)A, EIPB, EPB) B-дің алғашқы пакеті келген уақытта жасалған), B-дің бірінші пакеті түсірілген (аударма кестесінде жазба жоқ) немесе өткізілген (аударма кестесінде жазба жасалған).
  9. Күйіне байланысты NBА-ның бірінші пакеті келген кезде аударма кестесі (яғни кортеж (мадақтама-IP-B, EP)B, EIPA, EPA) А-ның бірінші пакеті келген уақытта жасалынған), А-ның бірінші пакеті түсірілген (аударма кестесінде жазба жоқ) немесе өткізілген (аударма кестесінде жазба жасалған).
  10. Нашар жағдайда А-дан екінші пакет В-ға жетеді; нашар жағдайда B-ден екінші пакет А-ға жетеді, саңылаулар NAT-та «тесілді» және екі иесі де тікелей байланыса алады.
  • Егер екі хостта болса Шектелген конустық NAT немесе Симметриялық NAT, сыртқы NAT порттары S-мен қолданылғаннан өзгеше болады. Кейбір маршрутизаторларда сыртқы порттар дәйекті түрде таңдалады, бұл жақын порттарды болжау арқылы әңгіме құруға мүмкіндік береді.

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ «UDP тесіктері, желілік мекенжай аудармашылары (NAT) арқылы тең-теңімен байланыс (P2P)». ietf.org. 2008-03-01. Алынған 2016-06-22.
  2. ^ «IPv6 Gateway CPE-дегі қарапайым қауіпсіздік». ietf.org. 2011-01-01. Алынған 2016-06-22.

Сыртқы сілтемелер