基于多類(lèi)型NAT的TCP穿透技術(shù)研究.pdf

1、TCP/IP作為當(dāng)前互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議已有30多年，部分規(guī)則早已不適用于當(dāng)前的英特網(wǎng)，其中IP地址短缺問(wèn)題最為突出，為了解決此問(wèn)題，最新提出的IPV6協(xié)議將地址空間擴(kuò)展到128位，極大地增加了IP地址數(shù)量，并且在安全性、便捷性、處理速度等方面都較IPV4有了很大的提高，但當(dāng)前IPV4的設(shè)備已經(jīng)廣泛遍布于互聯(lián)網(wǎng)各個(gè)角落，完全替換成IPV6設(shè)備還需要很漫長(zhǎng)的時(shí)間，而在過(guò)去的10年里，NAT成了緩解IP地址短缺問(wèn)題的關(guān)鍵技術(shù)。
　　NAT

2、的核心是將從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)包IP地址全部改為自身的公網(wǎng)IP，使得多臺(tái)網(wǎng)絡(luò)設(shè)備可共用一個(gè)公網(wǎng)IP地址，極大地節(jié)約了IP資源，也很好地隱藏了局域網(wǎng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提升了安全性，但是多臺(tái)設(shè)備共用一個(gè)IP地址的方式與設(shè)備必須擁有唯一地址這一IP協(xié)議的規(guī)定所沖突，TCP/IP中許多端到端連接的應(yīng)用將受到NAT的限制，例如遠(yuǎn)程訪問(wèn)家庭、公司網(wǎng)絡(luò)設(shè)備等基本的網(wǎng)絡(luò)行為都將無(wú)法實(shí)現(xiàn)，所以，能夠在具有NAT的環(huán)境中完成端到端連接的NAT穿透技術(shù)變得越發(fā)重要

3、,而TCP較UDP提供更加可靠的連接，但是多出的三次握手的步驟也更加難以穿透NAT?；诖?，本文主要做了以下方面的工作:
　　(1)英特網(wǎng)中少數(shù)隨機(jī)選取端口的對(duì)稱(chēng)型NAT由于其特殊的映射端口選取方式，會(huì)導(dǎo)致NAT打洞的過(guò)程中因無(wú)法猜測(cè)正確的映射端口而打洞失敗，在研究了當(dāng)前探測(cè)方案不足之處后，進(jìn)行了端口選取結(jié)果的特征分析，提出了一種更能利用選取規(guī)則的端口探測(cè)方法，之后將新方法與當(dāng)前方法進(jìn)行了對(duì)比測(cè)試，結(jié)果表明新探測(cè)方案成功率更高。<

4、br>　　(2)部分NAT即使在有映射記錄的條件下依然拒絕外來(lái)SYN包，導(dǎo)致三次握手失敗。STUNT協(xié)議是繞過(guò)NAT包過(guò)濾限制的最常用技術(shù)，本文分析了STUNT協(xié)議原理與實(shí)現(xiàn)過(guò)程，指出了其穩(wěn)定性與連接模式等需要改進(jìn)之處，同時(shí)提出了一種新的自我欺騙式的繞過(guò)NAT包過(guò)濾限制的方案，實(shí)驗(yàn)證明新方案在連接速度與穩(wěn)定性方面明顯優(yōu)于STUNT協(xié)議，與理論分析結(jié)果一致。
　　(3)將已有端口探測(cè)方案與本文所提探測(cè)方案相結(jié)合，研究出了一種較通用的