STUN协议

最新推荐文章于 2023-08-08 10:57:25 发布
最新推荐文章于 2023-08-08 10:57:25 发布
阅读量641 收藏
点赞数
分类专栏: C/C++ 一亩三分地 文章标签: server traversal 防火墙 c network 服务器

STUN协议

 

STUN协议的全称是Simple Traversal of User Datagram Protocol Through Network Address Translators,主要功能是检测是否位于NAT后面,如果位于NAT后面,经过NAT转换后的地址和端口是什么,另外可以检测NAT的类型。

 

基本思想

在私网内部安装一个STUN client,在公网上安装一个STUN Server,STUN协议定义了一些消息格式,大体上分成Request/Response,client向server发送request,server发送response给client。如何检测STUN client是否在NAT后面呢?原理很简单,Server在收到client的UDP包以后,Server将接收到该包的地址和端口利用udp传回来给client,client把这些地址和端口与本机的ip地址和端口进行比较,如果不同,说明在NAT后面,否则就位于NAT后面。为了检测不同类型的NAT,STUN协议定义了一些消息属性,要求Server有不同的动作,比如发送响应的时候使用不同的IP地址和端口,或者改变端口等等。STUN协议对NAT可能有效,但是对防火墙就无能为力了,因为防火墙可能不会打开UDP端口。

 

NAT分类

STUN协议将NAT粗略分为4种类型,即Full Cone、Restricted Cone、Port Restricted Cone和Symmetric。举个实际例子来说明这四种NAT的区别:

A机器在私网(192.168.0.4)

NAT服务器(210.21.12.140)

B机器在公网(210.15.27.166)

C机器在公网(210.15.27.140)

 

现在,A机器连接过B机器,假设是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)。

同时A从来没有和C通信过。

 

则对于不同类型的NAT,有下列不同的结果:

Full Cone NAT:C发数据到210.21.12.140:8000,NAT会将数据包送到A(192.168.0.4:5000)。因为NAT上已经有了192.168.0.4:5000到210.21.12.140:8000的映射。

Restricted Cone:C无法和A通信,因为A从来没有和C通信过,NAT将拒绝C试图与A连接的动作。但B可以通过210.21.12.140:8000与A的 192.168.0.4:5000通信,且这里B可以使用任何端口与A通信。如:210.15.27.166:2001 -> 210.21.12.140:8000,NAT会送到A的5000端口上。

Port Restricted Cone:C无法与A通信,因为A从来没有和C通信过。而B也只能用它的210.15.27.166:2000与A的192.168.0.4:5000通信,因为A也从来没有和B的其他端口通信过。该类型NAT是端口受限的。

Symmetric NAT:上面3种类型,统称为Cone NAT,有一个共同点:只要是从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。但是Symmetric有点不同,具体表现在:只要是从同一个内部地址和端口出来,且到同一个外部目标地址和端口,则NAT也都将它转换成同一个外部地址和端口。但如果从同一个内部地址和端口出来,是到另一个外部目标地址和端口,则NAT将使用不同的映射,转换成不同的端口(外部地址只有一个,故不变)。而且和Port Restricted Cone一样,只有曾经收到过内部地址发来包的外部地址,才能通过NAT映射后的地址向该内部地址发包。

 

现针对Symmetric NAT举例说明:

A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)

如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000),则NAT上产生一个新的映射,对应的转换可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8001)-> C(210.15.27.140:2000)。此时,B只能用它的210.15.27.166:2000通过NAT的210.21.12.140: 8000与A的192.168.0.4:5000通信, C也只能用它的210.15.27.140:2000通过NAT的210.21.12.140:8001与A的192.168.0.4:5000通信,而 B或者C的其他端口则均不能和A的192.168.0.4:5000通信。

15. STUN协议和ICE工作原理
weixin_45842249的博客
06-12 1113
在现实Internet网络环境中,大多数计算机主机都位于防火墙或NAT之后,只有少部分主机能够直接接入Internet。很多时候,我们希望网络中的两台主机能够直接进行通信,即所谓的P2P通信,而不需要其他公共服务器的中转。由于主机可能位于防火墙或NAT之后,在进行P2P通信之前,我们需要进行检测以确认它们之间能否进行P2P通信以及如何通信。这种技术通常称为NAT穿透(NAT Traversal)。最常见的NAT穿透是基于UDP的技术,如RFC3489中定义的STUN协议
stun 协议
qq_43559669的博客
12-20 665
stun存在的意义就是进行nat穿越。 上述这句话是对于stun客户端来说的。 对于客户端来说,客户端首先要发送一个stun消息给到stun服务,stun服务收到这个消息,将发送这个消息的客户端ip地址和端口带回来(过nat为外网,不过为内网地址)。此时客户端即知道自己的外网地址了,当客户端与另外一端进行通讯的时候,通过candiate的交换,就可以将自己的外网地址告诉对方,当对方拿到这个外网地址,就可以进行nat穿越了。 stun对于流媒体服务端的作用是在客户端发送stun请求时候带来用户名和密码,用户名
P2P通信标准协议(一)之STUN
weixin_33827965的博客
12-12 479
前一段时间在P2P通信原理与实现中介绍了P2P打洞的基本原理和方法,我们可以根据其原理为自己的网络程序设计一套通信规则, 当然如果这套程序只有自己在使用是没什么问题的。可是在现实生活中,我们的程序往往还需要和第三方的协议(如SDP,SIP)进行对接,因此使用标准化 的通用规则来进行P2P链接建立是很有必要的。本文就来介绍一下当前主要应用于P2P通信的几个标准协议,主要有STUN/RFC3489,S...
STUN协议详解
键盘敲的劈啪响
08-08 2617
STUN是一种网络协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一个本地端口所绑定的Internet端端口
STUN协议简介
DefiniteGoal的博客
12-07 1568
STUN协议组成介绍
stun协议抓包.rar
11-23
在P2P(Peer-to-Peer,对等网络)通信中,NAT会阻止两个处于不同网络环境的设备直接通信,STUN协议通过让客户端向公共互联网上的STUN服务器发送请求,帮助客户端发现其在网络NAT后的公共IP地址和端口,从而实现P2P...
NAT探测 使用stun协议 java和python版本
02-02
STUN协议是IETF(Internet Engineering Task Force)定义的一种标准,用于帮助内网客户端发现其公共IP地址和端口,以及NAT的行为。它的工作原理是,客户端向STUN服务器发送请求,服务器接收到请求后,将包含请求来源...
STUN 协议RFC3489中文版 只要5积分
02-25
RFC3489是STUN协议的原始定义,尽管后来更新为RFC5389,但RFC3489仍然是理解STUN工作原理的基础文档。NAT是一种普遍采用的技术,它允许多个内部网络设备共享一个公共的IP地址来访问互联网,但同时也给点对点通信带来...
STUN工作原理
椛茶的博客
07-29 2098
现实网络环境中绝大多数主机都是处于 NAT 之后,对于两个处于同一内网环境的主机,它们只要知道对端的内网地址就能进行通信,而对于不在同一内网的主机,如果它们想通信,要么借助带有公网地址的主机转发,要么通过一定的手段进行 NAT 穿越。STUN 协议是用来 NAT 穿越的工具,它允许位于 NAT 之后的主机查找到自己 NAT 映射后的公网地址,需要通信的双方交换映射后的公网地址再进行连通性检测。STUN 最先在。
简析STUN协议-好东西分享
12-03
STUN(Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一 个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT 路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。
【音视频第16天】详解STUN协议
Magic_o的博客
04-23 2327
原来这是因为IPV4引起的,我们上网很可能会处在一个NAT设备(无线路由器之类)之后。NAT设备会在IP封包通过设备时修改源/目的IP地址. 对于家用路由器来说, 使用的是网络地址端口转换(NAPT), 它不仅改IP, 还修改TCP和UDP协议的端口号, 这样就能让内网中的设备共用同一个外网IP. 举个例子, NAPT维护一个类似下表的NAT表:NAT设备会根据NAT表对出去和进来的数据做修改, 比如将192.168.0.3:8888发出去的封包。
WebRTC网络基础 九、第四节 STUN协议
xyphf的博客
07-12 806
今天我们来介绍一些STUN协议STUN存在的目的就是进行NAT穿越 STUN 存在的目的就是进行NAT穿越,NAT有四种类型,每种类型如何穿越它的基本原理是什么,都是属于STUN协议中的一部分。 STUN是典型的客户端/服务器模式。客户端发送请求,服务端进行响应 RFC STUN规范 RFC STUN规范中,实际上有两套STUN规范 第一套叫做RFC3489/STUN Simple Traversal of UDP Through NAT 它就是将STUN定义成简单的通过UDP...
STUN打洞学习笔记
yjkhtddx的专栏
06-14 4124
由于处理GB28181问题时,设计到NAT网络的问题,领导就把6月份的能力提升任务设定为SIP的UDP打洞。 不过我们使用的国标服务器就是公网服务器,每台服务器均有自己的公网IP地址,好像没有打洞的问题,但是工作这么多年,确实有必要针对于NAT网络相关的知识点做一个总结。摘录自(随便点的链接):http://www.cppblog.com/lapcca/archive/2010/01/28/106663.htmlUDP打洞和我理解的差不多,作者说的也够直白的了, 笔者也边学边写,这篇帖子的说法是否准确,我也
STUN打洞失败
wq897387的专栏
06-18 2674
最近研究SIP(freeswitch), 看到有用STUN做P2P,但是没有成功。
WebRTC中的STUN服务和TRUN服务
weixin_46983030的博客
05-12 4187
STUN(Session Traversal Utilities for NAT)和TURN(Traversal Using Relays around NAT)是两种用于解决NAT(Network Address Translation)问题的协议。NAT是一种网络技术,用于连接私有网络到公共网络。然而,NAT会影响网络连接的可靠性和速度,尤其是在实时通信场景下,如视频会议、实时语音、游戏、直播等。STUN是一种协议,用于检测NAT类型和IP地址。
NAT穿越(p2p打洞)免费STUN服务器列表
flyhelloword的博客
02-08 7584
什么是STUN STUN(Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一 个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT 路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。目前RF...
STUN
mtAsnow
10-22 1533
STUN是RFC3489规定的一种NAT穿透方式,它采用辅助的方法探测NAT的IP和端口。STUN的探测过程需要有一个公网IP的STUN server,在NAT后面的UAC必须和此server配合,互相之间发送若干个UDP数据包。UDP包中包含有UAC需要了解的信息,比如NAT外网IP,PORT等等。UAC通过是否得到这个UDP包和包中的数据判断自己的NAT类型。 NAT的探测过程 假设有如下UA...
c++客户端
weixin_44789624的博客
07-09 2104
socket http 代理IP销售 #include "pch.h" #include <iostream> #include <cstdio> #include<iostream> #include<string> #include<WinSock2.h> #pragma comment(lib,"ws2_32.lib") #i...
stun协议
最新发布
06-21
<think>我们正在讨论STUN协议,根据用户要求,需要详细解释STUN协议的工作原理、使用方法等。同时,根据系统级指令,我们需要在回答中正确使用LaTeX格式(行内公式用$...$,独立公式用$$...$$),使用中文回答,并在引用的段落末尾添加引用标识。另外,需要生成相关问题。根据提供的引用资料,我们可以总结如下:1.STUN协议用于帮助位于NAT后的客户端发现自己的公网IP和端口,并判断NAT类型。2.STUN采用客户端-服务器架构,通过Request/Response消息交互。3.STUN报文包含固定头部(方法、类和事务ID)以及属性。4.基本工作原理:客户端发送请求给STUN服务器服务器将收到的请求的源IP和端口通过响应返回给客户端,客户端比较这个返回的地址和端口与本地地址端口,从而判断是否在NAT后以及NAT类型。5.STUN协议定义在RFC3489(后更新为RFC5389等,但用户引用的是RFC3489)。我们将按照以下结构组织回答:-STUN协议概述-STUN报文结构-STUN工作原理(包括NAT类型检测)-STUN使用方法(简要)-注意事项(如对防火墙的限制)同时,在适当的地方使用LaTeX格式(例如在描述报文结构时,可以用行内公式表示字段长度等)。最后生成相关问题。注意:引用资料中提供了4个引用,我们在回答中需要标注引用时,使用[^1],[^2],[^3],[^4]。</think>### STUN协议详解 #### **1. 基本概念** STUN(Simple Traversal of UDP over NATs)是一种用于**穿透NAT设备**的网络协议,定义于RFC 3489[^3][^4]。其核心功能是帮助位于NAT后的设备发现自己的公网IP地址和端口,并确定NAT类型,从而建立端到端的UDP通信[^1][^4]。 #### **2. 协议架构** - **客户端/服务器模型**: - **STUN Client**:部署在私网设备中(如VoIP电话)。 - **STUN Server**:部署在公网,响应客户端请求[^2][^4]。 - **报文结构**: - **固定头部**(20字节): - 方法(Method):标识操作类型(如`Binding`方法用于地址映射)[^1]。 - 类(Class):区分请求(`Request`)、响应(`Response`)或错误(`Error`)。 - 事务ID(Transaction ID):匹配请求与响应[^1]。 - **属性字段**(TLV格式): - 包含地址映射、错误原因等扩展信息[^1]。 #### **3. 工作原理** ##### **地址发现流程** 1. 客户端向公网STUN服务器发送`Binding Request`[^2]。 2. 服务器解析请求的**源IP和端口**(即NAT转换后的公网地址)。 3. 服务器通过`Binding Response`将该地址返回客户端[^2][^4]。 4. 客户端比较返回地址与本地地址: - 若一致,说明**无NAT**。 - 若不一致,说明位于**NAT后**,并记录公网地址[^2]。 ##### **NAT类型检测** 通过改变服务器响应地址的策略,识别NAT类型: - **完全锥型NAT**:服务器从任意端口响应均可达客户端。 - **受限锥型NAT**:仅允许特定IP的响应。 - **端口受限锥型NAT**:需匹配IP和端口[^2][^3]。 - **对称型NAT**:不同目标地址分配不同映射端口(最难穿透)[^3]。 数学描述地址比较过程: 设客户端本地地址为$(A_{\text{local}}, P_{\text{local}})$,服务器返回地址为$(A_{\text{stun}}, P_{\text{stun}})$。若满足: $$A_{\text{local}} \neq A_{\text{stun}} \quad \lor \quad P_{\text{local}} \neq P_{\text{stun}}$$ 则判定存在NAT[^4]。 #### **4. 使用方法** ##### **部署步骤** 1. 在公网部署STUN服务器(如开源实现`coturn`)。 2. 客户端集成STUN库(如libjingle)并配置服务器地址。 3. 客户端发起请求: ```python # 伪代码示例 stun_request = create_binding_request() send_to_server(stun_request) response = receive_from_server() public_ip, public_port = parse_response(response) ``` ##### **应用场景** - **VoIP通信**:WebRTC使用STUN获取公网地址建立P2P连接。 - **在线游戏**:UDP打洞前的地址发现。 - **IoT设备穿透**:局域网设备与公网服务器通信[^4]。 #### **5. 局限性** - **仅支持UDP**:TCP穿透需依赖其他协议(如TURN)。 - **防火墙限制**:若防火墙阻断UDP,STUN失效[^2]。 - **对称型NAT穿透失败**:需降级至中继方案(如ICE框架中的TURN)[^3]。 #### **6. 协议演进** - RFC 5389取代RFC 3489,新增安全性改进(如消息完整性校验)。 - 与TURN、ICE协议协同,形成完整NAT穿透方案[^1]。 --- ### **相关问题** 1. STUN协议如何区分不同类型的NAT?检测原理是什么? 2. 在对称型NAT环境下,STUN失效后有哪些替代方案? 3. STUN协议存在哪些安全风险?RFC 5389如何解决? 4. WebRTC框架中STUN、TURN、ICE如何协同工作? [^1]: STUN报文头部结构与Binding方法定义 [^2]: NAT检测原理与防火墙局限性 [^3]: NAT类型分类与测试工具 [^4]: STUN协议的核心功能与应用场景
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值