UDP打洞技术2

最新推荐文章于 2024-11-04 02:27:05 发布
转载 最新推荐文章于 2024-11-04 02:27:05 发布 · 1.3k 阅读 · 1
文章标签:

#internet #服务器 #防火墙 #存储

本文详细介绍了UDP打洞技术的工作原理及其应用场景。该技术利用特定的NAT特性,使位于不同NAT后的客户端能够直接建立UDP连接。文章通过具体实例说明了如何在不同NAT配置下实现端对端通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇文章主要要研究的,就是非常有名的"UDP打洞技术",UDP打洞技术依赖于由公共防火墙和cone NAT,允许适当的有计划的端对端应用程序通过NAT"打洞",即使当双方的主机都处于NAT之后。这种技术在 RFC3027的5.1节[NAT PROT] 中进行了重点介绍,并且在Internet[KEGEL]中进行了非正式的描叙,还应用到了最新的一些协议,例如[TEREDO,ICE]协议中。不过,我们要注意的是,"术"如其名,UDP打洞技术的可靠性全都要依赖于UDP。
 
这里将考虑两种典型场景,来介绍连接的双方应用程序如何按照计划的进行通信的,第一种场景,我们假设两个客户端都处于不同的NAT之后;第二种场景,我们假设两个客户端都处于同一个NAT之后,但是它们彼此都不知道(他们在同一个NAT中)。

 
处于不同NAT之后的客户端通信
 

我们假设 Client A 和 Client B 都拥有自己的私有IP地址,并且都处在不同的NAT之后,端对端的程序运行于 CLIENT A,CLIENT B,S之间,并且它们都开放了UDP端口1234。 CLIENT A和CLIENT B首先分别与S建立通信会话,这时NAT A把它自己的UDP端口62000分配给CLIENT A与S的会话,NAT B也把自己的UDP端口31000分配给CLIENT B与S的会话。如下图所示:

 

 

假如这个时候 CLIENT A 想与 CLIENT B建立一条UDP通信直连,如果 CLIENT A只是简单的发送一个UDP信息到CLIENT B的公网地址138.76.29.7:31000的话,NAT B会不加考虑的将这个信息丢弃(除非NAT B是一个 full cone NAT),因为 这个UDP信息中所包含的地址信息,与CLIENT B和服务器S建立连接时存储在NAT B中的服务器S的地址信息不符。同样的,CLIENT B如果做同样的事情,发送的UDP信息也会被 NAT A 丢弃。

 

假如 CLIENT A 开始发送一个 UDP 信息到 CLIENT B 的公网地址上,与此同时,他又通过S中转发送了一个邀请信息给CLIENT B,请求CLIENT B也给CLIENT A发送一个UDP信息到 CLIENT A的公网地址上。这时CLIENT ACLIENT B的公网IP(138.76.29.7:31000)发送的信息导致 NAT A 打开一个处于 CLIENT A的私有地址和CLIENT B的公网地址之间的新的通信会话,与此同时,NAT B 也打开了一个处于CLIENT B的私有地址和CLIENT A的公网地址(155.99.25.11:62000)之间的新的通信会话。一旦这个新的UDP会话各自向对方打开了,CLIENT ACLIENT B之间就可以直接通信,而无需S来牵线搭桥了。(这就是所谓的打洞技术)!

端口保护——从端口敲门到单包授权
翼安研习社的博客
06-18 2516
作者|司玄 来源| 翼安研习社 发布时间|2021-06-17 0. 背景 为了保证设备的安全性,需要对关键开放端口进行保护。端口隐身是最常见的一种保护方式,可以通过端口敲门(Port Knocking,PK)、单包授权(Single Packet Authorization,SPA)等方式实现。 端口隐身的核心是防火墙规则,通过丢弃所有到达的数据包来实现隐身。防火墙规则中的丢弃(DROP)与拒绝(REJECT)不同,丢弃状态下防火墙会丢弃数据包并且不发送响应,拒绝状态下防火墙丢弃数据包并向数据包客户.
使用UDP消息与iptables实现TCP端口敲门安全技术
最新发布
EdmundXjs的博客
03-24 854
通过结合UDP消息与iptables,我们可以构建一个简单但有效的端口敲门系统,增强服务器的安全性。首先,我们需要编写一个脚本来监听特定的UDP端口,并在接收到正确的敲门序列后修改iptables规则。服务端在接收到敲门消息后,可以开启端口一定的时长,在时长到达后,将取消接受白名单,所以客户端需要保持周期性推送。2. **配置iptables**:需要对iptables有一定的了解,包括如何添加规则、删除规则等基本操作。3. **选择一个未使用的UDP端口**:用于接收敲门序列中的UDP消息。
UDP打洞技术
yangyu19910407的专栏
08-29 723
//*************************************** //作者:紫色溟渊 //完成时间:2010年1月1日 //功能实现:UDP打洞技术 //说明:仅供技术交流,欢迎转载,转载请注明出处! //*************************************** 以下给出源码,实现UDP打洞! //client a.......source c
UDP打洞技术与应用
xuqiqiang1993的博客
03-28 707
许多P2P软件比如SKYPE,QQ,电驴之类需要不同内网的两台机子进行通信,而路由器的NAT机制决定了内网访问外网容易,而外网访问内网困难,那如何才能做到这一点呢?有办法------打洞!   具体实现方法需要一台服务器,现在假设两台内网PC,A和B想用端口40000通信,网关分别为NATA,NATB.服务器为S,配置如下: A:             192.168.0.34
UDP协议进行远程开门
weixin_52958547的博客
10-12 235
学无止境
udp.zip_ICE NAT_UDP nat java_nat_udp打洞_最新防火墙
09-22
就是非常有名的“UDP打洞技术”,UDP打洞技术依赖于由公共防火墙和cone NAT,允许适当的有计划的端对端应用程序通过NAT“打洞”,即使当双方的主机都处于NAT之后。这种技术在 RFC3027的5.1节[NAT PROT] 中进行了重点...
udp打洞通信测试.rar_udp打洞通信测试
09-22
UDP打洞通信是一种在NAT(网络地址转换)环境下实现两个位于不同内网的设备间直接通信的技术。在互联网上,许多设备通过NAT连接,NAT会将内部私有IP地址转换为公共IP地址,这使得直接的端到端通信变得困难。UDP打洞...
UDP打洞demo
03-27
UDP打洞UDP Hole Punching)是一种通过网络地址转换(NAT)技术,使位于不同内网中的两台设备能够直接通信的技术。在通常情况下,由于NAT的存在,内部网络中的设备不能直接与外部网络中的设备通信,除非有一个固定...
Netty UDP协议网络打洞实例
07-17
为了解决这个问题,网络打洞技术应运而生。 Netty是一个高性能、异步事件驱动的网络应用程序框架,适用于开发服务器和客户端的可复用组件。它极大地简化了TCP、UDP等网络协议的编程工作。在UDP网络打洞实例中,...
基于MFC的UDP打洞通信客户端
03-05
UDP打洞技术是解决NAT(Network Address Translation)环境下对等网络通信的一种方法,它允许两个处于NAT之后的设备直接通信,即使它们不能直接看到对方的IP地址。MFC(Microsoft Foundation Classes)是微软提供的...
fwknop:单个数据包授权>端口敲门
04-28
fwknop-单包授权 介绍 fwknop实现了一种称为单数据包授权(SPA)的授权方案,以实现强大的服务隐蔽性。 SPA仅需要一个经过HMAC加密,不可重播和经过身份验证的单个数据包,以传达对默认情况下丢弃过滤状态下隐藏在防火墙后面的服务的所需访问权限。 SPA的主要应用是使用防火墙来丢弃所有尝试连接到服务(例如SSH)的尝试,从而使利用漏洞(0天和未修补的代码)更加困难。 因为没有开放端口,所以SPA隐藏的任何服务自然都无法使用Nmap进行扫描。 fwknop项目支持四种不同的防火墙:Linux,OpenBSD,FreeBSD和Mac OS X上的iptables,firewalld,PF和ipfw。还支持自定义脚本,因此可以使fwknop支持其他基础结构,例如ipset或nftables。 。 SPA本质上是下一代Port Knocking(PK),但解决了PK表现出的许多局限性,
技巧_网络_UDP打洞
布莱克洛
11-22 617
http://blog.youkuaiyun.com/hxhbluestar/article/details/102387 3.3. UDP hole punching  UDP打洞技术     The third technique, and the one of primary interest in this document, is widely known as "UDP Hole Punc
【翻译】用端口敲门绕过防火墙规则并保证安全完整性
Purpleendurer@优快云
08-02 4508
Use port knocking to bypass firewall rules and keep security intact用端口敲门绕过防火墙规则并保证安全完整性by Jonathan Yarden作者:Jonathan Yarden翻译:endurerKeywords: Security | VPNs | Firewalls | Security applications/tools
白话零信任03:第四章零信任组件技术
caoxiaoye的博客
01-07 3645
零信任架构中各个技术组件详解
Web 端口敲门的奇思妙想
m0_59598029的博客
08-05 529
端口敲门是一种特殊的安全认证方案。它没有固定的标准,每个人的实现各不相同。当然,即使没听说过这个名词,不少人也有类似的想法和实现。例如我曾经使用 Windows服务器时,一直对远程桌面颇为不满。不是因为这个服务做得不好,相反,是做得太好了,以至于一个不知道账号密码的陌生人试着访问时,都会为它绘制窗口、传输画面,服务太过周到了!攻击者即使猜不到密码,也能白白消耗服务器资源和网络流量。况且,越复杂的程序出现漏洞的可能性越大,万一哪天出现缓冲区溢出之类的漏洞,攻击者不用知道密码也能控制服务器。这太不完美了。
[5] 一篇文章教会你如何实现端口敲门
qq_45776114的博客
11-04 1102
是用于管理 Linux 防火墙(Firewalld)的命令行工具。Firewalld 是一种动态防火墙管理工具,允许用户在运行时修改防火墙规则,而无需重启服务。提供了一种简洁的方式来添加、删除和管理防火墙规则# 启动# 关闭# 查看状态# 列出当前规则#添加服务 --permanent 代表永久# 移除服务 --permanent 代表永久## 重新加载配置,更新完规则之后调用# 临时添加端口 只在当前会话中生效# 添加端口# 移除端口使用参数使更改持久化,即在重启后依然有效。没有。
如何对udp端口进行扫描
热门推荐
风之子的专栏
11-26 2万+
 由于UDP协议是非面向连接的,对UDP端口的探测也就不可能像TCP端口的探测那样依赖于连接建立过程(不能使用telnet这种tcp协议类型命令),这也使得UDP端口扫描的可靠性不高。所以虽然UDP协议较之TCP协议显得简单,但是对UDP端口的扫描却是相当困难的。下面具体介绍一下UDP扫描方案:         方案1:利用ICMP端口不可达报文进行扫描     本方案的原理是当一个UDP端口接收
零信任SPA端口敲门
键盘的起始页
11-09 3321
差不多2020年9月份研究ATT&CK的时候,做规则覆盖能力,遇到了端口敲击(Port Knocking,PK),当时我设计了检测方案,但是没有做实验来验证,也没有列入开发计划,直到今天2021年2月研究零信任的时候,再次碰到了PK,只不过这次换了个马甲,叫SPA(单包授权认证),终于下定决心来一探究竟~ SPA单包认证,通过wireshark抓包,发现是通过UDP报文敲打服务端的62201端口,然后那个ICMP报文是端口不可达,这是UDP的传输特性,因为它没有三次握手,所以需要借助ICMP来报信
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值