STUN是RFC3489規定的一種NAT穿透方式,它採用輔助的方法探測NAT的IP和埠。毫無疑問的,它對穿越早期的NAT起了巨大的作用,並且還將繼續在ANT穿透中佔有一席之地。
STUN的探測過程需要有一個公網IP的STUN Server,在NAT後面的UAC(User Agent Client)必須和此Server配合,互相之間傳送若干個UDP資料包。UDP包中包含有UAC需要了解的資訊,比如NAT網路 IP,PORT等等。UAC透過是否得到這個UDP包和包中的資料判斷自己的NAT型別。
假設有如下UAC(B),NAT(A),STUN SERVER(C),UAC的IP為IPB,NAT的IP為IPA,SERVER的IP為IPC1、IPC2。請注意,STUN 伺服器C有兩個IP,後面你會理解為什麼需要兩個IP。
STEP1:
B向C的IP1的port1埠傳送一個UDP包。C收到這個包後,會把它收到包的源IP和port寫到UDP包中,然後把此包透過IP1和port1發還給B。這個IP和port也就是NAT的網路IP和port,也就是說UAC在STEP1中就得到了NAT的網路IP。
如果在UAC向一個STUN伺服器傳送資料包後,沒有收到STUN的任何迴應包,那只有兩種可能:1、STUN伺服器不存在,或者port弄錯了;2、你的NAT拒絕一切UDP包從外部向內部透過(我們公司的NAT就是)。
當B收到此UDP後,把此UDP中的IP和自己的IP做比較,如果是一樣的,就說明自己是在公網。如果不一樣,說明有NAT的存在,系統進行STEP2的操作。
STEP2:
B向C的IP1傳送一個UDP包,請求C透過另外一個IP2和PORT(不同與SETP1的IP1)向B返回一個UDP資料包(現在知道為什麼C要有兩個IP了吧,呵呵)。
我們來分析一下,如果B收到了這個資料包,那說明什麼?說明NAT來者不拒,不對資料包進行任何過濾,這也就是STUN標準中的full cone NAT。遺憾的是,full cone NAT太少了,這也意味著你能收到這個資料包的可能性不大。如果沒收到,那麼系統進行STEP3的操作。
STEP3:
B向C的IP2的port2傳送一個數據包,C收到資料包後,把它收到包的源IP和port寫到UDP包中,然後透過自己的IP2和port2把此包發還給B。和step1一樣,B肯定能收到這個迴應UDP包。此包中的port是我們最關心的資料,下面我們來分析:
如果這個port和step1中的port一樣,那麼可以肯定這個NAT是個CONE NAT,否則是對稱NAT。道理很簡單:根據對稱NAT的規則,當目的地址的IP和port有任何一個改變,那麼NAT都會重新分配一個port使用,而在step3中,和step1對應,我們改變了IP和port。因此,如果是對稱NAT,那這兩個port肯定是不同的。
如果在你的應用中,到此步的時候PORT是不同的,恭喜你,你的STUN已經死了。如果不同,那麼只剩下了restrict cone和port restrict cone。系統用step4探測是是哪一種。
STEP4:
B向C的IP2的一個埠PD傳送一個數據請求包,要求C用IP2和不同於PD的port返回一個數據包給B。
我們來分析結果:如果B收到了,那也就意味著只要IP相同,即使port不同,NAT也允許UDP包透過。顯然這是restrict cone NAT。如果沒收到,沒別的好說,port restrict NAT.
STUN是RFC3489規定的一種NAT穿透方式,它採用輔助的方法探測NAT的IP和埠。毫無疑問的,它對穿越早期的NAT起了巨大的作用,並且還將繼續在ANT穿透中佔有一席之地。
STUN的探測過程需要有一個公網IP的STUN Server,在NAT後面的UAC(User Agent Client)必須和此Server配合,互相之間傳送若干個UDP資料包。UDP包中包含有UAC需要了解的資訊,比如NAT網路 IP,PORT等等。UAC透過是否得到這個UDP包和包中的資料判斷自己的NAT型別。
假設有如下UAC(B),NAT(A),STUN SERVER(C),UAC的IP為IPB,NAT的IP為IPA,SERVER的IP為IPC1、IPC2。請注意,STUN 伺服器C有兩個IP,後面你會理解為什麼需要兩個IP。
STEP1:
B向C的IP1的port1埠傳送一個UDP包。C收到這個包後,會把它收到包的源IP和port寫到UDP包中,然後把此包透過IP1和port1發還給B。這個IP和port也就是NAT的網路IP和port,也就是說UAC在STEP1中就得到了NAT的網路IP。
如果在UAC向一個STUN伺服器傳送資料包後,沒有收到STUN的任何迴應包,那只有兩種可能:1、STUN伺服器不存在,或者port弄錯了;2、你的NAT拒絕一切UDP包從外部向內部透過(我們公司的NAT就是)。
當B收到此UDP後,把此UDP中的IP和自己的IP做比較,如果是一樣的,就說明自己是在公網。如果不一樣,說明有NAT的存在,系統進行STEP2的操作。
STEP2:
B向C的IP1傳送一個UDP包,請求C透過另外一個IP2和PORT(不同與SETP1的IP1)向B返回一個UDP資料包(現在知道為什麼C要有兩個IP了吧,呵呵)。
我們來分析一下,如果B收到了這個資料包,那說明什麼?說明NAT來者不拒,不對資料包進行任何過濾,這也就是STUN標準中的full cone NAT。遺憾的是,full cone NAT太少了,這也意味著你能收到這個資料包的可能性不大。如果沒收到,那麼系統進行STEP3的操作。
STEP3:
B向C的IP2的port2傳送一個數據包,C收到資料包後,把它收到包的源IP和port寫到UDP包中,然後透過自己的IP2和port2把此包發還給B。和step1一樣,B肯定能收到這個迴應UDP包。此包中的port是我們最關心的資料,下面我們來分析:
如果這個port和step1中的port一樣,那麼可以肯定這個NAT是個CONE NAT,否則是對稱NAT。道理很簡單:根據對稱NAT的規則,當目的地址的IP和port有任何一個改變,那麼NAT都會重新分配一個port使用,而在step3中,和step1對應,我們改變了IP和port。因此,如果是對稱NAT,那這兩個port肯定是不同的。
如果在你的應用中,到此步的時候PORT是不同的,恭喜你,你的STUN已經死了。如果不同,那麼只剩下了restrict cone和port restrict cone。系統用step4探測是是哪一種。
STEP4:
B向C的IP2的一個埠PD傳送一個數據請求包,要求C用IP2和不同於PD的port返回一個數據包給B。
我們來分析結果:如果B收到了,那也就意味著只要IP相同,即使port不同,NAT也允許UDP包透過。顯然這是restrict cone NAT。如果沒收到,沒別的好說,port restrict NAT.