为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 电脑技术 查看内容

在防火墙上钻孔:穿透防火墙建立UDP连接

2006-2-4 14:58| 投稿: computer

摘要: 在防火墙上钻孔【UDP Hole Puching】:穿透防火墙建立UDP连接知道现在流行的P2P软件和IM软件是如何让两台分处在不同防火墙后面的电脑直接对话的吗?SIP当然是一种,还有一种被广泛应用的...
在防火墙上钻孔【UDP Hole Puching】:穿透防火墙建立UDP连接知道现在流行的P2P软件和IM软件是如何让两台分处在不同防火墙后面的电脑直接对话的吗?SIP当然是一种,还有一种被广泛应用的就是本文介绍的UDP Hole Puching技术。    为了便于讲述,我们假设有这样一个网络拓扑结构:    IP=A.A.A.A     IP=1.1.1.1    HostA----------FirewallA---------|                                     |                                   Server IP=S.S.S.S                                     |    HostB----------FirewallB---------|    IP=B.B.B.B     IP=2.2.2.2    运用这个技术,必须满足下面的条件:    1) HostA和HostB分别通过FirewallA和FirewallB经过NAT用UDP连接到了Server    2) FirewallA和FirewallB都满足这样的特性,即来自相同IP相同Port的数据包,不管目的地IP是多少, 都会NAT成相同的IP+Port,举个例子吧:    HostA通过UDP Port 1234访问主机S1时,防火墙会把数据包NAT成1.1.1.1:5668(举例),那么HostA通过UDP Port 1234访问主机S2时,防火墙仍然会把数据包NAT成1.1.1.1:5668。好在现在的NAT基本上都具备这个特性。        现在,HostA用UDP端口1111连接到Server的5555端口,HostB用端口2222连接到Server的5555端口,在Server看来,HostA来自1.1.1.1:9676(FirewallA NAT过了嘛),HostB则来自2.2.2.2:6573。当HostA想直接连接HostB时,它这样做:    1)用UDP端口1111发一个数据包给2.2.2.2:6573,注意一定要用端口1111哦,这个数据包一定会被FirewallA NAT成 1.1.1.1:9676 -> 2.2.2.2:5668(不要问为什么,看看前面对防火墙的要求先); 千万别期望HostB会收到这个数据包,因为当包到达FirewallB时,FirewallB被弄糊涂了,它根本不知道 1.1.1.1:9676 -> 2.2.2.2:6573的数据包应该转给谁,当然这个包就会被丢弃并回一个ICMP包说Port不存在。但是,我们还是得到了我们想要的一些东西,那就是我们成功地告诉了FirewallA "如果有2.2.2.2:6573 -> 1.1.1.1:9676的数据包,请转发到A.A.A.A:1111",这就是一个洞洞!!    2)接下来,和你想象的一样,HostA通过Server中转,告诉HostB,用端口2222发一个数据包到1.1.1.1:9676,HostB照办了,而且这个包一定会被FirewallB NAT成 2.2.2.2:6573 -> 1.1.1.1:9676。这个回复的数据包同样在FirewallB上钻了个孔,凡是1.1.1.1:9676 -> 2.2.2.2:6573的包都会被转发到B.B.B.B:2222,当数据包到达FirewallA时,FirewallA很高兴地把2.2.2.2:6573 -> 1.1.1.1:9676的数据包转发给A.A.A.A:1111。    3)大功告成了,HostA和HostB开始愉快的交谈起来。    很简单吧?不过实施起来还要注意几点,否则你都不知道为什么总连不上:    1) 步骤1中那个Port不存在的ICMP是个杀手,至少对Linux上用iptables做的NAT来讲是这样,因为FirewallA收到这个ICMP会关闭刚钻上的洞洞,想办法不让FirewallB发这个ICMP或者让FirewallA丢掉这个ICMP吧;    2) 时间问题,步骤1在FirewallA上开的洞洞是有时间限制的,通常为30-60秒吧,如果超时了都没收到2.2.2.2:6573 -> 1.1.1.1:9676的包,洞洞会自动关闭,同样步骤2以后,HostA也应该及时在发个数据包给B,以保证FirewallB上的洞洞不会因为超时而关闭。值得提一下的是多数NAT防火墙会在看见进出双向的数据包后延长关闭洞洞的时间,Linux默认设置时会延长到3分钟。    3) HostA不能连到HostB,并不表示HostB一定连不到HostA,反一下方向试试也许会有意外惊喜。    好了,就写这些吧,祝大家钻孔愉快

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部