首页 > 其他分享 >【网络】P2P打洞原理

【网络】P2P打洞原理

时间:2024-08-31 09:54:11浏览次数:12  
标签:打洞 公网 端口 P2P NAT 服务器 原理

本文首发于 ❄️慕雪的寒舍

1. 引入

如果你折腾过NAS或者BT下载等等玩意,可能听说过“P2P打洞”这一技术名词。简单来说,P2P打洞可以让我们直接在外网访问内网的设备,从而让没有公网IP的家庭设备也能获得“公网直连”的速度。

比如绿联、极空间等国产NAS的客户端,在外网访问的时候,都会先尝试P2P打洞让你和你的NAS实现P2P直连,打洞失败的时候才会采用服务器转发的方式;

P2P打洞后:你的当前设备和家里的NAS直接通信
采用服务器转发:报文从家里NAS - 服务器 - 你的当前设备

因为服务器转发的速度直接依赖于服务器的出口带宽,所以使用服务器转发的用户越多,速度也就越慢,有的时候你会发现服务器转发的速度甚至不如没开会员的某度云盘。

2. 前置技术了解

在学习P2P打洞之前,你需要了解以下知识点。注意,本文只是对P2P打洞的简单理解和说明,深入了解底层原理请自行百度其他更详细的文章!

2.1. 什么是P2P?

P2P即 Peer to Peer,是一种对等连接方式,纯P2P架构包含如下内容

  • 没有总是在线的服务器
  • 任意端之间直接通信
  • 对等方之间可以间断链接,并可以动态改变IP地址

P2P技术的实际的用例如下:

  • 文件分发(BT下载)
  • 流媒体
  • VolP
  • 内网穿透式访问(建立P2P链接,直接和内网主机通信)即本文即将要讲述的P2P打洞。

2.2. NAT类型

参考本站 IP层和数据链路层 博客中4.3节对NAT技术的解析。

2.2.1. NAT2:地址限制锥形NAT

所谓地址限制锥形NAT,即NAT映射之后的外网端口和IP地址对请求具有一定的限制,这个限制体现为它只允许已建立链接的主机与之进行通信。

  • 局域网主机C需要和公网服务器S1进行通信
  • 局域网主机C发送请求报文,通过运营商路由器转发,抵达S1服务器
  • 这个过程中每一层的路由器都建立了一个NAT转发表
  • 如果是限制锥形NAT,运营商的路由器将会限制该NAT地址的外网访问IP地址:
    • 只有S1服务器发来的报文能被正常往内网转发(端口不限制),发送给给局域网主机C;
    • 其他公网服务器(和S1不同IP地址)如果企图向该NAT地址发送报文,会被运营商路由器拒绝;

举个具体的的例子,在地址限制锥形NAT下

  • C请求1.1.1.1:8080,会建立一个NAT映射,假设是 2.2.2.2:9000
  • 只有1.1.1.1这个IP能发送报文给NAT地址,对来源端口不限制;
  • 其他来源IP都会被NAT地址拒绝。

2.2.2. NAT3:端口限制锥形NAT

在限制锥形NAT的基础上,添加了端口的限制,即只有局域网设备C请求过的S1的端口,才能发送信息给局域网主机。

端口限制锥形NAT下
C请求 1.1.1.1:8080
只有 1.1.1.1:8080 能发送报文给C的NAT地址
其他来源IP或者1.1.1.1上不同的端口发来的报文都会被拒绝

2.2.3. NAT1:完全锥形NAT

完全锥形NAT的映射过程同上,但是不会对外网访问做任何限制。

即NAT地址建立后,任何外网主机都可以发送信息给这个NAT地址

2.2.4. NAT4:对称式NAT(动态NAT)

对称式NAT把内网IP和端口到相同目的地址和端口的所有请求,都映射到同一个公网地址和端口;同一个内网主机,用相同的内网IP和端口向另外一个目的地址发送报文,则会用不同的映射(比如映射到不同的端口)。

和端口限制式NAT不同的是,端口限制式NAT是所有请求映射到相同的公网IP地址和端口,而对称式NAT是为不同的请求建立不同的映射。它具有端口受限锥型的受限特性,内部地址每一次请求一个特定的外部地址,都可能会绑定到一个新的端口号。也就是请求不同的外部地址映射的端口号是可能不同的,甚至请求同一个主机的不同端口也会映射到不同的NAT地址上。

说白了就是,客户端请求目标的端口不同就会更换映射;甚至请求的端口相同时都有可能更换NAT的映射。

2.3. NAT类型IP端口映射示意图

根据NAT类型,可能产生如下映射表,表中<->符号左侧表示内网主机IP和端口,<->符号右侧表示NAT的外网IP和端口,@符号右表示限制条件:外网主机地址IP和端口。

image.png

2.4. 如何验证NAT类型

通过这个表,也能反推出我们应该如何验证一个NAT的类型

  • 局域网客户端C向服务器S1发起请求,服务器S1能得到一个C的NAT地址和端口;
  • 服务器S1让C向自己的另外几个端口发起请求,如果这些请求的来源IP和端口都一致,则代表C是锥形NAT,如果出现了不同的端口,则代表是对称NAT
  • 服务器S1将这个地址和端口交给服务器S2,S2向C发送一个报文;
  • 如果C收到了这个S2发来的报文,代表是完全锥形NAT,不对外网来源做限制;
  • 如果C没有收到,说明是限制锥形NAT;
  • 服务器S1换一个端口向C的NAT地址和端口发起请求;
  • 如果C收到了,则代表是地址限制锥形NAT,对端口不做限制;
  • 如果C没有收到,则代表是端口限制锥形NAT,对地址和端口都做了限制;
  • 服务器S1尝试让客户端C用相同的本地端口,给S1的另外一个端口发送请求,如果两次请求的来源端口出现了变化,说明是对称式NAT

这里客户端和服务器都是我们单独实现的程序,所以可以通过自定义特定的字段来让客户端、服务器做不同的操作。验证客户端的NAT类型至少需要两个不同IP的公网服务器。

博客:NAT打洞_nat1打洞-CSDN博客 中有一个不错的流程图,在此引用一下

image.png

现在假设 192.168.0.100 通过 8000 端口 访问 114.135.246.90 的 9001 端口

经过NAT之后,会形成这样一种结果:

  • 内网的 192.168.0.100:8000 ↔ 120.230.117.10:9999 NAT公网IP,形成绑定关系
  • 服务端 114.135.246.90:9001 被 120.230.117.10:9999 NAT公网IP,访问

然后如果客户端 192.168.0.100 的8000端口:

  • 8000 端口 能收到 紫色 发来的消息,就是 NAT1
  • 8000 端口 收不到 紫色 发来的消息,却能收到 浅蓝色 线发来的消息,就是 NAT2
  • 8000 端口 收不到 紫色 和 浅蓝色 线发来的消息,只能收到 绿色 线返回来的消息,就是 NAT3 | NAT4

NAT3 和 NAT4 的区别:

  • NAT3 是 8000 端口与 9999 端口形成绑定关系,不管通过 8000 端口访问谁,·都是从 9999 端口出去
  • NAT4 是 8000 端口与 9999 端口形成的绑定关系是有条件的,8000 端口访问同一 ip:port 时,都会从 9999 端口出去;但通过 8000 端口访问其他 ip:port 时,就会绑定 NAT 其他端口,比如 9990(目标端口变化NAT就会变化)

有流程图片,看起来会更清楚一点。

你可以下载微力同步(这是一个P2P的远程加密备份软件),在它的设置里,就可以看到你当前的网络环境是什么类型的NAT。

image.png

3. P2P打洞以及穿透性

3.1. P2P如何打洞?

如果想实现P2P打洞,那么当前局域网内设备必须是在锥形NAT下,才能实现直接通信。因为在对称NAT下,NAT的端口地址会经常变化,很难实现稳定的连接。

对于锥形NAT,比较好打洞的自然是完全锥形NAT了,因为它对外网的来源IP和端口都不做限制,那么就可以用下面的流程来实现打洞

  • 需要中间服务器S
  • 客户端C1和C2都是完全锥形NAT
  • 客户端C1请求和C2实现P2P连接
  • 客户端C1向中间服务器S发起请求,NAT会为C1维护一个端口和地址
  • 服务器S收到C1的请求,并对内网客户端C2下发一个通知,让C2也来请求S
  • C2也向服务器发起一个请求,NAT为C2也维护了一个地址
  • 此时服务器S就同时知道C1和C2通过NAT出来的一个公网端口和IP地址
  • 服务器S将C1/C2的IP:端口互相告知对方
  • C1和C2都得到了对方的IP和端口,因为是完全锥形NAT,双方可以直接通信
  • 打洞完成

这个过程中,中间服务器S是不可或缺的,如果没有这个中间服务器,C1和C2就很难知道对方的NAT公网IP和端口,也就没有办法直接实现通信。

个人理解,只要C1和C2有一方是完全锥形NAT,那么P2P打洞就是比较容易实现的,假设C1是完全锥形NAT,C2是有限制的NAT:

  • 服务器S知道了C1的NAT的公网IP地址和端口后,将其告知C2;
  • C2重新对C1的完全锥形NAT发送请求,限制锥形NAT会对C2的新请求更新自己的限制表中的白名单,将C1的IP地址和端口也加入到了这个白名单中
  • 此时限制锥形NAT的限制就消失了,C1和C2依旧可以点对点发起通信。

上述过程还是比较好弄明白的。

3.2. NAT穿透性表格

下表展示了不同NAT组合的穿透性。

image.png

但是我没想明白两边都是端口限制型NAT如何打洞?百度也没找到好的说明。

搞清楚这个问题后我会回来补充本文。

3.3. NAT3如何进行打洞?

2024.05.04更新:之前没有弄明白两端都是端口限制NAT(即NAT3)如何进行打洞,经过一位大佬的指点,现在弄明白了。

假设A和B都是端口限制锥形NAT,为了简单起见我直接用客户端的名字来代指最后映射的NAT公网IP地址,S代指中间服务器。

A通过内网端口1000给S:80发送请求,建立映射 A:公网8000 - S:80
B通过内网端口2000给S:80发送请求,建立映射 B:公网9000 - S:80

假设是A:内网1000S:80通信,建立了A:公网8000 -> S:80的NAT3映射,同时B建立了B:公网9000 -> S:80的NAT3映射。

这时候就需要A:内网1000发送一个消息给B:公网9000,此时因为A的内网端口没有变化,所以A的公网的端口也不会变(还是A:公网8000),A端的NAT设备就会将B:公网9000加入到请求历史中,即允许了B:公网9000发送消息给A:公网8000 -> A:内网1000

但是因为B端的NAT设备不认识A:公网8000,这个请求会被直接抛弃。

这时候让B端也用原本的内网端口2000发送一个消息给A:公网8000(这个消息可以正常送到A端),就相当让B端的NAT设备也把A:公网8000加入到允许列表中,这时候A和B就可以直接通过A:公网8000B:公网9000进行通信了,打洞成功!

3.4. 打洞失败怎么办?

如果打洞失败,C1和C2就得借助中间服务器S的转发来实现通信,此时通信的速度就会出现限制。同时,中间服务器S的带宽/流量资费也比较感人。

这也是为什么绿联和极空间虽然提供了中间服务器转发的方式,但依旧会想办法让你和你的NAS能实现P2P直接通信。除了能提高连接速度,更多的是节省它们服务器的带宽和资费。

4. The end

P2P打洞的大概原理就是如此,更深层次的就不再研究了~你看明白了吗?

标签:打洞,公网,端口,P2P,NAT,服务器,原理
From: https://blog.csdn.net/muxuen/article/details/141617538

相关文章

  • 详细了解ThreadLocal底层原理及作用
    深入ThreadLocal底层原理一、ThreadLocal的作用二、ThreadLocal的底层原理三、可能存在的问题四、总结一、ThreadLocal的作用ThreadLocal是Java中一个用于实现线程局部变量的类。它的主要作用是在每个线程中创建一个变量的副本,这样每个线程可以独立地访问自己的副本......
  • 第一篇:爬虫基本原理
    爬虫是什么 1、什么是互联网?互联网是由网络设备(网线,路由器,交换机,防火墙等等)和一台台计算机连接而成,像一张网一样。2、互联网建立的目的?互联网的核心价值在于数据的共享/传递:数据是存放于一台台计算机上的,而将计算机互联到一起的目的就是为了能够方便彼此之间的......
  • PG复制槽的原理
    什么是PG复制槽?PG复制槽用于记录主备流复制的状态,主要目的是防止wal日志被过早的删除,导致备库流复制中断。复制槽是有状态的,能够持久化到磁盘上,允许宕机、重启场景下进行恢复。在有复制槽的场景下,即使备库关闭很长时间,主库也会为其保留足够的wal日志,直到备库恢复接收完这......
  • SpringBoot原理
    目录一、配置优先级二、Bean管理1.获取Bean(1)三种方式(2)获取示例 2.Bean作用域 3.第三方Bean 三、SpringBoot原理1.起步依赖2.自动配置(1)概述(2)准备工作 (3)@Import (4)模拟过程3.自动配置原理(1)源码跟踪 (2)@Conditional (3)自定义start业务场景需求 步骤具......
  • Java人证合一接口原理、身份证识别、人工智能
    人脸识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部的一系列相关技术,通常也叫做人像识别、面部识别。人证合一接口,一般是指人脸与身份证识别接口的相结......
  • pinpoint-php-aop 内部原理
    pinpoint-php-aop是一个支持pinpoint-phpagent的库自动注入PHP内置函数,比如redis,pdo,mysqli自动注入用户类,比如guzzlehttp,predis怎样处理内置函数内置函数解释:PHPcomesstandardwithmanyfunctionsandconstructs.Therearealsofunctionsthatrequir......
  • @Import注解 -【Spring底层原理】
    通过在配置类上使用@Import注解,将User给注入进容器中,运行启动类,可以看到容器中有User对象:image-20210226164625069【2】导入ImportSelector的实现类导入ImportSelector的实现类需要实现ImportSelector类,自定义逻辑返回需要导入的组件,返回的字符串数组即是要注入的组件,添加修改......
  • 【JVM原理】类加载机制
    文章目录一、JVM组成二、类的生命周期2-1加载(Loading)2-2连接(Linking)2-3初始化(Initialization)2-4使用(Using)2-5卸载(Unloading)三、类加载器3-1类加载器的作用3-2类加载器的种类3-3类加载机制双亲委派机制(ParentDelegationModel)全盘负责委托机制(Fu......
  • BMS中预充工作原理
    在电池管理系统(BMS)中,预充是指在充电过程中,特别是在电池电压较低或电池处于休眠状态时,先进行小电流充电的过程。其工作原理和目的主要包括以下几个方面:1. 目的激活电池:对于深度放电的电池,预充可以帮助激活电池的化学反应,恢复电池的正常工作状态。保护电池:防止因直接施加高电......
  • Oracle 11g 数据库内存原理
    转自:1、https://blog.csdn.net/ly7472712/article/details/1162393882、https://www.cnblogs.com/prognani/archive/2012/05/14/2500679.htmlOracle11g数据库内存管理-----------------------------------------------------------------------------一、Oracle数据库内......