¿Los NAT y los firewalls pueden incluir en la lista negra las direcciones IP cuando se intenta realizar un perforador UDP?

3

Estoy desarrollando una aplicación P2P que utilizará el perforador UDP para conectar a dos pares detrás de NAT.

Sin embargo, cuando se trata de conexiones entre un cono y una NAT simétricas e impredecibles, el perforado no es tan trivial como podría ser con las conexiones entre las NAT del cono. La única manera que encontré para hacerlo es simplemente esforzarme lo más que pueda hasta que logre encontrar el puerto correcto.

Mi estrategia funciona de la siguiente manera:

  • Abra una gran cantidad de puertos en el lado simétrico y envíe los paquetes al puerto NAT del cono.
  • En el lado del cono, envíe paquetes a puertos aleatorios hasta que los interlocutores logren conectarse.

Teniendo a la mano un NAT simétrico y un cono, hice el siguiente experimento:

  • Se abrieron 32 puertos en el lado simétrico
  • Envió 64 paquetes cada 0.1 segundos desde el lado del cono a la NAT simétrica en puertos aleatorios

En un par de segundos siempre logro conectarme. Sin embargo, me preguntaba si algunos cortafuegos y NAT podrían utilizar algún tipo de lista negra en estas circunstancias. Por ejemplo, ¿es posible que los NAT que tienen que soltar varios paquetes en diferentes puertos de la misma fuente enlistarán la fuente por un tiempo?

Intenté averiguar esto y descubrí que a veces se puede utilizar alguna forma de lista negra si el NAT está bajo ataque DoS. Sin embargo, esta técnica de perforación es de 4 a 6 órdenes de magnitud menos pesada que un ataque DoS típico.

Entonces, ¿esta técnica es factible en condiciones razonables o es probable que incurra en listas negras u otros problemas?

    
pregunta Matteo Monti 01.03.2015 - 17:45
fuente

1 respuesta

1

Depende totalmente del nivel de seguridad del NAT. 64 paquetes por 0.1 segundos significa que 640 paquetes están golpeando en NAT simétrica (640 puertos, ya que está enviando a puertos aleatorios). Ahora digamos que la conexión establecida después de 5 segundos significa que está llegando de PRC a SYMM alrededor de 3250 paquetes en NAT simétrico (¿3250 puertos?). Parece que la mayor parte del NAT lo tomará como ataque DoS / inundación de paquetes (!)

Lo siento, puede ser que no entiendo su procedimiento correctamente. Hay dos tipos de NAT simétrica 1) NAT simétrica secuencial (incremental / decremental) 2) NAT simétrica aleatoria (totalmente aleatoria). Es posible hacer P2P entre PRC y Symmetric secuencial usando el mecanismo de predicción de puerto.

Pero en caso de simetría aleatoria no es posible. Me pregunto cómo funciona al abrir solo 32 puertos en el nat. Simétrico. ¿Y cómo está seleccionando estos puertos aleatorios cuando está enviando paquetes de PRC a Symmetric a la velocidad de 64 paquetes cada 0.1?

    
respondido por el Sohag Mony 12.05.2015 - 14:30
fuente

Lea otras preguntas en las etiquetas