NAT和防火墙在尝试UDP穿孔时能将IP列入黑名单吗？

Question

我正在开发一个P2P应用程序，它将利用UDP孔穿孔连接NAT后面的两个对等点。

然而，当处理锥和对称的、不可预测的not之间的连接时，穿孔并不像锥not之间的连接那样简单。我找到的唯一办法就是尽我所能去努力，直到我找到一个正确的端口。

我的策略如下：

• 在对称侧打开大量端口，并将数据包发送到锥形NAT端口。
• 在锥端，将数据包发送到随机端口，直到节点设法连接为止。

我手头有一个对称的和一个锥形的NAT，我做了以下实验：

• 在对称侧打开32个端口
• 在随机端口上每0.1秒从锥侧发送64个数据包到对称NAT

几秒钟后，我总是设法连接起来。然而，我想知道在这种情况下，一些防火墙和NAT是否可以使用某种形式的黑名单。例如，必须从同一个源在不同端口上丢弃多个数据包的NAT是否会将源黑名单一段时间？

我试图找出这一点，我发现，有时可以使用某种形式的黑名单，如果NAT受到DoS攻击。然而，这种打孔技术比典型的DoS攻击要轻4到6个数量级。

那么，这种技术在合理的条件下可行吗?还是我有可能在黑名单或其他问题上招致麻烦？

Answer 1

这完全取决于NAT的安全水平。每0.1秒64个数据包意味着640个数据包正在攻击对称NAT (640个端口？当您发送到随机端口时)。现在，假设在5秒后建立了连接，这意味着您正在对称NAT (3250端口？)上大约3250个数据包从中华人民共和国到SYMM。似乎大多数NAT都会把它当作DoS攻击/数据包泛滥(!)

对不起，也许我不太理解你的程序。对称NAT有两种类型: 1)序列对称NAT (增量/递减) 2)随机对称NAT (完全随机)。利用端口预测机制，可以对序贯对称进行P2P。

但在随机对称的情况下，这是不可能的。我想知道在对称nat上只打开32个端口是如何工作的。你是如何选择这些随机端口时，你发送数据包从中国对称，以64包的速度每0.1？