NAT端口映射協議

NAT端口映射協議（英語：NAT Port Mapping Protocol，縮寫NAT-PMP）是一個能自動建立網絡地址轉換（NAT）設置和端口映射配置而無需用戶介入的網絡協議。該協議能自動測定NAT網關的外部IPv4地址，並為應用程序提供與對等端交流通信的方法。NAT-PMP於2005年由蘋果公司推出，為更常見的ISO標準互聯網網關設備協議（被許多NAT路由器實現）的一個替代品^[1]。該協議由互聯網工程任務組（IETF）在RFC 6886中發布。

NAT-PMP使用用戶數據報協議（UDP），在5351端口運行。該協議沒有內置的身份驗證機制，因為轉發一個端口通常不允許任何活動，也不能用STUN方法實現。NAT-PMP相比STUN的好處是它不需要STUN服務器，並且NAT-PMP映射有一個已知的過期時間，應用可以避免低效地發送保活數據包。

NAT-PMP是端口控制協議（英語：Port Control Protocol）（PCP）的前身。

安全隱患

2014年10月，Rapid7安全研究員Jon Hart公布，因廠商對NAT-PMP協議設計不當，估計公網上有1200萬台網絡設備受到NAT-PMP漏洞的影響。NAT-PMP協議的規範中特別指明，NAT網關不能接受來自外網的地址映射請求，但一些廠商的設計並未遵守此規定。黑客可能對這些設備進行惡意的端口映射，進行流量反彈、代理等攻擊。^[2]

參見

參考資料

^ AirPort Utility 6.x: 设定基站或 AirPort Time Capsule 的 NAT 选项. Apple 支持. 2013-11-11 [2018-05-26]. （原始內容存檔於2015-02-14）.
^ NAT-PMP协议漏洞将1200万路由器置于风险之中. freebuf. 2014-10-27 [2018-05-26]. （原始內容存檔於2018-07-09）.

外部連結

Port Mapping Protocols Overview and Comparison 2024 — About UPnP IGD & PCP/NAT-PMP
Bonjour協議規範（頁面存檔備份，存於網際網路檔案館）（英文）
another NAT-PMP explanation（頁面存檔備份，存於網際網路檔案館）（英文）
MiniUPnP（頁面存檔備份，存於網際網路檔案館） ANSI C，BSD許可證的函式庫，支持UPnP和NAT-PMP遍歷（客戶端和服務器）

[1] AirPort Utility 6.x: 设定基站或 AirPort Time Capsule 的 NAT 选项. Apple 支持. 2013-11-11 [2018-05-26]. （原始內容存檔於2015-02-14）.

[2] NAT-PMP协议漏洞将1200万路由器置于风险之中. freebuf. 2014-10-27 [2018-05-26]. （原始內容存檔於2018-07-09）.

[1]

[2]