NAT埠對映協定

NAT埠對映協定(英語:NAT Port Mapping Protocol,縮寫NAT-PMP)是一個能自動建立網絡地址轉換(NAT)設置和埠對映組態而無需用戶介入的網絡協定。該協定能自動測定NAT閘道器的外部IPv4地址,並為應用程式提供與對等端交流通訊的方法。NAT-PMP於2005年由蘋果公司推出,為更常見的ISO標準互聯網閘道器裝置協定(被許多NAT路由器實現)的一個替代品[1]。該協定由互聯網工程任務組(IETF)在RFC 6886中發佈。

NAT-PMP使用用戶數據報協定(UDP),在5351執行。該協定沒有內建的身份驗證機制,因為轉發一個埠通常不允許任何活動,也不能用STUN方法實現。NAT-PMP相比STUN的好處是它不需要STUN伺服器,並且NAT-PMP對映有一個已知的過期時間,應用可以避免低效地傳送保活封包。

NAT-PMP是埠控制協定英語Port Control Protocol(PCP)的前身。

安全隱患

2014年10月,Rapid7安全研究員Jon Hart公佈,因廠商對NAT-PMP協定設計不當,估計公網上有1200萬台網絡裝置受到NAT-PMP漏洞的影響。NAT-PMP協定的規範中特別指明,NAT閘道器不能接受來自外網的地址對映請求,但一些廠商的設計並未遵守此規定。黑客可能對這些裝置進行惡意的埠對映,進行流量反彈、代理等攻擊。[2]

參見

參考資料

  1. ^ AirPort Utility 6.x: 设定基站或 AirPort Time Capsule 的 NAT 选项. Apple 支援. 2013-11-11 [2018-05-26]. (原始內容存檔於2015-02-14). 
  2. ^ NAT-PMP协议漏洞将1200万路由器置于风险之中. freebuf. 2014-10-27 [2018-05-26]. (原始內容存檔於2018-07-09). 

外部連結